Важная информация: как не угробить бизнес, потеряв флешку
Небольшие бизнесы редко уделяют достаточно внимания безопасности информации, с которой они работают на компьютерах и в интернете. А атака на их массивы данных со стороны хакеров кажется очень маловероятной. Но, как правило, такие предприниматели лишаются критичных для их бесперебойной работы данных по другой причине: сотрудники относятся к хранению информации халатно.
Хакерам неинтересно
Как рассказывает соучредитель и президент Kyiv Cyber Academy Олег Деревянко, SMB (средний и малый бизнес), к сожалению, не может себе позволить использовать суперсовременные и дорогостоящие средства защиты или нанять в штат квалифицированных специалистов по кибербезопасности.
Ведь это слишком большие инвестиции для бизнеса их размеров. Многих спасает то, что малый и средний бизнес не так интересен для киберпреступников, как крупные корпорации. Поэтому от нацеленных атак, по его словам, предприниматели страдают значительно реже.
Читайте также: Вирусный маркетинг: как раскрутить бизнес на Facebook-ссорах
Чаще всего кибератаки на SMB происходят довольно банальными способами. Это или DDos-атаки (нападение на компьютерные системы с целью сделать компьютерные ресурсы недоступными пользователям; распределенная атака типа "отказ в обслуживании"), или такой распространенный тип атаки, как ransomware (удаленная блокировка компьютера с требованием выкупа за восстановление доступа).
Но, пожалуй, кибератаки - это далеко не основная угроза для среднего и малого бизнеса в сфере информационной безопасности. Гораздо более опасная вещь - человеческий фактор. Как говорится в исследовании международных организаций Information Systems Security Association и Enterprise Strategy Group, 69% опрошенных профессионалов в сфере кибербезопасности сказали, что основное влияние на атакованные организации оказала нехватка навыков по безопасности у ее сотрудников.
Что нужно делать, чтобы обезопасить критически важные данные бизнеса? LIGA.net пообщалась с предпринимателями и экспертами, которые поделились советами.
1. Бэкапы обязательно!
Как рассказывает руководитель студии Life Design Руслан Дворковой, даже у небольшого бизнеса должна быть культура резервирования критически важной информации. "Мы, например, закупили для наших сотрудников жесткие диски и требуем, чтобы они копировали на них важную информацию с рабочих ноутбуков", - рассказывает руководитель. Он говорит, что жесткий диск стоит относительно немного - в пределах 1500 грн. А вот восстановление информации на рабочем компьютере в случае повреждения основного носителя информации обходится в ощутимые деньги. "У нас был случай, когда пришлось восстанавливать данные на рабочем ноутбуке.
Это обошлось фирме в 12 000 грн. Так лучше же закупить сотрудникам на эти деньги 7 жестких дисков и не попадать больше в такие ситуации", - подчеркивает Дворковой.
Другой вопрос: будут ли сотрудники постоянно резервировать данные на своих жестких дисках. Тут, по словам Руслана Дворкового, все уже зависит от того, какую ответственность несет за этот процесс сотрудник и какие предусмотрены санкции. "У нас сначала объявляется выговор, а после еще нескольких выговоров - увольнение", - делится опытом руководитель.
Читайте также: В тесноте, да не в обиде: как вырастить локальный бизнес
Еще одна хорошая опция для бэкапов - облачные технологии и облачные сервисы типа Dropвox, Google Drive, SkyDrive. Дворковой уверяет, что пользование облачными накопителями обходится совсем недорого. "Мы зарегистрировались на одну программу, которая расширила лимит для каждого нашего аккаунта в облаке до 15 Гбайт, чего с головой хватает. И обходится нам абсолютно бесплатно. И даже если бы платили, то речь идет примерно о $10 в месяц в расчете на наши нужды. Что более чем доступно", - рассказывает руководитель студии.
"Малому и среднему бизнесу следовало бы размещать свои ресурсы в наиболее защищенных облачных сервисах. Это может быть, например, тот же Аmazon или Microsoft Azure", - советует Олег Деревянко.
2. Защищайте почту и аккаунты
Как говорит Руслан Дворковой, в электронной почте хранится очень большое количество критически важных данных, в том числе доступ к банковской информации. "Поэтому создавайте длинные (не меньше 12 символов) и сложные пароли. Желательно установить двухфакторную авторизацию при входе в почту, которая осуществляется с помощью СМС", - подчеркивает руководитель.
Двухфакторная авторизация аккаунта предусматривает после ввода пароля пользователя еще и ввод специального секретного кода, который приходит по СМС. Gmail-аккаунт позволяет также подтверждать доступ с помощью голосового вызова или приложения, установленного на телефоне. Код не понадобится, если есть токен - его можно просто вставить в USB-порт компьютера.
Читайте также: Крошки большого пирога: как заработать на госзаказе
Эксперты по безопасности также рекомендуют сотрудникам менять пароль как минимум раз в три месяца.
Последствия от взлома плохо защищенного аккаунта могут быть критическими. "У моего знакомого взломали почту и от имени его фотостудии поменяли телефон компании на всех сайтах, где была его реклама. Поменяли одну цифру. Даже не заметишь. А клиенты дозвониться не могли. Двухфакторной авторизации не было", - рассказывает журналистка Регина Дацюк.
3. Обновляйте софт
Киевское подразделение международной организации ISACA и Майкрософт делятся рекомендациями по кибербезопасности от международных экспертов. В частности, они советуют обновлять системы сразу же после того, как появились так называемые патчи и обновления микропрограммного обеспечения. Много успешных атак и заражений вирусами уязвимых информсистем были проведены злоумышленниками несмотря на то, что для ПО уже больше года существовали обновления, которые позволили бы избежать инцидентов с безопасностью.
Важно также принимать только те обновления, которые присланы в систему оригинальным производителем. Ни в коем случае не следует принимать обновления от сторонних фирм, которые рассылают их по e-mail.
4. Аккуратнее с Bring Your Own Device
Концепция использования личных гаджетов сотрудников на работе (Bring Your Own Device), которая выглядит очень привлекательной для малых бизнесов и стартапов, тоже имеет много минусов с точки зрения безопасности. Поэтому бизнесмены должны иметь четкую политику насчет того, какие именно устройства их сотрудники имеют право подключать к сети. Кроме того, предприниматели должны обеспечить или дать возможность своим подопечным настроить защиту на их мобильных устройствах таким образом, чтобы ценные данные не были утрачены, например, во время кражи ноутбука.
Читайте также - Сам себе тайм-менеджер: заставь свой бизнес работать как часы
Эксперты советуют отстроить на предприятии систему отчета об украденных и утерянных гаджетах сотрудников. По возможности нужно предусмотреть механизмы для того, чтобы удаленно уничтожить данные компании на всех мобильных устройствах, которыми пользуется персонал.
5. Доступ не для всех
Предоставление сотрудникам доступа к информации должно осуществляться исключительно по принципу служебной необходимости. Ни один из сотрудников не должен иметь доступ одновременно ко всем системам обработки данных. Работники могут иметь доступ только к той информации, которая необходима им для выполнения своих прямых обязанностей.
Полномочия администратора (права "суперпользователя") можно предоставить лишь нескольким доверенным ИТ-специалистам. В случае их отсутствия такие права должны быть у собственника бизнеса.