БОЛЬШОЙ РОЗЫГРЫШ! Заказывай от 99 р. в приложении Каталог Onlíner до 31.01 и получи шанс выиграть призы от Dreame

Если оглянуться и проанализировать прошлое, заметно, что способы несанкционированного доступа к информации в последние десятилетие-полтора изменились. Раньше «самым страшным зверем» были вирусы — вредоносное ПО, которое пробиралось на компьютеры жертв, но современные операционные системы и антивирусное ПО справляются со многими угрозами.

Потому злоумышленники действуют сегодня более изощренно и технологично, и цель владельца информационной системы — сделать так, чтобы между пользователем и данными появилась прочная «стена».

Обеспечение кибербезопасности сегодня, если говорить о малом и среднем бизнесе, это не о том, как «сделать идеально», а как снизить реальные риски без лишних затрат. Тем более обычно небольшие компании не становятся конкретной целью, а лишь попадают под массовые и автоматизированные атаки: фишинг, подбор паролей, взлом через почту, получение удаленного доступа и подобное. Исходя из этого и можно двигаться дальше.

Шаг за шагом — что делать?

1. Первое — оценить риски.

«Компании нужно начинать с таких процессов, как аудит, оценка активов, моделирование угроз, оценка рисков и так далее. Можно оценивать как количественными методами, так и качественными», — поясняет начальник центра кибербезопасности МТС Кирилл Субоч.

По результатам первичной оценки и понимания тех рисков и последствий, с которыми может столкнуться компания, и ущерба, который она понесет, можно выстраивать систему защиты информации.

Этот процесс индивидуален, но в целом к критичным активам можно отнести:

• финансовые данные;
• персональные данные клиентов и сотрудников;
• обеспечение доступа к различным учетным системам (бухгалтерским, работы с клиентами, корпоративной почте и так далее).

2. Определить, какие угрозы наиболее вероятны: почтовый фишинг, вредоносные почтовые вложения, компрометация удаленного доступа или банальный «вынос» данных сотрудниками.

3. Понять, какой ущерб может быть нанесен: от финансовых потерь (в том числе штрафов) до простоя бизнеса и утери данных.

Аудит с элементами тестирования на проникновение, поясняет эксперт, иногда позволяет понять, что существующие решения (приобретенные и интегрированные ранее) устарели и не работают.

«К сожалению, данный процесс может позволить не каждая организация. Где-то нет компетентных сотрудников, где-то отсутствует понимание руководства: „Почему я должен тратить на это деньги?“ А маленькие организации, бывает, не считают нужным себя защищать. Не исключено и то, что кто-то сразу для себя решил: ущерб значительно меньше потенциальных затрат на построение или обновление системы защиты информации», — рассказал наш собеседник.

Но руководителям, советует эксперт, не стоит забывать о том, что в нашей стране есть административная, а в некоторых случаях и уголовная ответственность — например, за утечку персональных данных.

Что защитить в первую очередь?

Часть ответа можно получить, проведя оценку рисков и остальных моментов, описанных в пункте выше.

Только комплексный подход к техническим и организационным мерам может дать соответствующий результат: нет одной «таблетки», при использовании которой можно сказать: «Ну вот, у меня все хорошо!»

«Тут нужно принимать во внимание несколько аспектов. Существуют регуляторные требования к построению системы защиты информации, обозначенные Оперативно-аналитическим центром при Президенте Республики Беларусь», — поясняет эксперт.

И основываясь на них, каждая компания, каждое предприятие определяет для себя основной вектор работы в рамках обеспечения кибербезопасности: в документах описаны необходимые алгоритмы того, «что нужно», «как нужно» и «для кого».

Такой подход можно расценивать как обязательную «программу-минимум», но для повышения эффективности систему защиты информации не возбраняется усилить.

«Конечно, нужно понимать, что построение системы защиты информации зачастую сопряжено с определенными издержками как денежного, так и организационно-технического характера. На вопрос „Что нужно обезопасить в первую очередь?“ опять возвращаемся к моделированию угроз и оценке рисков. На основе этих процессов почти всегда однозначно можно определить приоритеты», — добавляет Кирилл Субоч.

Если же говорить о самых базовых мерах, которые стоит выполнять исходя из реального положения вещей (а не потому, что «надо»), список достаточно простой.

• Управление доступом и паролями

Пароли должны быть уникальными для всех сервисов, если возможно — необходимо использовать двухфакторную аутентификацию. Такой подход возможен при минимальных финансовых затратах.

Более продвинутый подход — Централизованное управление доступами. Считается, что он значительно снижает риски компрометации данных и повышает уровень информационной безопасности. В этом случае бремя ответственности отчасти снимается с пользователя, дисциплина и информационная гигиена которого в целом может страдать.

• Защита рабочих станций

Здесь речь о рабочих компьютерах и любых электронных устройствах, которые используются в работе (да о тех же смартфонах).

Важно (и это необходимый минимум!):

• использование лицензионного и постоянно обновляемого актуального программного обеспечения, в том числе операционных систем;
• запрет на отключение встроенных механизмов защиты ОС;
• установка антивирусного ПО.

К смартфонам требования те же. Отчасти они защищены встроенными решениями, но это лишь базовый уровень. Иногда специалисты рекомендуют не использовать личные гаджеты для работы, однако в реальности этого не избежать. Что ж, тогда стоит научить сотрудников быть с ними осторожными — но об этом чуть ниже.

Более затратно с финансовой точки зрения — установка EDR/XDR-решений. Здесь уже речь о комплексных вариантах, которые должны проактивно реагировать на потенциальные угрозы и эффективно фильтровать наиболее опасные. Подобные решения требуют квалифицированной поддержки: необходим специалист «на месте» либо на аутсорсе.

• Защита почты

Традиционно компании используют общедоступные и бесплатные почтовые сервисы. В таких реализованы только базовые механизмы защиты от спама, некоторых типов фишинга и вредоносного программного обеспечения — вирусов. При использовании таких почтовых сервисов стоит проводить регулярное обучение сотрудников, рассказывая о возможных типах обмана и способах противодействия ему.

Можно использовать сервисы, которые предлагают платные услуги для корпоративной почты — с углубленной настройкой безопасности и дополнительными возможностями борьбы с потенциальными угрозами. Однако и в этом случае человеческий фактор играет заметную роль.

Более дорогой вариант — специализированные почтовые шлюзы. Поставщиками таких решений являются компании, специализирующиеся на кибербезопасности. Их эффективность может быть значительно выше, чем у более простых вариантов.

• Резервное копирование

Это словосочетание звучит из уст большинства специалистов в области информационной безопасности. Регулярные бэкапы — это скорее не способ прямого обеспечения безопасности, а способ восстановиться в случае, если инцидент все же произошел (например, данные компании зашифровали и требуют выкуп).

Бюджет варьируется от объемов. Кому-то будет достаточно пары флешек, внешних жестких дисков или небольшого «облака», а другим подавай серверную стойку для хранения данных. Главное в этом вопросе — хранить несколько копий одних и тех же данных в разных местах и с разным уровнем доступа. И не забывать регулярно обновлять бэкапы.

В принципе, вот и все базовые правила — список можно продолжать, но остальные решения уже реализуются индивидуально, в том числе исходя из бюджета.

«Минимальный бюджет для каждого свой. Сколько компания и ее руководитель готовы потратить в настоящее время — так и будет. Да, бывают ситуации, когда здесь и сейчас нет денег на финансирование системы защиты информации либо на какие-то отдельные ее компоненты. В таком случае я всегда говорю: начать нужно с организационных и „начальных“ технических мер. Это пароли, „чистое“ ПО, проверка уязвимостей, обновления и осведомленность пользователей», — говорит эксперт.

Покупать «все подряд» — бессмысленно и вредно

В качестве примера возьмем обезличенный интернет-магазин: есть ли для него условно оптимальный вариант систем безопасности или нужно платить за премиум-решения и покупать все подряд?

«Давайте предположим, что данная компания не обрабатывает информацию, которая подпадает под регуляторные требования. Это очень важное условие, при котором мы можем отойти от обязательных технических мер, определенных законодательством, и обойтись лишь необходимым минимумом. Так мы не будем вводить руководителей в заблуждение, представив ответ как панацею „от всего“.

Если бы я был руководителем такой небольшой компании, я бы определил базовый минимум защитных программных решений следующим образом:

• антивирус;
• EDR-решение;
• защищенные облачные решения с применением систем обнаружения вторжений и web application firewall.

Из организационных мер я бы на первое место поставил компетентного работника, ответственного в том числе за информационную безопасность. Он докрутит инфраструктуру организационно-техническими мерами до приемлемого уровня и наладит минимально необходимые процессы по информационной безопасности (пароли, резервное копирование, управление уязвимостями, права доступа, обновления, ПО и т. д.) На это, по большому счету, много денег не нужно, требуется время, желание и навыки.

Премиум-решения, которые действительно стоят денег, со старта, вероятно, не стоит приобретать (хотя разные случаи бывают). Для их применения все-таки необходимо достичь определенного уровня „зрелости“. Но повторюсь, и это очень важно: в каждом конкретном случае могут быть очень разные варианты построения минимальной защиты».

А покупать «все подряд» — бессмысленно и вредно. Без грамотной настройки и мониторинга даже дорогие системы не будут приносить желаемого результата.

Важным аспектом остается и обучение сотрудников: способам защиты или противодействию угрозам, реакции на инциденты. Считается, что даже отсутствие формализованного плана реагирования (то есть банального списка «что нужно сделать в случае чего») — одна из критичных проблем организации информационной безопасности.

Выходит, вопрос не в том, что безопасность требует дорогих и сверхпродвинутых решений защиты, а в том, что нужен осознанный подход и адекватное отношение к современным реалиям: защищайте доступы, резервируйте данные, обучайте сотрудников и отдавайте отчет в том, какие риски действительно критичны для бизнеса.

Спецпроект подготовлен при поддержке ООО «ЭфСиБи Бел», УНП 193185741

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by