Информационная безопасность — не роскошь для крупных банков, а вопрос выживания даже для небольших финансовых компаний.
Вводное стресс-тестирование: холодный душ для всей команды
Совместно с бутиком информационной безопасности 0trust0day мы начали с практического стресс-теста. Без предупреждений (но с разрешения директора) провели серию имитаций атак: фишинг, заражение системы, попытки удалённого доступа.
Результаты были показательными:
- 2/3 сотрудников ввели свои реальные пароли на поддельной странице входа, визуально неотличимой от корпоративного портала.
- Из 25 человек только трое сообщили о подозрительных письмах в службу безопасности.
- Удалось установить известный троян с удалённым подключением к серверу аналитиков — просто через подложное обновление ПО.
- Внутренний антивирус не среагировал, журналы событий не велись, а сеть не была сегментирована.
- Прямо во время тестирования была зафикисрована утечка данных, а информация поступающая по данному каналу торговалась в даркнете!
Финансисты работали профессионально, но в вопросах ИБ полагались на удачу. Это и привело к результатам стресс-теста.
Новая инфраструктура и культура - три шага, которые изменили всё
После анализа слабых мест внедрили чёткую, короткую стратегию: инвентаризация — контроль — обучение.
Шаг 1. Полная инвентаризация
Создан реестр всех информационных активов: ноутбуков, лицензий, баз данных, облачных сервисов. Каждый актив имеет владельца, срок обновления и уровень критичности. Теперь компания знает, что защищает и где это находится.
Шаг 2. Контроль доступов и MFA
Введён принцип наименьших привилегий: финансисты видят сделки, аналитики — отчёты, операционный персонал — только инфраструктуру. Все критические учётные записи переведены на двухфакторную аутентификацию, логирование активировано. Сегментирована сеть: взлом одной станции больше не даёт полный доступ.
Шаг 3. Обучение сотрудников
Короткие практические модули по фишингу, поведению при потере устройства, правилам обращения с данными клиентов. Обучение не в формате лекций, а через реальные кейсы. Через месяц половина сотрудников уже самостоятельно сообщала о подозрительных письмах, а после трёх месяцев — 90 % успешно проходили проверочные тесты.
Новая инфраструктура и культура
Через полгода после старта проект превратился из «кризисного» в норму:
- Система аудита безопасности работает ежеквартально.
- Мониторинг логов и уведомления о подозрительных активностях автоматизированы.
- Все данные клиентов резервируются в изолированном контуре.
- План реагирования протестирован на имитации инцидента - время восстановления снизилось с 8 часов до 1,5.
Компания перестала воспринимать безопасность как «затрату» — теперь это бизнес-процесс.
Результаты
Клиенты отметили: повышенная строгость при идентификации не раздражает — она воспринимается как гарантия надёжности.
Фирма использует это в коммуникации: «наши процессы защищают не только активы, но и репутацию».
Что сработало
Начали с проверки реальностью. Стресс-тест показал, насколько уязвимы даже опытные специалисты.
Выбрали простую модель. Не ISO-сертификат, а понятные процедуры и ответственные лица.
Обучали, а не читали нотации. Коротко, по делу, с демонстрацией ошибок.
Встроили ИБ в планёрки. Риски теперь обсуждаются как часть бизнес-решений.
Итог
Бутик 0trust0day из 25 человек не стал «технологическим гигантом», но стал защищённой финансовой компанией. Информационная безопасность перестала быть издержкой и стала конкурентным преимуществом. Первое стресс-тестирование показало полную неготовность, но через полгода фирма могла бы выдержать аналогичную атаку почти без потерь и без серьёзных рисков.