Домой Разное Основы кибербезопасности: как обезопасить малый бизнес от киберугроз

Основы кибербезопасности: как обезопасить малый бизнес от киберугроз

358
0

По данным агентства TADVISOR рынок информационной безопасности в России растет на 10-15% ежегодно. Бизнес вполне обоснованно тратит на киберзащиту все больше средств, заказывая комплексные мероприятия, от аудита до разработки индивидуальной системы защиты. Но что делать малому бизнесу, который не может тратить сотни тысяч рублей на кибербезопасность? Эксперт компании BI ZONE предлагает базовый список мер, которые позволят снизить риски без больших затрат.

Основные риски, с которыми может столкнуться информационная система

Сегодня даже небольшой бизнес использует информационные системы. Приложения для заказа еды, система электронного документооборота или автоматизации бизнеса, корпоративный сайт даже небольшого предприятия — все это может стать целью атаки, стоимость которых заметно подешевела. Сейчас ваш конкурент или злоумышленник, который собирается шантажировать вас, может заказать:

  • DDoS-атаку на сайт или мобильное приложение — всего 7000 рублей, чтобы перегрузить ресурс и сделать его временно недоступным;
  • взлом базы данных, кража паролей, личных данных клиентов — 50 000 рублей, за информацию, которая потом будет использоваться для рассылки спама и может нанести урон репутации бизнеса;
  • черный PR — 70 000 рублей хакеры берут за удаление сайта, замену информации со страниц на компрометирующий контент, оставление плохих отзывов.

Подобным угрозам подвергаются даже сайты крупных корпораций. Чтобы обезопасить себя, они содержат в штате целые команды IT-специалиста. Средний бизнес заказывают аудит у сторонних организаций, но его стоимость начинается от 400 000 рублей. Впрочем, если у вас небольшая компания, можно и без комплексной проверки системы сказать, что уязвимые места точно есть. Но чтобы их найти и закрыть, не нужны крупные капиталовложения. Достаточно учесть и выполнить 6 основных правил.

 

6 правил по кибербезопасности, о которых стоит помнить малому бизнесу

 

Определите, какую информацию нужно защищать

Как правило, для небольшого сайта достаточно резервного копироваться (чтобы можно было в любой момент восстановить страницы) и защиты лишь самой важной информации:

  • баз данных с информацией о клиентах, поставщиках, сотрудниках, разработках;
  • учредительных документов, договоров с партнерами;
  • накладных, страниц с расчетами, по которым рассчитывается стоимость услуг;
  • финансовых, налоговых отчетов, зарплатных ведомостей

Определите реальную стоимость информации

Это нонсенс, когда стоимость системы кибербезопасности дороже защищаемых данных, например, когда на защиту информации ценностью в 1 рубль нужно вложить 5 или 10 рублей. Основная задача владельца — рассмотреть список потенциальных целей для киберзлоумышленников и оценить их реальную цену.

Например, тратить сотни тысяч рублей на разработку системы защиты общедоступных данных смысла нет. Достаточно перенести информационную систему компании на надежный хостинг и настроить систему резервного копирования. С другой стороны, данные клиентов — ценный ресурс. Утечка персональных данных — это не только потенциальная упущенная прибыль, которая уйдет конкурентам, но и репутационные риски.

Слабое место — компьютеры сотрудников, работающих удаленно

Нет, отказываться от удаленки не нужно. 2020 год показал, что удаленная работа может быть не менее продуктивной. А некоторые компании смогли даже снизить издержки и увеличить свою эффективность. Но важно помнить, что личный ноутбук или домашнюю сеть взломать легче. Работники, как правило, не сильно заботятся о личной кибербезопасности. И если они регулярно подключаются к корпоративным системам CRM, ERP, это может стоить дорого. Взломав домашний Wo-Fi (а некоторые работники вообще умудряются подключаться через открытые общественные сети), хакер получает доступ ко всем передаваемым данным.

Поэтому если у вас есть сотрудники, работающие удаленно, важно установить для них базовые правила:

  • если приходится использовать общественные Wi-Fi-сети (в аэропортах, гостиницах), обязательно использование лицензированных (платных и с надежной репутацией) систем шифрования, например, VPN;
  • обязательна установка сложного пароля на домашнем Wi-Fi-роутере. Не менее 13 символов, сочетание букв, цифр и разделительных знаков. Код типа “12345” или “qwert” точно не подойдет;
  • обязательно регулярное обновление операционной системы и антивируса — откладывание установки обновленных пакетов безопасности открывает уязвимости для взлома компьютера или ноутбука;
  • соблюдение правил работы с электронной почтой — запрещено открывать вложения или переход по ссылкам из писем от незнакомых пользователей. Вероятно, они содержат фишинговый код.

Обратите внимание! Фишинговые рассылки часто маскируются под сообщения из банка или от интернет-провайдера. Также они могут содержать в заголовке сообщения типа “вам пришел перевод”, “вы получили наследство, выиграли в лотерею”. Может быть и угроза: “обновите данные, иначе ваша карта будет заблокирована”. Поэтому нужно внимательно смотреть адрес отправителя и не открывать подозрительные сообщения.

Культура информационной безопасности

Чаще всего взломы сайтов и корпоративных информационных систем происходят из-за ошибок, допущенных сотрудниками: установили простой пароль, зашли в систему с общественного Wi-Fi, случайно оставили открытым доступ к базам данных. Избежать ошибок позволяет обучение персонала компании кибербезопасности. Сейчас подобные курсы проводят как университеты, образовательные центры и длятся они от нескольких дней до месяца (в зависимости от темпов обучения).

На таких курсах сотрудники узнают, как правильно пользоваться анивирусами, как распознать фишинговые сообщение, как правильно обновлять пароли и много другого.

Пользуйтесь специализированными облачными сервисами

Как правило, в крупных корпорациях используются аппаратные файрволлы, которые защищают от атак извне. Малый бизнес может воспользоваться услугами облачных сервисов, например, DataFort, McAfee Web Gateway, облачные решения BI.ZONE. Вам не нужно закупать и обслуживать оборудование. Тарифы гибкие, в пакете дополнительно можно гибко выбирать набор необходимых услуг.

Используйте цифровую подпись

Сформировать цифровую подпись можно в личном кабинете на портале Госуслуг. При этом она позволит повысить безопасность документооборота, может использоваться как ключ доступа к базам данных.

При формировании цифровой подписи используются методы криптографии, уровень защиты таков, что взломать ее с использованием современных вычислительных мощностей невозможно (на это уйдут десятилетия).

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь