Интересно Нам нечего терять! Безопасность для самых маленьких… компаний

Khan

Original poster
Jr Moderator
Сообщения
190
Реакции
22
Посетить сайт
Если рассуждать об информационной безопасности малого бизнеса, лучше всего подойдёт такое определение: чтобы стать целью, вовсе не обязательно быть целью. Любая компания может стать жертвой атаки и попасть в неприятную ситуацию со скомпрометированным данными. Почему-то руководители малого бизнеса нередко отмахиваются от проблем информационной безопасности с аргументом «кому мы нужны»? Вы, может и нет, а данные о клиентах, сделках, платежах — вполне. Если вы работаете в компании малого бизнеса или руководите ею, зайдите под кат. Этот небольшой ликбез для вас.
Злоумышленники могут казаться милыми и даже пушистыми. А потом возьмут то, что им нужно.

Symantec всё подсчитал: 40% кибератак совершаются на предприятия малого бизнеса (а теперь ещё добавьте риски и угрозы со стороны сотрудников).Бизнес смотрит, как подвергаются атакам гиганты и продолжает халатно относиться ко всем аспектам информационной безопасности в компании. Да что и говорить, у компаний СМБ на то есть причины:
  • экономия на расходах
  • ложная уверенность в сотрудниках и надёжности инфраструктуры;
  • пренебрежение угрозами из-за халатного отношения к коммерческой информации;
  • в штате нет не то что безопасника, даже системного администратора.

Так себе аргументы, честно говоря. Например, каждый день создаётся до 360 000 вредоносных программ и приложений, большинство из них — фишинг. Беспредельно выросли атаки с применением социальной инженерии. Почему вы думаете, что все угрозы и атаки обойдут именно вас? Если вам дороги данные (которые вам достались за деньги, если вы вдруг случайно забыли или не обратили внимание), информационная безопасность должна стать важным приоритетом в управлении. Она может быть недорогой и эффективной, если подойти к вопросу с умом.

Отслеживайте и будьте готовы

Даже крупные компании и технологические гиганты не способны предотвратить все атаки на корпоративные среды — к сожалению, современные злоумышленники хорошо прокачаны и зачастую в своих методах опережают самые совершенные системы противодействия взлому и утечкам. А раз предотвратить нельзя, необходимы три вещи.

  1. Бэкапы — имейте по крайней мере по две копии всех ваших баз данных, хранящиеся в разных местах (например, на своём сервере и в двух разных ЦОДах провайдеров в облаке).
  2. Мониторинг — попросите системного администратора или аутсорсера создать систему мониторинга внешних и внутренних угроз. Важно не навязывать какое-то конкретное решение, а установить то, с которым спокойно и эффективно сможет взаимодействовать специалист, ответственный за безопасность: это могут быть платные комплексные сервисы, опенсорсные решения или комплекс из разных компонентов (например, базовый мониторинг ИТ-инфраструктуры + сетевой мониторинг + средства операционной системы). Обязательно спросите у специалиста, как он собирается узнавать о проблемах и насколько быстро реагировать. Если речь идёт о небольшой компании (самые незащищённые в малом бизнесе), то весь алертинг должен быть настроен на руководителя или другого абсолютно компетентного сотрудника с высокими правами доступа.
  3. Оперативное реагирование на угрозы — на любую угрозу важно вовремя среагировать: распознать, «перекрыть кислород» (остановить) и предотвратить последствия. Для этого нужен план действий на случай угроз — чтобы все решения были заранее согласованными и однозначными (правда, иногда такой план никуда не годится, т.к. идёт нестандартная атака либо в компании произошёл неожиданный инцидент с сотрудником).

Дорогой инструмент — ещё не признак ума

Много лет мы развиваем свою CRM-систему: функционально насыщенную, но удобную и надёжную, как автомат Калашникова. Мы работаем для малого бизнеса и предлагаем цены ниже, чем за тот же набор возможностей просят наши российские и зарубежные конкуренты. При этом CRM эффективна и количество «отказов» от работы в системе минимальное. Просто потому что система подходит клиентам, а мы не стремимся раздеть клиента на дорогом и красивом консалтинге (проще говоря, не пускаем пыль в глаза). Так вот, с системами управления безопасностью ИТ-инфраструктуры (в частности, ITSM-системами, например) та же история: есть хорошие разработки, которые функционально не уступают крупным вендорам с именем, а работают даже лучше, потому что разработчики стремятся действительно помочь клиенту, т.к. довольный покупатель приведёт ещё двоих (ну или не навредит), а злой — напишет гадость на Хабре (или ещё где-то).

Не нужно упираться в дорогие инструменты и звучные названия вендоров. Совет такой: разработайте детальный план информационной безопасности. Определите все параметры: от кого вы защищаетесь, что защищаете, какие угрозы и риски критичны, какие векторы атаки могут быть, в чём внутри и вне компании вы наиболее уязвимы. После того, как у вас будет план, приступайте к поиску поставщиков программного обеспечения. Выбирая технологии, помните, что злоумышленникам все они тоже доступны и многое будет зависеть от корректных настроек и добросовестного внедрения (всё, как и с CRM-системами, и с любым другим бизнес софтом).

Поскольку ПО для безопасности — один из наиболее доступных путей защиты малого бизнеса, остановимся на этой теме подробнее и рассмотрим, чему ещё нужно уделить внимание.

  • Не инвестируйте в неэффективные технологии. В 2017 году Accenture (PDF) проводил исследование и выяснилось, что 5 из 9 технологий защиты компании разного типа имеют отрицательный инвестиционный эффект (то есть стоят дороже, чем приносят или сохраняют, вы в минусе). Когда затраты на софт превышают экономию, это серьёзный удар по бюджету компании, потому что возникает три безрадостных пути: либо бросить ПО и забыть о стоимости его покупки и внедрения; либо привлекать дорогих специалистов, раскачивать и поддерживать неподходящее ПО; либо платить дальше и использовать его на той же малой мощности. И да, чаще всего первый вариант самый выгодный и наименее рисковый.
  • Не покупайте сложное ПО, в котором не сможет разобраться ответственный за него сотрудник — обязательно привлеките его для выбора и тестирования демо-версий программ, привлекайте к общению с разработчиком и обучайте.
  • Ищите решения, которые подходят вашей компании. Если у вас сеть на 15-20 ПК, 3 принтера, пара роутеров и скромный сервер или всё в облаке, вам точно не нужны решения за 7 млн. рублей (которые, к слову, изначально рассчитаны на крупные организации). Протестируйте варианты и выберите самый оптимальный. Когда ⅔ ПО простаивает, вы окажетесь в пункте 1 этого списка.
  • Даже при найме самого гениального сисадмина, даже при наличии руководителя, окончившего ВМК или мехмат, даже при самом крутом и лояльном админе-аутсорсере заказывайте программное обеспечение для обеспечения инфобеза только с настройкой и внедрением. Это мы вам как разработчик CRM-систем говорим: все тонкости, детали на старте и доработки идеально может сделать только тот, кто спроектировал и разработал ПО, либо имеет по его практическому применению подтверждённые компетенции. Вот это реально толковое вложение — ваш старт будет быстрым и безболезненным, ПО сразу встроится в инфраструктуру и начнёт работать на вас.
  • Обязательно накатывайте все обновления и патчи, которые выпускает разработчик — для управления безопасностью это супер важно. Кстати, этот пункт касается всех корпоративных информационных систем, от корпоративного портала до CRM/ERP, ITSM и проч. «Накатывайте обновления и патчи» это такое же заклинание, как «Делайте бэкапы» (ну почти).
  • Запомните слова и фразы: система комплексной предиктивной аналитики, машинное обучение, искусственный интеллект (во всех сочетаниях), кибер-аналитика, искусственный интеллект для анализа поведения пользователей, нейросети (во всех формулировках). Если вы их слышите от вендора, вы гарантированно переплатите за решение, которое точно вам не подойдёт. Это мантры маркетинга и они волшебным образом удорожают программное обеспечение. Согласитесь «вероятность наступления сделки, рассчитанная по Байесу» звучит менее продающе, чем «искусственный интеллект для скоринга». А фигня та же самая: чем больше сделок с параметрами X,Y, Z закончились покупкой, тем выше вероятность, что новая сделка с X,Y, Z тоже выгорит. С системами безопасности та же история, только часто проблема таких систем у небольшого бизнеса в том, что у него слишком мало данных, чтобы более или менее адекватно использовать подобные алгоритмы.

Сисадмин: домашний или на стороне

Часто в компаниях малого бизнеса (особенно неайтишных) нет своего сисадмина — за работу рабочих компьютеров нередко отвечает самый продвинутый сотрудник, уровень которого порой не доходит даже до умения войти в биос. Свой сисадмин или надёжный админ-аутсорсер (от компании или частник) просто необходимы, если вы хотите мало-мальски защитить свою коммерческую информацию. Поэтому обязательно проведите несколько собеседований, обозначьте рабочие задачи и выберите своего джедая ИТ-инфраструктуры.

Не доверяйте облакам безоговорочно

Раньше нас упрекали в том, что мы как разработчики десктопной CRM-системы воевали с облачными сервисами. С тех пор прошло примерно сто лет и наши клиенты уже пользуются облачными сервисами геомониторинга GeoMonitor и саппорт-системой ZEDLine. Да откровенно говоря, мы всегда были по обе стороны облачных систем: и как пользователи, и как инженеры. Так вот, малый бизнес часто совершает ошибку, полагая, что облачные технологии во всём — гарант безопасности. На самом деле, это масса рисков, связанных с человеческим фактором, атаками на хостинг, форс-мажорами и различными проникновениями и утечками в облачных сервисах. Увы, до сих пор они остаются менее надёжными, чем десктоп (а по-настоящему защищённые среды очень дорогие).

Есть ещё один неприятный аспект облачных сервисов: сотрудники могут хранить, обрабатывать и пересылать данные с помощью бесплатных Google Docs, различных хранилищ и т.д., к которым есть немало вопросов по уровню шифрования и безопасности. Да и сотрудники нередко создают публичные ссылки и раскидывают их уж совсем в ненадёжных каналах.

Сотрудники — уровень опасности красный

Вот мы и пришли к самой большой дыре в безопасности. Если году так в 2010 успешная социальная инженерия была уделом умных злоумышленников и простое мошенничество с её помощью проваливалось из-за очевидной топорности, то сейчас даже сами безопасники не с первых актов общения или взаимодействия распознают атаку. Мошенники идеально воздействуют на человека и прекрасно понимают, что проще атаковать продажницу Василису, чем ломать корпоративные сети и тащить оттуда базу. Две-три неловких ошибки сотрудницы — и вот он, доступ к нужным данным. Работать с безопасностью на стороне человеческого фактора тяжелее всего. Но несколько общих рекомендаций всё-таки есть.
  • Изучайте современные кибератаки (специализированные блоги, Хабр и телеграм вам в помощь) и информируйте о них сотрудников, разъясняя то, как могут действовать мошенники.
  • Проводите тренинги и теневые учения по безопасности: звоните сотрудникам, рассылайте фишинговые письма, провоцируйте коллег в чатах — лучше они клюнут на вашу уловку и получат отповедь (а лучше ликбез), чем попадутся на удочку злоумышленников.
  • Объясните сотрудникам, что если им что-то кажется подозрительным, лучше спросить у сисадмина или руководителя, чем потом расхлёбывать проблемы и тем более их последствия.
  • Пропишите регламенты безопасности, работы с паролями, двухфакторной авторизации и т.д.
  • Разъясните сотрудникам правила пользования устройствами и Wi-Fi общего пользования.
  • Желательно, если вы позаботитесь о личных проблемах безопасности коллег и включите в тренинги атаки на личную почту, облачные хранилища и банковские карты. Это не альтруизм — просто они могут спокойно оперировать рабочими данными в личных сервисах.

Главное правило: безопасность должна быть комплексной и непрерывной, включать мониторинг, меры защиты и работу с персоналом. Главный совет: бойтесь. Наверное, это один из немногих случаев, когда страх по-настоящему оправдан. Если отказаться от ложного чувства безопасности, взгляд на управление компанией становится более трезвым. А управление — разумным.
 

randoman1

New Member
Сообщения
2
Реакции
0
Посетить сайт
Крутяк! Всё всё всё разложил по полочкам. Большие дяди в пиджаках, а их разводят красиво как детей)
А я с воодушевлением принял эту информацию и написал вам в лс, есть пара личных вопросов по теме (y)(y)(y)