Основы кибергигиены: правила, которых придерживаются все компании
За последние два года многие компании столкнулись с DDoS-атаками и утечкой информации. Объём слитых персональных данных в России вырос на 60%. В связи с этим руководители задумались о повышении киберграмотности среди сотрудников. Но что такое киберграмотность? Какие инструменты использовать и как выстроить эффективный процесс?
Что такое кибергигиена
Кибергигиена – это меры предосторожности в интернете, которые соблюдает сотрудник, чтобы избежать киберугроз: обновление программного обеспечения и антивирусов, смена паролей, подключение двухфакторной аутентификации и т.д.
Согласно исследованию экспертно-аналитического центра ГК InfoWatch, в 2023 году возросло количество утёкших персональных данных. Их объём составил 1,12 млрд записей, что почти на 60% выше уровня 2022 года (тогда было скомпрометировано 702 млн записей). Причём истинный масштаб ущерба может быть недооценён, поскольку более чем в 35% утечек объём украденных данных остался неизвестен.
Большинство утечек происходит из-за сотрудников, которые не знают базовые правила кибербезопасности. Незнание законов не освобождает от ответственности, или незнание законов – не оправдание. Тем более, что в России действуют конкретные штрафы на этот счёт.
23 января 2024 года Госдума приняла в первом чтении пакет поправок, которые усиливают административную и уголовную ответственность за утечки персональных данных.
По данным поправок к ст. 13.11 КоАП («Нарушение персональных данных»):
- если произошла утечка данных от 1000 до 10 000 субъектов персональных данных, штраф для юрлиц составит от 3 до 5 млн рублей;
- за утечку данных 10 000–100 000 субъектов – от 5 до 10 млн рублей;
- более 100 000 граждан – от 10 до 15 млн рублей.
За повторные утечки бизнесу могут грозить оборотные штрафы: от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн рублей.
Учитывая переход на цифровые форматы и рост киберпреступности, необходимо обучать персонал основным действиям при угрозе атак.
«В каждой компании нужно прививать культуру кибербезопасности. Это командная игра, в которой слаженная работа, оперативность и стремление к совершенству образуют эффективную защиту», – отметил Виктор Чащин, операционный директор МУЛЬТИФАКТОР.
Соблюдение кибергигиены помогает избежать:
- Риски взлома и потерю данных из-за использования устаревшего ПО и антивирусов. Грамотные специалисты знают, что нужно на постоянной основе обновлять программное обеспечение и антивирусные программы на рабочих компьютерах и ноутбуках, чтобы защитить ПК от новых угроз.
- Фишинг, хакинг, вирусы, установку вредоносных приложений, различные виды кибератак и непреднамеренную передачу доступов злоумышленникам.
- Потерю и уничтожение ценной или конфиденциальной информации. Данные компании, которые обычно находятся на жёстких дисках или в облачных хранилищах, должны быть надёжно защищены с помощью сложных паролей и их регулярного обновления.
Кибиргигиена – это тот самый вспомогательный инструмент, благодаря которому можно значительно минимизировать или свести к нулю различные угрозы.
Как вовлечь сотрудников в обучение кибербезопасности
По нашему мнению, лекции, тренинги и обучающие видеокурсы устарели и не дают эффективных результатов. Но как же обучать сотрудников кибергигиене так, чтобы им нравился процесс обучения и они были заинтересованы в соблюдении правил кибербезопасности?
→ Используйте жизненные примеры. Каждый боится столкнуться со взломом аккаунтов в социальных сетях, на Госуслугах и других сервисах. Чтобы не допустить этого, проведите лекцию и расскажите, как защищать свои данные в интернете: что делать, каким должен быть надёжный пароль, почему важно устанавливать двухфакторную аутентификацию и т.д.
→ Ещё один хороший способ вовлечения – необычная подача контента. Вряд ли найдутся желающие, кто захотел бы учиться. Используйте формат викторины, баттла, квиза, внедрите геймификацию или создайте обучающую игру.
Эпоха технологий и цифровизации толкает компании к поиску новых решений в обучении. То, что было актуальным ещё несколько лет назад, сегодня требует значительных изменений и корректировок. Нужно не бояться осваивать новые площадки и новые формы подачи информации. Ведь от того, как сотрудники воспримут обучающий процесс, зависит многое, в особенности внедрение этого обучения в повседневный рабочий строй.
Основные правила для поддержания кибергигиены
Обратите внимание на эффективные правила кибергигиены, которых мы (компания МУЛЬТИФАКТОР) рекомендуем придерживаться и сами придерживаемся:
- Используйте многофакторную аутентификацию при входе во все учётные записи. Многофакторная аутентификация состоит из «трёх компонентов»: кто вы есть, что вы знаете и что имеете. Только при подтверждении каждого из факторов, при корректной настройке доступов, вы сможете получить доступ к той информации, которую хотели получить или которую вам разрешено получить.
- Проверяйте ссылки и письма, которые приходят вам на почту. Не открывайте сообщения от сомнительного отправителя. Помните, что чаще всего мошенники пишут с ошибками, чтобы зацепить самых необразованных людей.
- Следите за регулярным обновлением программного обеспечения и других устройств. Это одно из самых значимых правил, которое многие игнорируют. Обновления ПО важны, так как они устраняют недостатки в системе безопасности, исправляют ошибки и повышают общую производительность программного обеспечения.
- Не открывайте всплывающие окна с непроверенной информацией. Главный совет в этой ситуации: ничего спонтанно не нажимать и не одобрять, нужно остановиться и подумать. Это может быть взлом или установка вредоносной программы.
- Не забывайте о резервном копировании данных! Если вдруг ваше устройство будет заражено вредоносным ПО, которое может ограничить доступ к данным или заблокировать их, то резервное копирование спасёт вас и ваши данные. Один из способов безопасного резервного копирования данных – их хранение в зашифрованном облачном хранилище. В облачном хранилище вся сохранённая информация превращается в шифротекст, то есть имеет нечитаемый формат. Поэтому шифрование предотвращает попадание данных к злоумышленникам. Расшифровать сохранённые данные можно только с помощью ключа шифрования – пароля и MFA.
В наши дни кибергигиена становится обязательным условием в работе каждого из нас. Все процессы в компаниях связаны с использованием информации разного рода конфиденциальности, поэтому сотрудники на базовом уровне должны знать основные способы защиты данных от различных угроз и взлома.