Три принципа, которые работали у римских генералов и спасают бизнес сегодня. С аналогиями, историей, примерами из жизни и чек-листом из 10 пунктов, который любой владелец проверит за 15 минут и поймёт, где завтра может потерять миллионы.
Люди всегда передавали важные сообщения так, чтобы их видели только нужные глаза, чтобы текст оставался точным и чтобы послание доходило вовремя, несмотря ни на что.
Со временем эти три задачи оформились в то, что сейчас называют CIA-триадой конфиденциальность, целостность и доступность.
Интересно, что та же триада идеально описывает здоровые отношения с девушкой.
Конфиденциальность когда её личные сообщения, фотографии и секреты видишь только ты, и никто из друзей, мамы или бывшего не получает к ним доступ.
Целостность когда её слова и обещания остаются именно такими, какими она их дала: «встретимся в субботу в 19:00» не превращается в «ой, забыла, передумала».
Доступность когда она отвечает на звонок, если тебе плохо или срочно нужно поговорить, а не пропадает на беззвучке три дня.
Нарушишь любой из трёх и то, что строилось месяцами, может рухнуть за один вечер.
Соблюдаешь все три доверие, точность и надёжность и она остаётся с тобой надолго.
Точно так же работает и с данными в бизнесе.
Как работала CIA-триада две тысячи лет назад
Юлий Цезарь использовал простой, но системный способ защиты переписки буквы в сообщениях сдвигались на три позиции в алфавите (A → D, B → E и т.д.), что не спасло бы от серьёзного противника, но позволяло скрыть смысл от случайного любопытства. Это один из первых в истории задокументированных случаев сознательного обеспечения конфиденциальности информации.
Для целостности данных римляне использовали двойной контроль к письму прилагался отдельный свиток с кратким резюме, заверенный той же печатью. Любое несовпадение признак подделки.
А доступность гарантировали «дороги побед» сеть мощных трактов, по которым гонцы доставляли сообщения даже сквозь штормы и засады. Без этих принципов Рим не стал бы империей.
Спустя две тысячи лет военные по всему миру от подводных флотов до систем ПВО решали ровно ту же задачу координаты цели не должны измениться по пути, планы не должны утекать к противнику, а связь должна жить после торпеды.
В 1980-е банки теряли миллионы на поддельных чеках и придумали контрольные суммы, которые стали предками современных хешей.
После 11 сентября 2001 года сгорели сервера и бэкапы множества организаций, хранившиеся в одном здании, и мир ввёл правило 3-2-1 три копии, два типа носителей, одна копия далеко от офиса.
Что стало базовым минимумом. Сегодня всё работает точно так же, только вместо воска - шифрование, вместо печати - электронная подпись, вместо курьера - облачные бэкапы.
Конфиденциальность в бизнесе.
Почему клиенты уходят навсегда? Конфиденциальность когда клиент оставляет вам телефон и спит спокойно, зная, что номер не попадёт спамерам и не будет продан в даркнете за 500 рублей за тысячу контактов. Нарушение происходит, когда менеджер ушёл к конкуренту с базой в телефоне или хакеры выложили ваши данные. Штрафы по статье придут, но клиенты уйдут раньше и навсегда.
Целостность данных и одна изменённая цифра может убить бизнес
Целостность когда в системе написано «1000 штук на складе», и именно 1000 штук там лежит. Одна изменённая цифра грузовик приезжает, места нет, поставщик в ярости, контракт сорван. Или реквизиты в платёжке меняются, а сумма остаётся миллион и деньги уходят мошеннику. Или в больнице ошибочно внесли данные и из-за неверных данных человек попадает в реанимацию. Решения принимаются по ложным данным и бизнес тихо умирает.
Доступность систем и ваш бизнес должен работать 24/7
Доступность когда клиент заходит на сайт в 23:00 и всё открывается за секунду, даже если в этот момент кто-то пытается «положить» сайт или ransomware зашифровал данные.
Клиент не знает про «технические работы» он просто уходит к конкуренту, если ждёт дольше 10 секунд.
Доступность это готовый ответ на вопрос: «Что будет, если сегодня вечером рухнет основной сервер?»
Как внедрить правило 3-2-1 и обеспечить доступность на практике
Эти три вещи нельзя включить кнопкой, но их можно построить каждый день. Начните с простого соберите команду на полчаса и напишите на одном листе, что именно убьёт бизнес за день, если пропадёт или утечёт.
Посчитайте, сколько стоит час простоя и умножьте на пять, обычно сильно недооценивают.
Заведите простой регламент на полстраницы кто имеет доступ к чему и кто отвечает.
Самое важное для доступности э настроить бэкапы по правилу 3-2-1. У вас всегда должно быть три полные копии важных данных. Одна копия с которой вы работаете каждый день (основная, на сервере или компьютере). Вторая копия локальная, на отдельном устройстве: внешний диск, NAS в офисе или второй сервер. Третья копия ю полностью вне вашей физической локации в облаке или на диске в другом городе.
Для полной надёжности добавьте четвёртую копию с воздушным зазором (air-gapped) диск физически отключённый от сети.
Два разных типа носителей защищают от сбоя одного вида (SSD + жёсткие диски + облако). Одна копия далеко спасает от пожара, потопа или конфискации.
Теперь даже если офис сгорит, хакеры зашифруют всё или сотрудник случайно удалит базу вы поднимаетесь за часы, а не за недели. Три копии, два носителя, одна далеко и доступность у вас уже на уровне, которого нет у 90 % малого бизнеса.
Включите двухфакторку везде, где она включается. Раз в квартал покажите сотрудникам тестовое фишинговое письмо и спокойно поговорите с теми, кто кликнул. Найдите внешнего аудитора хотя бы раз в год ю он увидит то, что вы не замечаете.
Три вопроса, которые спасают миллионы
И главное правило, которое спасло тысячи компаний когда в мессенджере приходит «срочно переведи по новым реквизитам», остановитесь на десять секунд и спросите себя три вопроса: —
- Почему реквизиты передаются в мессенджере?
- Есть ли электронная подпись и совпадает ли сумма?
- Если сейчас пропадёт интернет что произойдёт?
Десять секунд паузы часто стоят дороже любого антивируса и целого отдела безопасности. CIA-триада спасала римских генералов, военных инженеров и спасает ваш бизнес прямо сейчас. Только теперь ошибка происходит не за недели, а за минуты. А три простых принципа остаются теми же, что и две тысячи лет назад.
Чек-лист проверки безопасности бизнеса за 15 минут
Этот список не теория, а проверка на конкретные уязвимости, которые могут стоить денег, клиентов и репутации завтра. Отмечайте только то, что выполнено на практике.
☐ 1. Критичные активы определены
У меня есть письменный список из 5–10 вещей, без которых бизнес встанет завтра (например: 1С/CRM с базой клиентов, почта, финансовые документы, доступы к рекламным кабинетам, исходный код сайта).
☐ 2. Стоимость простоя посчитана
Я знаю, сколько теряю за час простоя ключевой системы (например, сайта или 1С). Формула: (средний чек × количество заказов в час) × 5 (коэффициент на репутационные потери и срыв сроков).
☐ 3. Доступ к данным регламентирован
Каждый сотрудник чётко знает и может назвать:
- Кому внутри компании разрешён доступ к конфиденциальным данным (базе клиентов, финансам).
- Что передавать такие данные вне компании (даже бывшему коллеге или партнёру) строго запрещено. Это правило записано.
☐ 4. Резервные копии настроены по правилу 3-2-1 и проверяются
Есть 3 копии основная (рабочие данные) + локальная резервная (отдельный диск/NAS) + удалённая (облако или другой город).
Есть 2 типа носителей (например, диск + облако).
Есть 1 копия которая изолирована и защищена от немедленного удаления или шифрования).
Доп. проверка, где мы регулярно пробуем восстановить файл из резервной копии, чтобы убедиться, что она работает.
☐ 5. Доступы защищены двухфакторной аутентификацией (2FA/MFA)
Пароли к почте, облаку, бухгалтерии и CRM защищены не просто смс-кодом, а приложением-аутентификатором (Bitrix/Google/Microsoft Authenticator) или аппаратным ключом. СМС только как крайний вариант.
☐ 6. Проводится тренировка по фишингу
За последние 3 месяца сотрудники получили учебное «фишинговое» письмо (например, «срочная премия» или «проверка пароля»). Тех, кто «клюнул», не наказывали, а спокойно проинструктировали.
☐ 7. Налажен внешний аудит информационной безопасности
Есть внешний специалист (аудитор) по ИБ, который раз в год проводит проверку и даёт конкретные рекомендации по защите данных и систем со стороны.
☐ 8. Есть письменный план действий на случай инцидента
На стене или в общем чате лежит понятная инструкция на 1 страницу что делать в первые минуты, если обнаружена утечка данных, сработал шифровальщик или упал сайт. Указаны номера телефонов и ответственные.
☐ 9. Действует правило «звонка для подтверждения»
Все знают когда в чате приходит «срочно переведи по новым реквизитам», нужно немедленно позвонить отправителю на известный номер и устно перепроверить. Это правило работает всегда, даже если сообщение якобы от директора.
☐ 10. Права доступа пересматриваются регулярно
Мы раз в квартал (или при любом увольнении) проверяем и отзываем доступы уволенных сотрудников к почте, облаку, CRM, рекламным кабинетам и финансовым системам. Ни у одного бывшего сотрудника не осталось «служебного» пароля или токена доступа.
Если хотя бы один пункт без галочки завтра может стать очень дорогим днём.