Десять рекомендаций, как защитить ваш офис от киберугроз

Небольшие компании, к сожалению, зачастую оказываются незащищенными от кибератак. И виноваты в этом они сами. Да, большим компаниям проще выделить средства на информационную безопасность, а прибыль малых предприятий может не позволить заложить серьезные расходы на защиту. Кроме того, до сих пор многие руководители малого бизнеса уверены, что киберпреступникам их компании не интересны, поэтому тратиться на средства безопасности бессмысленно. Но это не так. Информация — самый ценный ресурс современного бизнеса, причем независимо от его размеров. И защита этой информации должна быть приоритетом каждой организации.

Статистика и тренды

На что точно не стоит надеяться малому бизнесу, так это на невнимание со стороны киберзлоумышленников. Они знают, что небольшие предприятия защищены хуже, поэтому их проще взломать. Так что атаки на малый бизнес — это не тренд будущего, а реальность, в которой мы живем уже сегодня.

Так, по данным исследования Hiscox, в последние 12 месяцев 47% компаний малого бизнеса подвергались по крайней мере одной кибератаке, а 44% за этот же период пострадали более чем от двух атак. У Cisco статистика еще более пессимистична: в 2018 году более 53% небольших предприятий подвергались кибератакам.

Также не стоит надеяться, что киберинцидент обойдется дешевле, чем защита. Исследование Hiscox оценивает среднюю стоимость инцидента в малом бизнесе в 35 тыс. долл. В Cisco отмечают, что 20% подвергшихся атакам СМБ-компаний заявили об ущербе в размере от 1 до 2,5 млн. долл.

Более того, деньги — не единственное, что потеряет компания в случае успешной кибератаки. Среди последствий будут и снижение производительности или даже простои на время восстановления, и уход клиентов, и последующая потеря доходов. Так что ущерб будет существенным. Для некоторых компаний он может оказаться даже летальным.

Между тем обеспечить защиту от киберугроз небольшому предприятию не так сложно. Достаточно следовать простым рекомендациям.

Как защититься от киберугроз

1. Проводите обучение сотрудников. Руководству компании нужно помнить, что самая большая опасность таится внутри предприятий. К примеру, по данным исследования Ponemon, большинство кибератак так или иначе связаны с персоналом компании. Это не означает, что среди коллег стоит искать киберпреступников — просто злоумышленники нередко используют для проникновения в систему невнимательность, легкомыслие или неосведомленность рядового пользователя. Поэтому при надлежащем обучении ваши сотрудники станут мощной защитой от киберугроз.

Для этого не обязательно наращивать штат: отвечать за обучение может внешний специалист, который не только организует этот процесс, но и будет проводить аудит безопасности и давать рекомендации.

Также необходимо помнить, что разового обучения будет недостаточно, так как меняются решения, приемы злоумышленников, да и информация со временем забывается. Поэтому рекомендуем применять такую схему: обучение при приеме на работу, а затем — каждые двенадцать месяцев. После обучения должно быть проведено тестирование, ведь информация должна быть усвоена, а не просто прослушана.

2. Создайте политику безопасности. Каждый сотрудник должен знать, как и к кому он должен немедленно обратиться при малейшем подозрении, что возникла критическая ситуация, или в случае киберинцидента. Чем больше время реакции на инцидент, тем тяжелее его последствия. Если же внимание к происходящему будет привлечено на самом раннем этапе, ущерба вообще можно избежать.

3. Создайте безопасную инфраструктуру. Необходимость защищаться должна учитываться даже при, казалось бы, никак не связанных с ИБ действиях. Например, при выборе офисной техники. Сегодня, когда мы уже двумя ногами в мире Интернета вещей, это особенно значимо. Когда множество документов с конфиденциальной информацией передаются и поступают в информационную среду организации через сетевые многофункциональные устройства (МФУ), это может стать источником утечек информации. В большой степени о безопасности офисных устройств заботятся производители, но кое-что все-таки стоит сделать и владельцам МФУ:

• еще на этапе покупки проверьте, чтобы печатные устройства соответствовали стандартам Common Criteria Certification (CCC). Эта международная сертификация принята 28 странами;
• убедитесь в наличии и — что не менее важно — активации встроенных инструментов безопасности. Среди самых полезных встроенных функций — автоматическое шифрование файлов, перезапись данных на жестком диске принтера и МФУ после печати, возможность создания белых списков и авторизации пользователей;
• регулируйте права пользователей и потоки информации. Разработайте автоматизированные рабочие процессы, чтобы контролировать маршруты движения данных и доступ к ним пользователей. Разрешать всё всем не тот вариант, который обеспечит безопасность, как бы вы ни доверяли своим сотрудникам.

4. Требуйте регулярного обновления паролей с помощью специального софта. О необходимости использования сложных паролей говорят давно, но статистика неумолима: среди самых распространенных паролей всё те же 123456 и qwerty. Поэтому повторим: пароль должен быть уникальным, сгенерированным специально для данного сервиса или устройства. Используйте надежное программное обеспечение для управления паролями. Требуйте, чтобы сотрудники никогда не делились своими паролями и не хранили их в легкодоступных местах.

5. Выбирайте безопасные технологии облачного хранения данных. Используйте облачное приложение, которое обеспечивает безопасное управление вашими данными, защищая их от несанкционированного копирования. Контролируйте доступ к документам, используйте функцию шифрования контента и настраивайте автоматическое архивирование и удаление данных.

6. Используйте двухфакторную аутентификацию для предоставления доступа к конфиденциальным учетным записям или информации. Письма от лица компании с просьбой поделиться конфиденциальными данными или совершить финансовую транзакцию могут быть составлены злоумышленниками. Поэтому попросите сотрудников в таких случаях созваниваться с коллегами, чтобы убедиться: запрос пришёл не от мошенника.

7. Не забывайте обновлять ПО. Многие обновления программного обеспечения не только расширяют функционал, но и устраняют уязвимости безопасности. Не забудьте, что обновления нужны не только компьютерам, но сканерам, принтерам или МФУ — их тоже нужно поддерживать в актуальном состоянии.

8. Не используйте общедоступный Wi-Fi. Если же без этого не обойтись, не вводите конфиденциальную информацию, поскольку всё, что вы вводите, при перехвате можно прочитать на ноутбуке злоумышленника. Доступ в корпоративные ресурсы из общественных сетей необходимо организовать через VPN во избежание перехвата информации.

9. Регулярно тестируйте соблюдение сотрудниками политик безопасности и их реакцию на сгенерированные вами киберугрозы. Если долгое время инцидентов нет, внимание даже самых бдительных сотрудников притупляется. Поэтому их нужно периодически тестировать. Среди эффективных инструментов — рассылка «фишинговых» электронных сообщений, анонимные звонки на корпоративные телефоны с запросом персональной или корпоративной информации, появление «необычных» кнопок на экране МФУ, которые вместо передачи документа в СЭД напрямую отправят документу в особую папку отдела по ИБ. По итогам тестирования проводите дополнительную работу с сотрудниками, обновляйте политику информационной безопасности и инфраструктуру.

10. И самое главное: будьте внимательны и последовательны — это минимизирует киберугрозы для вашей компании.

Автор статьи — директор департамента партнёрских операций «Xerox Россия».