Руйнуємо міфи про кібербезпеку

За результатами дослідження Microsoft, 7 із 10 власників малого та середнього бізнесу вважають, що не цікавлять кіберзлочинців.

Але це не так. Михайло Шмельов, директор із питань національних технологічних політик і стратегій регіону CEE компанії Microsoft, стверджує, що близько 43% від усіх кібератак у світі припадають на МСБ.

Небезпека насправді існує, незалежно від розмірів підприємства. Знати про можливі загрози та вміти їм протистояти — важлива умова для стабільної та успішної роботи вашого бізнесу.

Microsoft стверджує, що майже 70% компаній, які визнають імовірність хакерських атак, нічого з цим не роблять. Власникам бізнесу здається, що в них не вистачає знань і, взагалі, кіберзахист — це задорого. Чи справді так?

Одним із поширених видів атаки є фішинг: коли людина отримує ніби звичайний електронний лист, в якому містяться шкідливі вкладення та посилання.

Наприклад, це може бути повідомлення про штраф за порушення ПДР. З першого погляду — нічого особливого, адже такі листи розсилаються масово. Автовласникові буде цікаво дізнатися подробиці порушення, тому він, швидше за все, перейде за посиланням. На фішинговій сторінці можуть попросити ввести особисту інформацію для авторизації або завантажити файл, на якому буде шпигунське ПЗ.

Таким чином часто крадуть приватні дані або облікові записи, виводять з ладу обладнання тощо. Головна загроза такого роду кібератак в тому, що хакери можуть користуватися обліковим записом від імені справжнього працівника, якщо відсутній хоча б базовий кіберзахист.

Неуважність користувачів — причина успіху безлічі інтернет-атак. Не треба витрачати величезні суми, щоб забезпечити кібербезпеку свого бізнесу. Варто дотримуватися 4 правил:

Навчити співробітників відрізняти фішингові листи від звичайних:

• завжди звертати увагу на адресу відправника та перевіряти, чи збігається домен відправника з доменом компанії, звідки прийшов лист, і чи немає помилок у написанні імені;
• відразу ж доводити до відома IT-відділу та видаляти листи сумнівного змісту;
• правильно перевіряти посилання, наводячи на них курсор миші, але ні в якому разі не переходити за ними.

Використовувати двоетапну авторизацію

Щоб увійти в систему, необхідно зробити більше одного кроку. А саме: ввести основний пароль, а після одноразовий, який прийде в форматі SMS або Push-повідомлення. За таких умов ніхто не зможе зайти в обліковий запис користувача без його підтвердження. Тож переконайтеся, що у вашій компанії використовується двофакторна авторизація за замовчуванням.

Належним чином створювати та вести облікові записи

Придумувати складні паролі та постійно їх оновлювати. Забути про легкі та примітивні комбінації. Наприклад, з числами в кінці («melnik1990») або послідовності символів на клавіатурі («qwerty», «123456»). І назавжди викреслити з пам’яті відомі цифрові комбінації: «112», «777», «0000».

Підготувати план дій на випадок хакерської атаки

План має містити профілактичні заходи, інструменти захисту особистих кабінетів, а також перелік певних дій, якщо атаки не вдалося уникнути: хто допоможе ізолювати уражений вірусом пристрій, як відновити резервні копії даних і в цілому повернутися до своєї роботи. Про це потрібно знати всім працівникам.

Після того як люди почали працювати поза офісом, компаніям стало набагато складніше контролювати, як їх співробітники працюють і використовують ресурси організації. Одні можуть виконувати завдання на власному комп’ютері й користуватися домашнім інтернетом, а інші читати електронні листи на особистому смартфоні.

Дві головні загрози:

• люди, які з давно хотіли «злити» інформацію комусь;

• ті, хто недбало ставиться до питань кібербезпеки: не використовують пароль для входу, завантажують сторонні додатки або дають іншій людині користуватися корпоративної технікою.

Як з цим боротися? Ось кілька рекомендацій власникам бізнесу від Петра Вавуліна, лідера напрямку хмарних продуктів і сервісів Київстар:

1. Розробити політику доступу до внутрішніх ресурсів компанії: сховища, пошти тощо.
2. Захистити корпоративні додатки від впливу інших сумнівних програм, наприклад, блокувати копіювання або перенесення даних.
3. Варто подумати про віддалену підтримку безпеки пристроїв. У цьому допоможуть:

• спеціальні антивірусні програми (EDR — endpoint detection and response);
• корпоративне рішення з управління мобільними пристроями (MDM — mobile device management);
• брокери безпечного доступу в хмару (CASB — cloud access security broker).

Петро Вавулін радить застосовувати схожі методи й до персональних мобільних телефонів співробітників, якщо у них є доступ до ресурсів компанії. Можна використати такі рішення, як Mobile Application Management і Mobile Device Management.

Основну частку кіберзагроз можна виключити, дотримуючись закону Парето: 20% зусиль дають 80% результату. «На сьогодні в цій галузі вже є досить зрілі та нескладні в розгортанні й експлуатації рішення, адже робота над ними велася ще до пандемії», — розповів Вавулін.

Деякі керівники вважають, що безпека даних — це обов’язок одного IT-фахівця. Але це помилкова думка, в такому випадку нести відповідальність має кожен.

Необхідно, щоб всі працівники, незалежно від рівня посади, були ознайомлені з політикою безпеки компанії. Не слід розраховувати лише на одну людину. Грамотно скласти правила кібербезпеки — це половина справи. Більш важливим є те, як цих правил дотримуються ваші співробітники.

За словами Іллі Польшакова, щоб надійно убезпечити дані від хакерських атак, навіть маленькому підприємству варто подумати про кількох фахівців:

• CEO — генеральний директор компанії ― драйвер теми кібергігієни всередині компанії. Він пояснює, що важливо захистити насамперед, чому це має велике значення.
• CISO (Chief Information Security Officer) — кіберофіцер, який проводить аналіз можливих загроз і створює політику безпеки, а також дає доручення IT-фахівцям. Крім того, CISO відстежує слабкі місця в системі кіберзахисту і займається їх усуненням.
• IT-фахівці реалізують стратегію з кібербезпеки, створену CISO, за допомогою технічних засобів. Вони стежать за тим, щоб працівники не користувалися зовнішніми накопичувачами, не встановлювали ПЗ і додатки, що не відповідають корпоративним нормам.

Насправді МСБ не завжди потрібно мати в штаті кіберофіцера. Microsoft рекомендує довірити захист даних хмарному провайдеру. Тим більше, що після переходу в онлайн, все більше компаній змінюють звичайну інфраструктуру на хмарну. При цьому професійний провайдер може допомогти і з переміщенням всіх процесів на хмарну платформу, й із захистом від кібератак.

Наприклад, ліцензійний пакет бізнес-додатків Microsoft Office 365 від Київстар має вбудовані базові рішення щодо підтримки кібербезпеки. Але важливо враховувати, що за технічну частину захисту відповідальність несе постачальник послуг, а за дотримання корпоративних правил безпеки — сам замовник.

Кібербезпека — це запорука успішної роботи будь-якої компанії, яка не хоче одного дня втратити все, що напрацьовано роками. До того ж регулярне турбота про кібергігієну не вимагає від бізнесу космічних витрат.

Головне — стежити за тим, щоб ваші працівники були кіберграмотними та знали, що загальна безпека залежить від уважності кожного з них.