Чек-лист кибербезопасности: как малому бизнесу защитить данные
Привет, сегодня поговорим про кибербезопасность и как же бизнесу себя защитить?)
Объём российского рынка средств киберзащиты по итогам 2019 года увеличился до 90,6 млрд рублей: рост на 14 % по отношению к 2018 году. Бизнес тратит на информационную безопасность всё больше денег. Но что делать, если ваш бюджет в разы меньше, чем у крупных корпораций? О правилах киберзащиты для малого бизнеса рассказал IT-эксперт.
Услуги злоумышленников дешевеют и становятся доступнее:
- порядка 7000 рублей может стоить конкуренту DDoS-атака на ваш сайт.
- 50 000 рублей потребуют хакеры за кражу паролей к соцсетям и почте, спам-рассылку и слив частной переписки.
- 70 000 рублей — за подрыв репутации: плохие отзывы о компании, чёрный PR, удаление сайта.
При этом аудит — проверка того, насколько вы уязвимы в плане информационных угроз — обойдётся в сумму от 400 тысяч до нескольких миллионов рублей. Однако базовая система киберзащиты не требует столь крупных инвестиций. Сооснователь и коммерческий директор компании «Акстел-Безопасность» Владимир Соловьев сформулировал 5 правил информационной безопасности, а мы дополнили чек-лист ещё одним важным пунктом.
6 советов по кибербезопасности для бизнеса
1
Определите, какая именно информация требует защиты
Чаще всего приходится защищать:
- сведения о клиентах, поставщиках, новых разработках и ноу-хау,
- содержание договоров с партнёрами,
- себестоимость продуктов и услуг,
- аналитические и маркетинговые исследования, их результаты и выводы,
- данные о финансовом состоянии компании и о зарплатах.
2
Оцените реальную стоимость вашей информации
Система защиты информации не должна стоить дороже, чем сама информация. То есть тратить десять рублей на каждый заработанный компанией рубль нерационально. Задача собственника — изучить список потенциальных объектов атаки, оценить риски и возможные потери, рассчитать стоимость покрытия этих рисков и уже после принять решение, каким образом их минимизировать.
3
Позаботьтесь о дополнительной защите данных на удалёнке
2020 год запомнится молниеносным переходом на удалённую работу. Взломать домашнюю интернет-сеть или личный ноутбук легче. А значит, подключаться к корпоративным ресурсам — системам CRM и ERP, почте, хранилищам файлов, внутренним мессенджерам — опаснее. Доступ к домашнему интернет-каналу открывает злоумышленнику доступ и к данным, которые через этот канал передаются.
Важно соблюдать базовые правила информационной безопасности:
- Установите надёжный пароль на домашнем Wi-Fi-роутере. Вариант «123» не подойдёт.
- Установите на домашний компьютер антивирус, либо последнюю версию операционной системы, в которую уже входит антивирус.
- Не игнорируйте сообщения с призывом обновить антивирус, эта программа должна быть актуальной.
- Используя личную электронную почту для работы, не открывайте вложения из писем с незнакомых адресов, не переходите по ссылкам из них: это может быть фишинг.
Фишинговые рассылки — это письма и СМС, которые выглядят как сообщения от надёжных источников. Например, банков, интернет-провайдеров, платёжных систем, известных компаний. Чаще всего в них содержатся две вещи: просьба обновить или прислать какие-то личные данные (номер карты, пароль) и завуалированная угроза («Если данные о карте не поступят в течение недели, ваш счёт будет заблокирован»).
4
Формируйте культуру информационной безопасности
Для малого бизнеса наиболее подходящее по затратам и эффективности решение — обучать сотрудников и владельцев. Предотвращать кибератаки и минимизировать их последствия учат офлайн — например, в Сибирской академии информационной безопасности, и онлайн — на площадках вроде «Нетологии» или «Инфобезопасности».
На таких курсах рассказывают, как правильно пользоваться программами антивирусной защиты, учат создавать и правильно обновлять пароли, объясняют особенности работы с корпоративной почтой, жёсткими дисками, флешками и другими носителями.
5
Используйте специальные облачные сервисы
Для малого бизнеса подойдут облачные сервисы вроде DataFort и McAfee Web Gateway Cloud Setvice. Они защищают информацию от сетевых угроз примерно на том же уровне, что и аппаратные устройства, которые обычно используют для этого в офисах, но тратиться на техобслуживание не придётся. В дополнение к таким сервисам можно подписаться на антивирусную защиту или систему контроля за утечкой информации.
6
Совет от Сбербанка: выпустите цифровую подпись
Её можно использовать для регистрации или авторизации на интернет-сайтах, а также в качестве ключа доступа к файлам и базам данных, защищённым паролем. Квалифицированная электронная подпись (КЭП) наиболее совершенна в плане безопасности. Это ключ, сформированный с помощью криптографических средств, который записывается на USB-носитель.
КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности владелец устанавливает сам. Данные будут защищены, даже когда срок действия ключа истечёт.
Простой способ оформить квалифицированную подпись — подать заявку через Сбербанк Бизнес Онлайн: потребуется минимум документов, а получить подпись можно курьерской доставкой.
Подводя итоги
-
Вредоносные коды, программы, фишинговые рассылки, утечка данных, взломы сайтов и программ — способы, при помощи которых киберпреступники крадут деньги и данные, а также просто портят настроение, деловую репутацию, отношения с клиентами и партнёрами.
-
Потенциальная угроза информационной безопасности — сотрудники. Открытое на рабочем компьютере фишинговое письмо, установка сомнительных программ и приложений, заражённая вирусами флешка — самые частые ошибки.
-
Игнорирование принципов информационной безопасности может привести к серьёзным финансовым и репутационным потерям.
-
Если у вас небольшая компания и ограниченный бюджет, начните с обучения сотрудников основам информационной безопасности.