Если рассуждать об информационной безопасности малого бизнеса, лучше всего подойдёт такое определение: чтобы стать целью, вовсе не обязательно быть целью. Любая компания может стать жертвой атаки и попасть в неприятную ситуацию со скомпрометированным данными. Почему-то руководители малого бизнеса нередко отмахиваются от проблем информационной безопасности с аргументом «кому мы нужны»? Вы, может и нет, а данные о клиентах, сделках, платежах — вполне. Если вы работаете в компании малого бизнеса или руководите ею, зайдите под кат. Этот небольшой ликбез для вас.
Злоумышленники могут казаться милыми и даже пушистыми. А потом возьмут то, что им нужно.
Symantec всё подсчитал: 40% кибератак совершаются на предприятия малого бизнеса (а теперь ещё добавьте риски и угрозы со стороны сотрудников).Бизнес смотрит, как подвергаются атакам гиганты и продолжает халатно относиться ко всем аспектам информационной безопасности в компании. Да что и говорить, у компаний СМБ на то есть причины:
Так себе аргументы, честно говоря. Например, каждый день создаётся до 360 000 вредоносных программ и приложений, большинство из них — фишинг. Беспредельно выросли атаки с применением социальной инженерии. Почему вы думаете, что все угрозы и атаки обойдут именно вас? Если вам дороги данные (которые вам достались за деньги, если вы вдруг случайно забыли или не обратили внимание), информационная безопасность должна стать важным приоритетом в управлении. Она может быть недорогой и эффективной, если подойти к вопросу с умом.
Отслеживайте и будьте готовы
Даже крупные компании и технологические гиганты не способны предотвратить все атаки на корпоративные среды — к сожалению, современные злоумышленники хорошо прокачаны и зачастую в своих методах опережают самые совершенные системы противодействия взлому и утечкам. А раз предотвратить нельзя, необходимы три вещи.
Дорогой инструмент — ещё не признак ума
Много лет мы развиваем свою CRM-систему: функционально насыщенную, но удобную и надёжную, как автомат Калашникова. Мы работаем для малого бизнеса и предлагаем цены ниже, чем за тот же набор возможностей просят наши российские и зарубежные конкуренты. При этом CRM эффективна и количество «отказов» от работы в системе минимальное. Просто потому что система подходит клиентам, а мы не стремимся раздеть клиента на дорогом и красивом консалтинге (проще говоря, не пускаем пыль в глаза). Так вот, с системами управления безопасностью ИТ-инфраструктуры (в частности, ITSM-системами, например) та же история: есть хорошие разработки, которые функционально не уступают крупным вендорам с именем, а работают даже лучше, потому что разработчики стремятся действительно помочь клиенту, т.к. довольный покупатель приведёт ещё двоих (ну или не навредит), а злой — напишет гадость на Хабре (или ещё где-то).
Не нужно упираться в дорогие инструменты и звучные названия вендоров. Совет такой: разработайте детальный план информационной безопасности. Определите все параметры: от кого вы защищаетесь, что защищаете, какие угрозы и риски критичны, какие векторы атаки могут быть, в чём внутри и вне компании вы наиболее уязвимы. После того, как у вас будет план, приступайте к поиску поставщиков программного обеспечения. Выбирая технологии, помните, что злоумышленникам все они тоже доступны и многое будет зависеть от корректных настроек и добросовестного внедрения (всё, как и с CRM-системами, и с любым другим бизнес софтом).
Поскольку ПО для безопасности — один из наиболее доступных путей защиты малого бизнеса, остановимся на этой теме подробнее и рассмотрим, чему ещё нужно уделить внимание.
Сисадмин: домашний или на стороне
Часто в компаниях малого бизнеса (особенно неайтишных) нет своего сисадмина — за работу рабочих компьютеров нередко отвечает самый продвинутый сотрудник, уровень которого порой не доходит даже до умения войти в биос. Свой сисадмин или надёжный админ-аутсорсер (от компании или частник) просто необходимы, если вы хотите мало-мальски защитить свою коммерческую информацию. Поэтому обязательно проведите несколько собеседований, обозначьте рабочие задачи и выберите своего джедая ИТ-инфраструктуры.
Не доверяйте облакам безоговорочно
Раньше нас упрекали в том, что мы как разработчики десктопной CRM-системы воевали с облачными сервисами. С тех пор прошло примерно сто лет и наши клиенты уже пользуются облачными сервисами геомониторинга GeoMonitor и саппорт-системой ZEDLine. Да откровенно говоря, мы всегда были по обе стороны облачных систем: и как пользователи, и как инженеры. Так вот, малый бизнес часто совершает ошибку, полагая, что облачные технологии во всём — гарант безопасности. На самом деле, это масса рисков, связанных с человеческим фактором, атаками на хостинг, форс-мажорами и различными проникновениями и утечками в облачных сервисах. Увы, до сих пор они остаются менее надёжными, чем десктоп (а по-настоящему защищённые среды очень дорогие).
Есть ещё один неприятный аспект облачных сервисов: сотрудники могут хранить, обрабатывать и пересылать данные с помощью бесплатных Google Docs, различных хранилищ и т.д., к которым есть немало вопросов по уровню шифрования и безопасности. Да и сотрудники нередко создают публичные ссылки и раскидывают их уж совсем в ненадёжных каналах.
Сотрудники — уровень опасности красный
Вот мы и пришли к самой большой дыре в безопасности. Если году так в 2010 успешная социальная инженерия была уделом умных злоумышленников и простое мошенничество с её помощью проваливалось из-за очевидной топорности, то сейчас даже сами безопасники не с первых актов общения или взаимодействия распознают атаку. Мошенники идеально воздействуют на человека и прекрасно понимают, что проще атаковать продажницу Василису, чем ломать корпоративные сети и тащить оттуда базу. Две-три неловких ошибки сотрудницы — и вот он, доступ к нужным данным. Работать с безопасностью на стороне человеческого фактора тяжелее всего. Но несколько общих рекомендаций всё-таки есть.
Главное правило: безопасность должна быть комплексной и непрерывной, включать мониторинг, меры защиты и работу с персоналом. Главный совет: бойтесь. Наверное, это один из немногих случаев, когда страх по-настоящему оправдан. Если отказаться от ложного чувства безопасности, взгляд на управление компанией становится более трезвым. А управление — разумным.
Злоумышленники могут казаться милыми и даже пушистыми. А потом возьмут то, что им нужно.
Symantec всё подсчитал: 40% кибератак совершаются на предприятия малого бизнеса (а теперь ещё добавьте риски и угрозы со стороны сотрудников).Бизнес смотрит, как подвергаются атакам гиганты и продолжает халатно относиться ко всем аспектам информационной безопасности в компании. Да что и говорить, у компаний СМБ на то есть причины:
- экономия на расходах
- ложная уверенность в сотрудниках и надёжности инфраструктуры;
- пренебрежение угрозами из-за халатного отношения к коммерческой информации;
- в штате нет не то что безопасника, даже системного администратора.
Так себе аргументы, честно говоря. Например, каждый день создаётся до 360 000 вредоносных программ и приложений, большинство из них — фишинг. Беспредельно выросли атаки с применением социальной инженерии. Почему вы думаете, что все угрозы и атаки обойдут именно вас? Если вам дороги данные (которые вам достались за деньги, если вы вдруг случайно забыли или не обратили внимание), информационная безопасность должна стать важным приоритетом в управлении. Она может быть недорогой и эффективной, если подойти к вопросу с умом.
Отслеживайте и будьте готовы
Даже крупные компании и технологические гиганты не способны предотвратить все атаки на корпоративные среды — к сожалению, современные злоумышленники хорошо прокачаны и зачастую в своих методах опережают самые совершенные системы противодействия взлому и утечкам. А раз предотвратить нельзя, необходимы три вещи.
- Бэкапы — имейте по крайней мере по две копии всех ваших баз данных, хранящиеся в разных местах (например, на своём сервере и в двух разных ЦОДах провайдеров в облаке).
- Мониторинг — попросите системного администратора или аутсорсера создать систему мониторинга внешних и внутренних угроз. Важно не навязывать какое-то конкретное решение, а установить то, с которым спокойно и эффективно сможет взаимодействовать специалист, ответственный за безопасность: это могут быть платные комплексные сервисы, опенсорсные решения или комплекс из разных компонентов (например, базовый мониторинг ИТ-инфраструктуры + сетевой мониторинг + средства операционной системы). Обязательно спросите у специалиста, как он собирается узнавать о проблемах и насколько быстро реагировать. Если речь идёт о небольшой компании (самые незащищённые в малом бизнесе), то весь алертинг должен быть настроен на руководителя или другого абсолютно компетентного сотрудника с высокими правами доступа.
- Оперативное реагирование на угрозы — на любую угрозу важно вовремя среагировать: распознать, «перекрыть кислород» (остановить) и предотвратить последствия. Для этого нужен план действий на случай угроз — чтобы все решения были заранее согласованными и однозначными (правда, иногда такой план никуда не годится, т.к. идёт нестандартная атака либо в компании произошёл неожиданный инцидент с сотрудником).
Дорогой инструмент — ещё не признак ума
Много лет мы развиваем свою CRM-систему: функционально насыщенную, но удобную и надёжную, как автомат Калашникова. Мы работаем для малого бизнеса и предлагаем цены ниже, чем за тот же набор возможностей просят наши российские и зарубежные конкуренты. При этом CRM эффективна и количество «отказов» от работы в системе минимальное. Просто потому что система подходит клиентам, а мы не стремимся раздеть клиента на дорогом и красивом консалтинге (проще говоря, не пускаем пыль в глаза). Так вот, с системами управления безопасностью ИТ-инфраструктуры (в частности, ITSM-системами, например) та же история: есть хорошие разработки, которые функционально не уступают крупным вендорам с именем, а работают даже лучше, потому что разработчики стремятся действительно помочь клиенту, т.к. довольный покупатель приведёт ещё двоих (ну или не навредит), а злой — напишет гадость на Хабре (или ещё где-то).
Не нужно упираться в дорогие инструменты и звучные названия вендоров. Совет такой: разработайте детальный план информационной безопасности. Определите все параметры: от кого вы защищаетесь, что защищаете, какие угрозы и риски критичны, какие векторы атаки могут быть, в чём внутри и вне компании вы наиболее уязвимы. После того, как у вас будет план, приступайте к поиску поставщиков программного обеспечения. Выбирая технологии, помните, что злоумышленникам все они тоже доступны и многое будет зависеть от корректных настроек и добросовестного внедрения (всё, как и с CRM-системами, и с любым другим бизнес софтом).
Поскольку ПО для безопасности — один из наиболее доступных путей защиты малого бизнеса, остановимся на этой теме подробнее и рассмотрим, чему ещё нужно уделить внимание.
- Не инвестируйте в неэффективные технологии. В 2017 году Accenture (PDF) проводил исследование и выяснилось, что 5 из 9 технологий защиты компании разного типа имеют отрицательный инвестиционный эффект (то есть стоят дороже, чем приносят или сохраняют, вы в минусе). Когда затраты на софт превышают экономию, это серьёзный удар по бюджету компании, потому что возникает три безрадостных пути: либо бросить ПО и забыть о стоимости его покупки и внедрения; либо привлекать дорогих специалистов, раскачивать и поддерживать неподходящее ПО; либо платить дальше и использовать его на той же малой мощности. И да, чаще всего первый вариант самый выгодный и наименее рисковый.
- Не покупайте сложное ПО, в котором не сможет разобраться ответственный за него сотрудник — обязательно привлеките его для выбора и тестирования демо-версий программ, привлекайте к общению с разработчиком и обучайте.
- Ищите решения, которые подходят вашей компании. Если у вас сеть на 15-20 ПК, 3 принтера, пара роутеров и скромный сервер или всё в облаке, вам точно не нужны решения за 7 млн. рублей (которые, к слову, изначально рассчитаны на крупные организации). Протестируйте варианты и выберите самый оптимальный. Когда ⅔ ПО простаивает, вы окажетесь в пункте 1 этого списка.
- Даже при найме самого гениального сисадмина, даже при наличии руководителя, окончившего ВМК или мехмат, даже при самом крутом и лояльном админе-аутсорсере заказывайте программное обеспечение для обеспечения инфобеза только с настройкой и внедрением. Это мы вам как разработчик CRM-систем говорим: все тонкости, детали на старте и доработки идеально может сделать только тот, кто спроектировал и разработал ПО, либо имеет по его практическому применению подтверждённые компетенции. Вот это реально толковое вложение — ваш старт будет быстрым и безболезненным, ПО сразу встроится в инфраструктуру и начнёт работать на вас.
- Обязательно накатывайте все обновления и патчи, которые выпускает разработчик — для управления безопасностью это супер важно. Кстати, этот пункт касается всех корпоративных информационных систем, от корпоративного портала до CRM/ERP, ITSM и проч. «Накатывайте обновления и патчи» это такое же заклинание, как «Делайте бэкапы» (ну почти).
- Запомните слова и фразы: система комплексной предиктивной аналитики, машинное обучение, искусственный интеллект (во всех сочетаниях), кибер-аналитика, искусственный интеллект для анализа поведения пользователей, нейросети (во всех формулировках). Если вы их слышите от вендора, вы гарантированно переплатите за решение, которое точно вам не подойдёт. Это мантры маркетинга и они волшебным образом удорожают программное обеспечение. Согласитесь «вероятность наступления сделки, рассчитанная по Байесу» звучит менее продающе, чем «искусственный интеллект для скоринга». А фигня та же самая: чем больше сделок с параметрами X,Y, Z закончились покупкой, тем выше вероятность, что новая сделка с X,Y, Z тоже выгорит. С системами безопасности та же история, только часто проблема таких систем у небольшого бизнеса в том, что у него слишком мало данных, чтобы более или менее адекватно использовать подобные алгоритмы.
Сисадмин: домашний или на стороне
Часто в компаниях малого бизнеса (особенно неайтишных) нет своего сисадмина — за работу рабочих компьютеров нередко отвечает самый продвинутый сотрудник, уровень которого порой не доходит даже до умения войти в биос. Свой сисадмин или надёжный админ-аутсорсер (от компании или частник) просто необходимы, если вы хотите мало-мальски защитить свою коммерческую информацию. Поэтому обязательно проведите несколько собеседований, обозначьте рабочие задачи и выберите своего джедая ИТ-инфраструктуры.
Не доверяйте облакам безоговорочно
Раньше нас упрекали в том, что мы как разработчики десктопной CRM-системы воевали с облачными сервисами. С тех пор прошло примерно сто лет и наши клиенты уже пользуются облачными сервисами геомониторинга GeoMonitor и саппорт-системой ZEDLine. Да откровенно говоря, мы всегда были по обе стороны облачных систем: и как пользователи, и как инженеры. Так вот, малый бизнес часто совершает ошибку, полагая, что облачные технологии во всём — гарант безопасности. На самом деле, это масса рисков, связанных с человеческим фактором, атаками на хостинг, форс-мажорами и различными проникновениями и утечками в облачных сервисах. Увы, до сих пор они остаются менее надёжными, чем десктоп (а по-настоящему защищённые среды очень дорогие).
Есть ещё один неприятный аспект облачных сервисов: сотрудники могут хранить, обрабатывать и пересылать данные с помощью бесплатных Google Docs, различных хранилищ и т.д., к которым есть немало вопросов по уровню шифрования и безопасности. Да и сотрудники нередко создают публичные ссылки и раскидывают их уж совсем в ненадёжных каналах.
Сотрудники — уровень опасности красный
Вот мы и пришли к самой большой дыре в безопасности. Если году так в 2010 успешная социальная инженерия была уделом умных злоумышленников и простое мошенничество с её помощью проваливалось из-за очевидной топорности, то сейчас даже сами безопасники не с первых актов общения или взаимодействия распознают атаку. Мошенники идеально воздействуют на человека и прекрасно понимают, что проще атаковать продажницу Василису, чем ломать корпоративные сети и тащить оттуда базу. Две-три неловких ошибки сотрудницы — и вот он, доступ к нужным данным. Работать с безопасностью на стороне человеческого фактора тяжелее всего. Но несколько общих рекомендаций всё-таки есть.
- Изучайте современные кибератаки (специализированные блоги, Хабр и телеграм вам в помощь) и информируйте о них сотрудников, разъясняя то, как могут действовать мошенники.
- Проводите тренинги и теневые учения по безопасности: звоните сотрудникам, рассылайте фишинговые письма, провоцируйте коллег в чатах — лучше они клюнут на вашу уловку и получат отповедь (а лучше ликбез), чем попадутся на удочку злоумышленников.
- Объясните сотрудникам, что если им что-то кажется подозрительным, лучше спросить у сисадмина или руководителя, чем потом расхлёбывать проблемы и тем более их последствия.
- Пропишите регламенты безопасности, работы с паролями, двухфакторной авторизации и т.д.
- Разъясните сотрудникам правила пользования устройствами и Wi-Fi общего пользования.
- Желательно, если вы позаботитесь о личных проблемах безопасности коллег и включите в тренинги атаки на личную почту, облачные хранилища и банковские карты. Это не альтруизм — просто они могут спокойно оперировать рабочими данными в личных сервисах.
Главное правило: безопасность должна быть комплексной и непрерывной, включать мониторинг, меры защиты и работу с персоналом. Главный совет: бойтесь. Наверное, это один из немногих случаев, когда страх по-настоящему оправдан. Если отказаться от ложного чувства безопасности, взгляд на управление компанией становится более трезвым. А управление — разумным.
