Здравствуйте, дамы и господа, в этой статье поговорим немного об информационной безопасности для небольших компаний. Крупные организации, как правило, имеют свой отдел информационной безопасности, который постоянно улучшает уровень безопасности, но как показывают некоторые утечки, которые были сравнительно недавно, даже они не справляются.
Конечно, малый бизнес может заявить что-нибудь в стиле «да кому мы нужны?», но этот подход несколько неверен. Да, компания, возможно, персонально никому не нужна, ну, разве что конкуренты могут попытаться немного испортить жизнь. Но сейчас многие хакеры ищут уязвимости в автоматическом режиме. И если у вас таковую найдут, то взломают, даже если особого смысла в этом нет.
Информационная безопасность — важный аспект для бизнеса
Как показывает практика, со взломами и утечками сталкивается множество компаний. И не только большой бизнес вроде Яндекс, Mail или Сбербанка, но и маленькие компании. Что же нужно злоумышленникам от небольшого бизнеса?
Слитую информацию о компаниях можно продавать, клиент, как говорится, найдётся. Многие бизнесмены собирают информацию о конкурентах для анализа, чтобы знать слабые места компаний, а также анализировать их политику.
Базы компаний, например, клиентские базы будут очень интересны вашим конкурентам. Утечка подобной базы может лишить вас немалых денег. Даже привести ваш бизнес к краху.
Сайт компании. Представьте, что ваш сайт взломали, сколько клиентов вы от такого взлома можете потерять? Десятки, сотни. Да и рекламные бюджеты могут быть слиты впустую, заметите, вероятно, не сразу, но всё время бюджет в Директ будет утекать впустую.
Например, компания «Онланта», которая оказывает услуги информационной безопасности, имеет статистику по основным уязвимостям компаний. Ключевые:
Сами сотрудники. Частенько к клиентским базам, финансовым, а также к ключевым информационным узлам бизнеса имеют доступ сотрудники, которым такой уровень доступа не требуется для работы. Соответственно, либо с помощью социальной инженерии, либо из-за жадности сотрудника, могут быть украдены важные для компании данные.
Неправильный подход к проектированию IT-инфраструктуры. Защита не налажена, например, открыты порты, которые следовало бы закрыть, также не заблокированы возможности для взлома, например, API, среда разработки.
Нет правильных политик работы с данными. Соответственно, критически важные данные могут храниться в уязвимых местах.
Неправильная настройка программного обеспечения.
Давайте разберём поэтапно, почему ваши данные находятся не в безопасности.
Главная уязвимость — человек
Современное программное обеспечение практически не имеет уязвимостей. Особенно если всё правильно настроить, а также соблюдать рекомендации поставщиков программного обеспечения.
Но это не значит, что ваши данные в полной безопасности. Хакеры сейчас уже не столько программисты, сколько психологи.
Есть разные способы утащить данные, например, обмануть сотрудника, подменив адрес в электронной почте и запросив какие-либо данные якобы с почтового ящика директора. Можно позвонить и потребовать в срочном порядке сбросить финансовый отчёт на какую-либо почту. Вариантов масса.
Также можно подкупить сотрудника, предложив ему деньги. Причина, по которой данные утекут, не особо важна, будь то жадность или наивность. Но стоит сразу отметить, что человек — главная уязвимость любой IT-инфраструктуры.
Так что прав доступа к данным, а также возможности редактирования стоит давать сотрудникам ровно столько, сколько нужно для выполнения обязанностей.
Например, не стоит давать обычной секретарше полный доступ к клиентской базе или финансовым документам компании. Обычный менеджер не должен иметь прав на полное редактирование клиентской базы, а бухгалтер не должна иметь полный доступ к серверу, на котором расположены бухгалтерские программы, а только к самим программам и ровно в той степени, которая нужна для работы.
Так что при проектировании системы информационной безопасности стоит учесть человеческий фактор.
Но даже это может не спасти полностью. Например, если сотрудник кого-то из поставщиков вашего программного обеспечения внезапно сольёт исходный код ПО, то проблемы появятся того и у вас, так как хакеры смогут проанализировать исходный код, найти уязвимости, а потом использовать их против вас.
Но снизив влияние человеческого фактора, вы в значительной степени увеличите безопасность вашей IT-инфраструктуры. Даже если будут утечки, то не будут слиты все данные, только часть. Тоже неприятно, но не фатально.
Требуется правильно спроектировать систему безопасности
Безопасность заключается в полном проектировании всей инфраструктуры. Это не только программное обеспечение, но и оборудование, и персонал, выше уже говорилось, что главная уязвимость — человек. Соответственно, лучше будет продумать всё на начальных этапах.
Иногда лучше заранее обратиться к подрядчикам, чтобы подумали за вас, а потом можно было внедрять ещё на этапе создания IT-инфраструктуры, ведь сделать всё правильно изначально проще и дешевле, чем исправлять недостатки потом.
Так что ещё на этапе проекта лучше озаботиться информационной безопасностью, чего многие компании не делают, желая сэкономить или просто не понимая ситуацию, а потом серьёзно за это расплачиваются.
Политика работы с данными — закон
Часто у компаний нет продуманных регламентов работы с данными, например, не все понимают, как хранить и размещать клиентские базы, в которых содержатся персональные данные. А согласно законам многих стран персональные данные нельзя хранить абы как. Они должны быть надёжно защищены, а в случае утечки можно попасть на штрафы, а также придётся нанимать юристов для судебных заседаний, если утечки всплывут.
Но проблемы могут быть и со многими другими аспектами, например, кто-то может иметь доступ к компьютеру другого сотрудника, кто-то может делать скриншоты каких-либо данных и пересылать их по почте.
В общем, проблем может быть масса, и вместо того, чтобы потом расхлёбывать последствия, лучше заранее составить политику работы с данными.
Чёткие регламенты позволят снизить риски, и, соответственно, соблюдение регламентов будет обязанностью для работников. Но если оставить работу с данными на откуп сотрудников, то данные не будут защищены в должной мере.
Программное обеспечение и работа с ним
Программное обеспечение — уязвимая часть. И не только из-за того, что кривыми руками код написан, но и потому, что частенько кривыми руками программное обеспечение настроено.
Каждое ПО имеет ряд требований и рекомендаций, которые могут быть несовместимы с другими программами. Например, для каких-то программ потребуется открыть определённые порты на сервере, а также дать многочисленные разрешения. И это не позволит взломать данное ПО, так как оно рассчитано на работу в данных условиях.
Но наличие открытых портов и определённых разрешений, например, для файловой системы, может стать серьёзной уязвимостью для других программ. В принципе, это нужно учитывать ещё на этапе проектирования IT-инфраструктуры, но мир не стоит на месте, соответственно, программное обеспечение обновляется, появляются новые требования и рекомендации, а это придётся постоянно отслеживать, дабы в определённый момент не создать уязвимость собственными руками.
Так что информационная безопасность далеко не самое простое дело.
Собственный отдел безопасности или подрядчик?
Малый бизнес не сможет нанять себе целый отдел для обеспечения информационной безопасности, а один специалист не сможет обеспечить всё необходимое, так что стоит нанять компанию, например, ту же компанию «Онланта».
Да, отчасти вы отдаёте доступ к вашей IT-инфраструктуре в чужие руки, но тут особого выбора нет, так как своими руками обеспечить серьёзный уровень безопасности для данных не получится.
Но компания сможет сделать большую часть работы за целый отдел, соответственно, вам не придётся держать штат людей:
Спроектирует вам инфраструктуру с учётом информационной безопасности.
Подготовит документацию и регламенты.
Проведёт обучение для сотрудников и руководства.
Для готовой инфраструктуры проведёт пентесты (проверка на уязвимости), а потом закроет существующие «дыры».
Обеспечит полноценное отслеживание уровня безопасности компании с учётом обновлений, новых требований, уязвимостей нулевого дня и т. д.
Для малого бизнеса лучшим выбором будет работа с подрядчиком, так как это избавит от большей части трудностей по подбору персонала и самостоятельной проработки вопроса информационной безопасности.
На этом с вами прощаюсь, желаю успехов и надёжной защиты, всего доброго!
