Цифрова безпека бізнесу: як підприємцям захиститися від кібератак та витоків даних

Поділитися:

У дослідженні компанії Fabrizio Ward, проведеному для Visa, повідомляється, що у кожного восьмого українця – один пароль для входу в усі облікові записи, 54% опитаних використовують кілька різних, але не унікальних паролів, а унікальний пароль для кожного облікового запису є у 34% опитаних громадян. Враховуючи ці факти, а також чат-ботів у телеграмі, які торгують персональними даними, можна говорити, що в країні явні проблеми з цифровою безпекою.

Директор компанії RMRF, яка спеціалізується на сервісах з кібербезпеки для бізнесу, написав для “Гетьмана” рекомендації підприємцям щодо цифрової безпеки, програмного забезпечення та навчання співробітників.


 

 

Сергій Аветісян, директор компанії RMRF

 

 


Перш за все, слід зрозуміти, що малий і середній бізнес цікавий кіберзлочинцям не менш, ніж великий. Згідно звіту Verizon, у 2019 році 43% атак було націлено саме на малий і середній бізнес. Звичайно, це не складні таргетовані кібератаки, а масові. Вони можуть бути націлені на:

  • крадіжки персональних і платіжних даних користувачів
  • отримання доступу до елементів інфраструктури компанії (сервери, робочі станції) для здійснення шкідливої активності.

Цей список не є вичерпним. Більш того, наслідки кібератаки для організації можуть бути критичними. Згідно того ж звіту, 60% підприємств малого й середнього бізнесу, що зазнали кібератаки, завершили діяльність протягом шести місяців після атаки.

“Безкоштовні антивіруси або VPN – це лише ілюзія захисту”

Очевидно, що підхід «встановили антивірус і можемо спати спокійно» є застарілим, недієвим і навіть шкідливим. Щодня світ дізнається про нові вразливості у ПЗ, які використовуються кіберзлочинцями для нових атак. Техніки й інструменти кіберзлочинців стають дедалі більш досконалими.

Тепер щодо практичних порад. Безкоштовні антивіруси або VPN – це лише ілюзія захисту. Перші використовують застарілий сигнатурний метод захисту, а другі створені радше для аналізу трафіка, ніж для його захисту.

Сьогодні є достатня кількість інструментів захисту, що розповсюджується за передплатою. Наприклад, для захисту сайтів і веб-застосунків можна використовувати доступний і популярний інструмент Cloudflare. Якщо потрібен більш широкий функціонал, то радимо ознайомитися з рішеннями сімейства Imperva. Обидва вендори досить гнучкі і дозволяють підібрати рішення відповідно до потреб і можливостей бізнесу.

Слід зазначити, що еволюція моделі за передплатою пішла ще далі. На Заході популярні компанії які дозволяють малому і середньому бізнесу за абонплату отримати доступ до продуктів захисту рівня enterprise, а також послуги інженерів з кібербезпеки, яких найняти в штат малий бізнес просто не може собі дозволити.

Хостинг-провайдери та мережеві провайдери

Обираючи хостинг-провайдера чи мережевого провайдера, поцікавтеся щодо захисту їхньої мережевої інфраструктури. Адже саме через них будуть проходити ваші дані і трафік.

Взагалі, при роботі із третіми сторонами треба дуже чітко продумувати обмеження доступу, а також слідкувати за тим, щоб усі цифрові активи належали компанії або її власнику. До цифрових активів належать не лише домен і хостинг веб-сайту. На жаль, трапляються випадки, коли після завершення співпраці з агенцією, компанія втрачає доступ до своїх рекламних кабінетів.

Окрім недобросовісних підрядників, доступ до онлайн-сервісів, що використовуються співробітниками компанії може бути вкрадений зловмисниками. Для захисту корпоративного доступу в онлайн-сервіси і хмари теж існує певний клас рішень. Наприклад, One Identity Starling Connect. Це SaaS-продукт, який, окрім належного рівня захисту, є достатньо простим в адмініструванні.

Навчання співробітників

Люди є одночасно головним активом і головною вразливістю бізнесу. Фішинг (вид шахрайства, метою якого є виманювання у довірливих або неуважних користувачів мережі персональних даних) на сьогодні є найпоширенішим вектором атак на бізнес. Тому тренінги персоналу з кібербезпеки є обов’язковими для будь-якої організації.

Ці тренінги можуть включати таку інформацію, про те, як розпізнати фішингові повідомленя, алгоритм поведінки у разі аномальних дій на робочій станції, правила користування пристроями за межами корпоративної мережі тощо.

В завершення, можемо сказати, що бізнес має усвідомити, що кібербезпека варта такого ж рівня уваги, як і інші процеси. Так, жоден набір інструментів не дає 100% захисту від зламу, але тут ми проводимо аналогію із захистом помешкання. Зламати можна будь-який замок, але це не привід лишати двері відкритими. Так само треба усвідомлювати, що кібератака може статися будь-ким і треба мати «План Б» на її випадок.

Читайте також:

• Поліція затримала продавців підробок Apple: за три місяці реалізували фальсифікату на 1,5 мільйон гривень

• Україна серед 10 головних країн-“піратів” світу: біда із захистом авторських прав

• Інвесторам не потрібні няні та тілоохоронці: треба розповідати про конкурентні переваги країни