Безопасность для бизнеса: 10 правил, которые защитят вас от хакеров

07.08.2019 9:45

Безопасность для бизнеса: 10 правил, которые защитят вас от хакеров

"У нас нет информации, которую хотели бы украсть" или "наш бизнес слишком молодой, чтобы вызывать интерес у киберпреступников" — это самые частые отговорки владельцев бизнеса, которые не уделяют достаточное внимание кибербезопасности. Такая беспечность объясняется тем, что хакера до сих пор представляют как двадцатилетнего студента, который ночью в одиночку взламывает сервер Пентагона. На самом деле современные хакеры — это организованная киберпреступность, и они скорее похожи по структуре на проектную команду в бизнесе.

В отчете Hewlett Packard говорится, что в таких группах у каждого хакера в команде есть узкая специализация, а поиск уязвимых мест автоматизирован. Другими словами, бизнес любого масштаба сейчас под прицелом, потому что поиском уязвимостей занимаются боты, а не люди. Вот несколько правил, которые помогут защитить компанию.

#1: Обучайте сотрудников основам киберграмотности

Целями атак становятся не только большие корпорации, поэтому в компаниях любого масштаба сотрудники должны придерживаться правил безопасного поведения. После того как рабочая сеть была заражена вирусом, IT-специалисты часто сетуют на коллег из бухгалтерии или отдела маркетинга, которые нажали на ссылку в письме от неизвестного отправителя. На самом деле сотрудники придерживаются тех стандартов, которые установлены в компании официально, и выполнение которых обеспечивается систематическим обучением и контролем. Так что ответственность за опрометчивые действия персонала лежит на плечах руководителей.

"Уровень цифровой защиты все время растет, но вот человеческая психика не слишком изменилась со времен появления Homo Sapiens. Поэтому хакеры все чаще делают ставку не на технологические уязвимости, а на социальную инженерию, то есть решающее значение играет человеческий фактор. Забытый в кафе телефон, излишняя откровенность в социальных сетях, передача пароля коллеге на записке — все эти грубые нарушения простейшей политики безопасности все еще лидируют в списке причин взлома", — объясняет СЕО компании "mySafety Украина" Сергей Власко.

Обычно владельцы малого и среднего бизнеса считают, что у них нет ресурсов для обучения команды азам кибербезопасности. Хотя на самом деле выход есть — бесплатные онлайн-курсы, например, Cybrary. Создать список запрещенных действий и разослать всем сотрудникам по почте — также посильная задача для бизнеса любого масштаба. Такой список "грехов безопасности" должен содержать запрещенное действие и обязательное пояснение, почему так делать нельзя. Например, почему нельзя использовать один пароль для всех сервисов или записывать его на бумажном стикере и клеить над рабочим столом.

#2: Введите правило регулярно обновлять ПО

Часто сотрудники игнорируют всплывающие окна с уведомлениями антивирусов и других программ, обеспечивающих безопасность. Обновление программ безопасности — одно из самых простых и при этом одно из самых важных действий для защиты от кибератак. Обновления антивирусов чинят "пробоины" и уязвимости предыдущих версий, а также усиливают защиту на опережение тактик взлома. Важно также устанавливать ПО от надежного разработчика и выбирать программу под требования конкретного бизнеса, конфигурации компьютерной сети.

На сайте Государственного центра киберзащиты и противодействия киберугроз Госспецсвязи публикуют списки технических средств защиты информации, например, перечень средств криптографической защиты, которые имеют экспертное заключение. На сайте также есть список антивирусов, которые прошли экспертизу. Однако среди "одобренных" антивирусов нет таких популярных программ, как Avast или Eset, потому что срок выданной лицензии истек (по состоянию на 1 января 2017 года). Поэтому решение об использовании противовирусного ПО зависит от экспертного мнения специалиста по безопасности в компании.

#3: Контролируйте физический доступ к устройствам и сетям

Если сеть обслуживает сторонняя компания, предоставьте ее представителям доступ на компьютере для работы с функционалом, который нужен для выполнения задачи, но не больше. Если сотрудникам нужно покинуть офис во время проведения работ, проконтролируйте, чтобы компьютеры были заблокированы.

#4: Не храните CVV-коды клиентов

Сохранение данных о платежной карте клиента ускоряет процесс совершения транзакций, так как не нужно каждый раз вводить одну и ту же информацию. Однако хранение кода CVV — слишком рискованная затея. Оптимальным вариантом для удобства и безопасности является хранение всех данных о карте, кроме этого кода. Скорее всего, клиенту не составит большого труда вводить три цифры при совершении покупок, но безопасность в данном случае важнее экономии нескольких секунд.

#5: Установите защищенные браузеры на компьютеры в офисе

Современные браузеры имеют механизм для защиты от проникновения к операционной системе компьютера. Этот подход называется Sandbox — то есть песочница. Браузеры, использующие технологию Sandbox, отделяют выполнение процессов, для которых требуется взаимодействие с операционной системой, от тех процессов, которые могут выполняться автономно (например, чтение интернет-страницы). Благодаря этому минимизируется доступ к функциям ОС при выполнении всего кода, где это только возможно. Таким образом, код злоумышленников не выходит за пределы "песочницы" и не может навредить системе. Браузеры, поддерживающие эту технологию: Chrome, Edge, все браузеры на базе Chromium.

#6: Используйте экранную клавиатуру

Для ввода секретной информации желательно освоить набор с помощью экранной клавиатуры. Это защитит от злоумышленников, использующих кейлоггер.

Кейлоггер — это программа, которая записывает последовательность нажатия клавиш на механической клавиатуре компьютера. Эта лазейка позволяет киберпреступникам получить пароли, передача которых защищена в цифровом виде. Поэтому для ввода особо важной и конфиденциальной информации рекомендуется использовать экранную клавиатуру.

#7: Защитите рабочую Wi-Fi сеть

Чтобы избежать несанкционированного доступа, нужно скрыть беспроводную сеть и защитить ее. Вот простые рекомендации, которые помогут обезопасить Wi-Fi в офисе:

  • запретите доступ из внешних сетей;
  • зашифруйте точку беспроводного доступа и скройте идентификатор набора служб.

#8: Отдавайте предпочтение 64-битным программам

Более современные 64-битные версии ПО имеют более безопасную архитектуру по сравнению с 32-битными аналогами. Так, 64-битное ПО более эффективно использует принцип рандомизации размещения адресного пространства. Это значит, что системный код размещается "случайным" образом, чтобы хакеры не знали адресов его размещения.

#9: Используйте двухфакторную аутентификацию

Это должно стать привычкой для всех сотрудников компании, вне зависимости от отдела и должности. Во время входа на какой-либо онлайн-сервис или в приложение система запросит не только стандартную форму логина и пароля, но еще и динамический код подтверждения. При каждом входе система генерирует новый код и высылает его на доверенное устройство (например, на телефон по СМС). Двухфакторная аутентификация значительно усложняет процесс взлома аккаунта.

"Защита от киберугроз — процесс непрерывный. Всегда есть риски и затраты на их предотвращение, их нужно сопоставлять и взвешивать. Человеческий фактор — один из главных рисков для любой компании, но при этом его не так дорого устранить.

Чтобы обучить команду кибербезопасности, нужно выработать общее понимание о том, что такое безопасность данных, и донести его до коллег. Если хотя бы один сотрудник не придерживается правил информационной гигиены — компания уязвима. Все должны использовать надежные пароли, применять двухфакторную аутентификацию, не вставлять "домашние" флешки в рабочий компьютер", — объясняет security expert онлайн-маркетплейса для поиска репетиторов Preply Дмитрий Вдовичинский.

#10: Шифруйте резервные копии данных

Резервное копирование данных не раз спасало бизнес, но это благое дело нужно совершать осторожно. Создание копии на облаке или удаленном сервере — новая лазейка для получения злоумышленником ваших файлов. Перед загрузкой документов на облако нужно зашифровать их и защитить паролем. Так вы будете уверены, что документы в безопасности, даже когда они хранятся на удаленном сервере.

Источник

Читайте также