Как малому и среднему бизнесу защититься от киберугроз

«Никогда такого не было, и вот опять» — примерно так мы думаем, когда читаем новости об очередной утечке данных или хакерской атаке. В последнее время подобные инциденты произошли с сервисами «Яндекс.Еда», Delivery Club, лабораторией «Гемотест».

Жертвами становятся не только крупные компании, у которых хорошо налажена система безопасности, но и малый бизнес: 43% атак нацелены именно на него, по оценке Accenture Cost of Cybercrime Study. Редакция Мегаплана узнала у экспертов, как защититься от угроз компаниям малого и среднего бизнеса.

Согласно прошлогоднему исследованию разработчика антивируса ESET, почти половина российских предприятий малого и среднего бизнеса в результате действий хакеров частично или полностью потеряла данные. Возникает вопрос: как можно защититься небольшим компаниям, если даже крупные игроки становятся жертвами злоумышленников, и на какие угрозы им в первую очередь стоит обращать внимание?

Руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев отмечает, что малый и средний бизнес может столкнуться с целевой атакой злоумышленников, направленной на получение сведений о конкретном клиенте или работнике.

— При передаче информации о клиенте кому-либо внутри или вовне организации сотрудник должен убедиться, что информацию запрашивает уполномоченное лицо. Для этого в компании необходимо иметь четкие инструкции по работе с данными, а также понимание того, к каким данным имеют доступ разные категории сотрудников. Стоит помнить, что злоумышленники могут маскироваться под государственные органы и отправлять запросы от их имени.

Помимо взломов и вредоносного ПО, нарушители могут использовать методы социальной инженерии, пользуясь доверием сотрудников и отсутствием культуры защиты персональных данных.

Владимир Ожерельев подчеркивает, что желательно убедиться в том, что каждый работник или подрядчик имеет доступ ровно к тем данным, которые необходимы для исполнения их функций. Также не стоит использовать бесплатные непроверенные онлайн-сервисы для работы с документами, содержащими персональные данные. И даже если компания использует популярные онлайн-сервисы для работы с данными, необходимо проверить наличие излишних данных, а также установить сроки хранения данных.

— В небольших компаниях данные могут быть скомпрометированы из-за невнимательности, забытых документов, отсутствия сейфов, слабых паролей, отсутствия разграничения доступа к данным, использования непроверенного ПО. Слабым местом в защите данных часто становится использование личных устройств или учетных записей для работы, а также использование рабочих устройств и учетных записей в личных целях.

Понять значимость и повысить защиту персональных данных можно с помощью мысленного эксперимента, в ходе которого владелец или управляющий бизнесом поставит себя на место клиента, передающего свои данные в компанию, и на место злоумышленника, в руки которого попали данные в результате утечки.

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников отмечает, что малый и средний бизнес, в отличие от крупного, не обладает многомиллионными бюджетами и командой специалистов по информационной безопасности. В то же время небольшие предприятия также могут стать целью для киберпреступников.

Эксперт делится советами по кибербезопасности, которые могут реализовать компании любого масштаба:

1. Используйте встроенные средства операционных систем и приложений для разграничения доступа к информации. Создайте матрицу доступа к своим данным. Введите авторизацию по паролю.

2. Обеспечьте протоколирование доступа к важным данным. Практически все ОС, коммутаторы и серверное оборудование позволяют настроить журналирование событий. Надо не только ограничить доступ к информации, но и следить за тем, кто и как ею пользуется.

3. Обновляйте ОС и приложения на регулярной основе. Это во многом снизит риски взлома из-за существующих уязвимостей.

4. Купите антивирусное ПО, если оно у вас еще не закуплено. Это закроет целый вектор для кибератак. Не забывайте его своевременно обновлять и контролировать его работу.

5. Организуйте резервное копирование своих данных. Разработайте регламент и отработайте восстановление данных из резервной копии.

6. Помните о том, что информационная безопасность — это не состояние, а непрерывный процесс. Следите за состоянием своих данных, серверов и правильности настроек. Мало правильно настроить ОС и ПО, надо еще и следить за работоспособностью и правильностью вносимых изменений.

7. И последнее в списке, но не последнее по важности: кадры решают все. Не забывайте о том, что у вас в компании работают люди. А они являются частью процессов ИБ. Обучайте своих сотрудников приемам безопасной работы с информацией, и это окупится с лихвой.

Также мы собрали для вас 20 самых важных фактов о киберугрозах. Читайте в нашем материале.