Здесь нет сложных терминов и инструкций для программистов. Только понятные шаги, которые защитят ваши деньги, репутацию и время. Мы перевели информационную безопасность на язык денег и здравого смысла. Вот 5 базовых шагов, с которых реально начать сегодня и не повторить ошибок, допущенных крупным бизнесом в прошлом.
Введение:
Представьте: ваш цех встал на сутки, потому что инженер перешел по ссылке. Менеджер слил базу клиентов в телеграм-чат. Вирус зашифровал медицинские карты — и клиника не работает. Или хакеры взломали сервер автопарка и грузы стоят. Это не сценарий фильма ужасов. Это новая реальность: мошенники всё чаще переключаются с физических лиц на бизнес. Для предпринимателя это – потеря репутации, клиентов, а самое неприятное – денег, которые могли пойти на развитие.
Содержание:
- Базовый чек-лист. 5 шагов для любого бизнеса
- Три способа не потерять деньги на информационной безопасности (ИБ) и сэкономить главное – время.
- Как собственнику проконтролировать специалиста, не вникая в дебри кода?
Базовый чек-лист. 5 шагов для любого бизнеса
Шаг 1. Люди: наведите порядок в доступах
Проверьте, кто и к чему имеет доступ. Это бесплатно, но закрывает большую часть проблем.
Что нужно сделать сейчас:
- Удалите доступы уволенных сотрудников. «Мертвые души» в системе – открытые ворота для атак.
- Включите двухфакторную аутентификацию (2FA), везде, где возможно. Особенно важно активировать её в онлайн — сервисах, например в почте или VPN. Даже в случае кражи пароля сотрудника, злоумышленник не сможет просто так попасть внутрь ваших систем. 2FA предполагает, что помимо пароля для входа требуется подтвердить личность дополнительным способом, т.е. когда приходит код в СМС или в виде пуш уведомления.
Шаг 2. Поставьте защиту на устройства
Все телефоны, ноутбуки, станки, терминалы и служебные машины должны быть под контролем.
Нужно проверить:
- Антивирус включен и обновляется;
- Операционные системы и программ автоматически обновляются;
- Диски зашифрованы (особенно, если ноутбуки выносятся за пределы офиса организации).
Устройства должны быть под контролем специалистов по информационной безопасности (ИБ). Мы часто сталкиваемся в работе с клиентами, что в штате роль ИТ-специалиста и ИБ-специалиста совмещает один и тот же человек. Это отчасти норма, но таит риск.
Представьте, что сантехник сам проектирует сигнализацию. Он может сэкономить на датчиках, чтобы те не мешали ему чинить трубы. Так и ИТ - специалист может отключить антивирус, потому что он тормозит компьютер бухгалтера. Поэтому, если у вас один специалист, важно, чтобы его контролировали хотя бы на уровне регулярных внешних аудитов.
Шаг 3. Делайте копии. Правило «3-2-1»
«3-2-1» — лучшее правило, придуманное человечеством. Оно гласит: у любых данных должно быть три копии на двух разных носителях и одна из копий должна храниться отдельно. Вы задаетесь вопросом, как часто нужно копировать и что?
Ежедневно: критические данные: базы клиентов/CRM/1C, медицинские карты, бухгалтерия.
Еженедельно: остальное.
Копии рекомендуется проверять раз в месяц, а в идеале при каждом создании. Представьте: у вас сломался сервер или украли данные 25-го числа, восстановить можно только то, что было 1-го числа. Три недели работы — потеряны.
Лайфхак для бизнеса: Настройте автоматическое резервное копирование раз в день в облако или на внешний диск. Процесс займёт 15 минут. Если вы никогда не выполняли эту настройку обратитесь к своему ИТ - специалисту или за инструкциями в интернете.
Шаг 4. Научите сотрудников звать на помощь.
В 2023 году вирус остановил завод в РФ на неделю. В 2023 году вирус остановил завод в РФ на неделю. Причина — один инженер перешёл по ссылке в письме «Сверка по зарплате», отправленного не с корпоративного ящика компании. Итог: убытки в миллионах.
Сотрудники один из главных каналов угроз, но они же и защита. Они должны знать кого нужно оповестить о произошедшем инциденте и как самостоятельно изолировать проблему.
Алгоритм при подозрительном письме или звонке:
1. Остановись. Не кликай на письмо отправленного не с корпоративного ящика или с незнакомой почты.
2. Проверь. Пришло сообщение от «директора» в Telegram, в котором он просил отправить фото чека для предоставления контролирующим органам,
Позвони ему по номеру, который знаешь, а не отвечай в сообщении.
3. Сообщи. Если были отправлены любые, особенно конфиденциальные, данные (логин, пароль, документы) — оповести уполномоченного сотрудника, вышестоящее руководство и коллег.
Шаг 5. Внедрите полезные привычки
За основу для проверки себя и своих сотрудников можно взять вопросы от CIS Controls — международной некоммерческой организации, составляющей рекомендации по информационной безопасности.
- Проводится ли регулярное информирование сотрудников об актуальных угрозах хотя бы раз в квартал?
- Существуют ли простые инструкции для сотрудников на случаи сомнений о подозрительном письме или странном звонке?
- Знают ли сотрудники правила обработки конфиденциальной информации?
- Внедрена ли и соблюдается ли политика работы с паролями?
Политика «Пяти НЕ»/Простые правила для всех (памятка)
- Не используйте один пароль для разных сервисов. Меняйте пароли каждые 180 дней.
- Не записывайте пароли на стикерах
- Не пересылайте паспорта и данные клиентов в чаты мессенджеров.
- Не загружайте коммерческие документ в нейросети или онлайн—PDF- редакторы.
- Не используйте личные флешки для рабочих документов.
Три способа не потерять деньги на ИБ и сэкономить главное – время.
Способ 1. Назначьте ответственного внутри компании (обязательно)
Это не вопрос выбора, это необходимость. Даже если у вас 30 человек и 5 компьютеров.
Главное, чтобы выбранный сотрудник раз в месяц проверял три пункта:
· кто в системе
· есть ли копии
· работает ли антивирус
Используйте бесплатные решения там, где это уместно! Например «Защитник Windows» уже встроен в систему и отлично справляется с базовыми угрозами, бесплатные версии популярных антивирусов, таких как Kaspersky или Avast.
Если вы представляете малый бизнес, подумайте о покупке корпоративного решения: оно поможет снизить риски из—за случайных ошибок сотрудников и при этом не потребует огромных вложений. И не забывайте проверять, что бесплатная защита включена — её отключение может привести к серьезным проблемам.
Способ 2. Поймите, когда внутреннего ресурса мало.
Ваш ответственный – молодец, но он не хакер и не эксперт по безопасности. Его задача следить за базой, которую мы описали выше. А глубокая экспертиза нужна, когда:
· Приходят требования от регуляторов (Роскомнадзор, ФСТЭК, ЦБ);
· Нужно настроить сложное оборудование или разграничить сети (производство отдельно, офис отдельно);
· Вы хотите проверить, нет ли «дыр», которых ваш специалист не видит. (не потому, что плохой, а потому что «глаз замылился»;
Способ 3. Привлекайте внешнего эксперта (Аутсорсинг ИБ)
Покупайте услугу, а не «железо». Для МСБ выгоднее не купить дорогой сервер и лицензии на годы вперед, а взять защиту как услугу, которую выполнят и верно встроят в бизнес-процесс. Это позволяет платить только за то, чем реально пользуешься.
Эксперты автоматизируют рутину: обновление операционной системы и ПО и резервное копирование в облако, тренинги по фишингу для сотрудников, увидят, где «висят бреши» в защите.
Как собственнику проконтролировать специалиста, не вникая в дебри кода?
Вы не обязаны уметь настраивать межсетевые экраны. Но вы обязаны задавать правильные вопросы. Вот шпаргалка для разговора с вашим ИТ- или ИБ-специалистом раз в квартал:
1. Покажи мне список всех, у кого есть доступ к системам: бухгалтерия, финансовое планирование, корпоративные почты. В нем не должно быть уволенных сотрудников.
2. Когда мы в последний раз проверяли работу бэкапов? Попросите показать отчет о восстановлении из копии.
3. Есть ли у нас компьютеры, которые не обновлялись больше месяца?
4. Если завтра всё выключится, сколько времени нам понадобится, чтобы встать? Ответ должен быть конкретный, в часах.
5. Кто из сотрудников чаще всех кликает по фишинговым письмам? Если такой мониторинг не ведется, на это стоит обратить внимание.
Переходите на sbsecurity.ru, мы поможем вам с защитой вашего бизнеса.