Защита данных бизнеса: основное о кибербезопасности

Во многих странах Восточной Европы до сих пор можно заметить негативные тенденции с кибербезопасностью, поскольку инновации могут вводить «чтобы было», а не «чтобы улучшить рабочие процессы». То же касается различных технических регламентов, обучения работе с CRM-системой, корпоративной идеи безопасности и прочего – довольно часто это может быть только формальностью, а не реальными знаниями. Как результат – работник никак не понимает элементарную цифровую безопасность, что в будущем имеет негативные последствия. Поэтому здесь следует понять, что серьезное отношение к таким вещам не берется с пустого места, его нужно сращивать.

Поэтому работников нужно не заставлять изучать эти правила, а привлекать к их внедрению. И в контексте разговора об обучении работников следует помнить, что речь не идет о каких-то IT-шних «высоких материях», а о главных азах безопасности: сложных паролях, своевременном обновлении программного обеспечения, создании резервных копий и распознавании фишинга. Нужно помнить, что вопрос кибербезопасности должен идти сверху . Если руководство демонстрирует полное отсутствие инициативы в этом вопросе, то и все остальные работники будут иметь такое же отношение к этому аспекту. Наиболее серьезно к вопросу информационной безопасности относится служба безопасности, которая, конечно, из-под палки сможет заставить работников низшего звена придерживаться хотя бы базовых рекомендаций и требований. Однако с руководством среднего и высшего звена служба уже может не найти общий язык. В конце концов это даже может привести к конфликту, поскольку работники сочтут, что службе безопасности нет больше работы, поэтому они заставляют их соблюдать глупые и ненужные требования. Кроме того, кибербезопасность должна быть мотивированной. А главное в бизнесе – это деньги и доходы. Даже в настоящее время многие компании vip казино не осознают, к каким потерям может привести утечка базы данных клиентов. А такие инциденты случались в компаниях из любой сферы экономики или деятельности, и это приводило к ощутимому финансовому ущербу. Мало того, такая компания еще и несет репутационные потери, которые зачастую обходятся дороже любых денег. Поэтому владельцу бизнеса следует понимать – введение информационной безопасности мотивировано не только страшными историями о хакерах или истоках, это приносит и выгоду. В частности, речь идет о повышении прозрачности работы персонала и оптимизации рабочих процессов. И такие нововведения следует освещать и разъяснять работникам, а не навязывать их. Если рабочий понимает, зачем и для чего ему предъявляют определенные требования, то и его личное отношение и исполнение будут гораздо более лояльны. И даже если ввести поощрения или штрафы, это не сможет в полной мере заменить качественное разъяснение и обучение.  

Практическая сторона кибербезопасности: что использовать

Итак, бизнес решил серьезно заняться вопросом кибербезопасности и настроить полную систему. Что ему нужно для этого? Довольно значительный ряд шагов, которые могут быть как независимы друг от друга, так и связаны. Рассмотрим же их более конкретно.

Использование брандмауэра

Операционные системы Windows и iOS имеют специальное ПО – брандмауэры . Они направлены на создание барьера между личной информацией и Интернетом или другими сетями. Такое ПО предотвращает несанкционированный доступ и предупреждает о попытках вторжения в информационную инфраструктуру компании. Кроме того, всегда есть возможность приобрести такое обеспечение у других компаний, если по тем или иным причинам стандартный брандмауэр операционных систем не удовлетворяет потребности владельца.

Антивирусное ПО

Таких программных продуктов на рынке сейчас множество. Они пользуются, поскольку в наше время компьютерный вирус может быть скрыт где угодно, и он способен заразить всю систему, если работник сделает один неосторожный клик. Антивирусы защищают систему от несанкционированного кода, программ или другого вредоносного ПО. Конечно, они не являются абсолютным гарантом безопасности, однако мощностей антивируса хватает, чтобы обнаружить и заблокировать, например, фишинговые файлы или ссылки. Многие антивирусы имеют системы автоматического обновления, благодаря чему их базы данных наполняются информацией о новых ежедневно появляющихся вирусах.

Антишпионское ПО

Шпионское программное обеспечение, в отличие от вирусов, имеет конкретные цели: тайно собирать или отслеживать личную информацию. И такие программы зачастую сложно обнаружить и удалить. Некоторые приложения даже способны записывать нажатие клавиш, благодаря чему злоумышленники могут получить пароли или доступ к важной информации. Поэтому здесь бизнесу пригодятся антишпионские пакеты, которые работают в режиме реального времени, сканируют Сеть и блокируют потенциальные угрозы.

Использование сложных паролей

То, чему прежде всего следует научить персонал. Простой пароль типа «1234», даты рождения работника или его родителей всегда являются лакомым куском для хакеров, имеющих программы для подбора и взлома таких элементарных паролей. По рекомендациям специалистов, пароль должен состоять минимум из восьми символов, куда нужно добавить цифры, специальные знаки, прописные и строчные буквы. Работник не должен использовать в пароле информацию, лично связанную с ним.

Регулярное обновление программного обеспечения

Все без исключения ПО должно регулярно обновляться. Это касается операционных систем, браузеров, CRM-систем, антивирусов и т.п. Игнорировать обновление не стоит, ведь часто они содержат исправление уязвимых мест, что усложнит работу хакерам.

Игнорирование спама и фишинга

Еще один пункт, зависящий от образования работников. Их нужно научить тому, что никогда не нужно открывать письма от неизвестных лиц, а тем более переходить по ссылкам в них или загружать файлы, которые к ним прикреплены. Хотя в последнее время здесь видно усовершенствование техники – мошенники маскируются под знакомых или банковские учреждения. Иногда они целенаправленно изучают жизнь только одного работника, чтобы направить ему письмо, которое вызовет минимум подозрений. Однако спам-фильтры очень хорошо улавливают даже самые заметные попытки фишинга. Поэтому работникам следует донести, что папка «Спам» для них неприкосновенна и нет никакого смысла читать попавшие туда письма

Создание резервных копий

Шаг, который может спасти бизнес, даже если он стал жертвой кибератаки. Нет смысла рассказывать о значимости резервных копий, которые будут играть ключевую роль, если хакерам все же удалось прорваться и уничтожить систему.

Использование двухфакторной аутентификации

Пароли всегда являются первой линией защиты системы, но есть второй уровень, который эта защита существенно повышает. Большое количество сайтов позволяет использовать двухфакторную аутентификацию . На практике это организовано так, что кроме пароля работнику нужно будет ввести специальный код, который придет ему на электронную почту или мобильный телефон.

Настройка прав доступа

Нередко бывает так, что слив информации происходит из-за плохо разошедшегося с компанией работника, поэтому решил отомстить. Поэтому нужно уделять особое внимание правам пользователей. С безопасным программным обеспечением и облачными хранилищами доступы должны быть защищены жесткой аутентификацией, а права доступа должны быть четко прописаны под критерии работников или в индивидуальном порядке.

Защита конфиденциальных данных

Владельцу бизнеса нужно выбрать важнейшие для его компании данные, требующие особой защиты. Их следует обеспечить особыми системами безопасности, ограничить доступ работников к такой информации. Но лишним не будет и прописать варианты действий в случае утечки такой информации.

Шифрование информации

И даже если воры получают доступ к желаемым данным, шифрование сведет их успех к нулю. На самых распространенных операционных системах есть приложения для этого: в Windows это BitLocker, а в iOS – FileVault. Этот вариант подходит как для файлов, хранящихся на серверах, так и для хранящихся на внешних носителях информации. Игнорировать это правило – плохая идея. Например, в 2019 году у бухгалтера Facebook с машины украли три жестких диска, на которых размещалась банковская информация о 29 тыс. работниках компании: имена, данные о зарплате, номерах их банковских счетов и последние четыре цифры номера социального страхования. Это все стало хорошей добычей для вора, поскольку информация никоим образом не была зашифрована.

Использование облачных хранилищ

В хранении информации на локальном жестком диске есть ряд недостатков. Во-первых, устройство элементарно может сломаться, что вызовет проблемы с восстановлением данных. Во-вторых, доступ к информации на жестких дисках можно получить физическим способом. Это может быть как работник, вставивший в компьютер флешку и похитивший данные, так и люди, которые просто проникли в офис в нерабочее время. В третьих, если информация, хранящаяся на одном носителе, будет удалена, то возможностей ее вернуть не существует. Облачное хранилище лишено всех этих проблем. К нему нет физического доступа, и он не сможет физически сломаться, а его данные расположены сразу на нескольких серверах, что минимизирует риск потери информации. А доступ к таким хранилищам получить непросто благодаря сложной авторизации и специальным токенам, генерирующим логин и пароль во время каждого входа.

Вывод

Таким образом, можно заметить, что обеспечение кибербезопасности для предотвращения утечки данных имеет два направления. Первое – минимизировать человеческий фактор, который должен происходить в форме обучения персонала. Часто любая техника защиты бывает напрасной, если работник повел себя на фишинговую ссылку и впустил вирус или другое вредоносное ПО в систему. Каждый работник должен пройти адекватный инструктаж по цифровой безопасности. И в интересах руководства то, чтобы это образование было не формальным для галочки, а адекватным курсом, который принесет знание и понимание требований.