Базовые методы защиты корпоративной ИТ инфраструктуры без инвестиций
Киберриски прописались в мировом рейтинге экономических угроз, конкурируя с глобальным потеплением, разрушением природных экосистем и загрязнениями окружающей среды.
Об этом говорят исследования, представленные на международном экономическом форуме в начале 2020 года. Однако если сегодня эта опасность пока на 7-8 месте, то в ближайшее десятилетие, согласно прогнозам экспертов, кибератаки займут второе по значению для бизнеса место.
Предприниматели уже сегодня начинают остро ощущать угрозы информационной безопасности, поскольку в условиях карантина перешли на удаленный режим работы. Цифровизация процессов не только потребовала серьезных изменений ИТ инфраструктуры предприятия, но и сделала корпоративную систему уязвимой. Каждый сотрудник, который работает из дома, - это дополнительная точка входа в вашу рабочую экосистему. Бизнес становится мобильным, а значит - подходы к защите должны адаптироваться под новые реалии.
Сегодня каждый, так или иначе, задумывается над защитой в интернете на разных уровнях: от репутации, до персональных данных. В среднем человек находится онлайн в течение 6 часов и 42 минут каждый день. Естественно, бизнес подстраивается под привычки клиентов. Однако, чем больше компания представлена в сети, тем больше у нее шансов стать жертвой киберпреступников. Задача владельца бизнеса - принимать риски кибербезопасности или устранять угрозы. Об этом нужно задуматься как можно раньше, в идеале, на старте проекта. Чем критичнее информация, которой вы владеете, чем интереснее она конкурентам, тем выше риск быть атакованным. Собственник бизнеса может оценить риски самостоятельно, доверять эту роль специально нанятому сотруднику или внешнему консультанту, но ответственность все равно останется за ним.
Экономический кризис, вызванный ограничениями на работу бизнеса, не позволяет инвестировать в информационную безопасность, но есть инструменты, которые можно внедрить с минимальными затратами. Далее речь пойдет о подходах и практиках, которые актуальны для компаний любой величины, о базовых методы защиты.
Управление доступом и парольная политика
Современные информационные системы включают в себя функционал ролевой модели. Его задача - ограничить доступ сотрудников к информации в зависимости от должностных обязанностей. Однако далеко не все используют эту функцию и случаи наделения всех без исключения полными правами, увы, далеко не редкость. Начните с минимизации прав пользователей - настройте систему так, чтобы сотрудник получал доступ только к тому объему информации, который необходим для работы. Это уменьшит вероятность попадания финансовых, стратегических, коммерческих и других критичных данных не в те руки и умерит соблазн выноса информации за пределы компании.
Не забывайте забирать доступы у сотрудников при увольнении или изменять при переходе на другие должности. Не важно управляете вы учетными данными централизованно или у каждой информационной системы есть владелец, убедитесь, что блокирование прав доступа происходит вовремя, например, в последний рабочий день сотрудника при подписании обходного листа.
Пароль - самый распространенный способ аутентификации пользователя при входе в информационные системы, завладев которым, злоумышленник автоматически получает доступ к данным. Создание и соблюдение парольной политики не требует больших затрат времени и сил, но затруднит кражу или подбор учетных данных. Наиболее популярные правила регулируют сложность и срок жизни пароля, запрет на хранение его в записанном виде и передачу третьим лицам (в том числе коллегам), запрет использования одного пароля к разным информационным системам т.д.
Многие онлайн-сервисы дают возможность включить второй фактор защиты при входе в систему. Например, СМС с кодом, телефонный звонок, токен и др. Если программное обеспечение позволяет активировать второй фактор, не упускайте возможность усовершенствовать защиту данных.
Хранить пароли и контролируемо делиться ними поможет специализированное программное обеспечение. На рынке существует большой выбор платных и бесплатных менеджеров паролей в зависимости от задач. Обращайте внимание на наличие ролевой модели внутри системы, второго фактора для авторизации, выход регулярных обновлений и храните пароли безопасно.
Стандартизация и обновление программного обеспечения
Эксперты по кибербезопасности компании FireEye опубликовали в 2020 году серию исследований, посвященных использованию уязвимостей программного обеспечения. Лидерами по наличию слабых мест стали продукты компании Microsoft, что логично объясняется широким использованием этой операционной системы. Практически половина уязвимостей были использованы после выхода обновлений (патчей), которые их устраняют.
Уменьшить вероятность взлома с использованием уязвимостей можно, наладив регулярную установку обновлений на операционную систему, сетевое, серверное, периферийное оборудование и другое программное обеспечение, особенно с доступом в интернет: браузеры, мессенджеры, почтовые клиенты. Крайне важно использовать в работе, ПО, которое имеет официальную поддержку вендора. Разработчики регулярно отслеживают уязвимости продукта и выпускают обновления, которые их закрывают. Регулярность обновлений устанавливается индивидуально, но главное помнить, что чем дольше ПО не обновлялось, тем уязвимее оно к атакам.
Отдельное внимание следует уделять обновлениям операционной системы на серверах. Бытует мнение, что операционные системы Linux не подвержены атакам, однако это не так - количество уязвимостей на платформе Linux меньше, чем на Windows, но риск также есть. Не забывайте об обновлениях среды виртуализации и прошивок физических серверов. Если вы арендуете ресурсы в облаке, спросите у провайдера, как он защищает площадку и как часто проводит обновления ее компонентов.
Web приложения и разработка
Наибольшее количество атак, в том числе заказных, приходится на веб-приложения, опубликованные в интернете. Аномальная активность на сайте - это не всегда проблема производительности. Иногда это проблемы с кодом, а иногда и показатель того, что по вашим опубликованным ресурсам ведется разведка. Предотвратить сканирование и легкую атаку помогут средства защиты веб приложений класса Web Application Firewall. На рынке их много, есть и бесплатные, и дорогие. Какие использовать, зависит от сложности атаки, стоимости “падения” вашего веб-ресурса и ценности данных, которые можно получить, взломав приложение.
Если ведете разработку самостоятельно, установите критерии безопасности для ваших программистов: версии платформ и библиотек только актуальные и обновляемые, трафик только шифрованный, запрет на хранение паролей в открытом виде, соблюдение рекомендаций производителей веб решений для настроек сайтов и т.д. Наличие критических уязвимостей в ваших продуктах может повлечь утечку и даже потерю данных.
Заключение
К уже сказанному также хочу добавить несколько коротких рекомендаций:
• Зашифруйте рабочие станции сотрудников при помощи Bitlocker или FileVault, который является частью операционной системы Windows или MacOS соответственно. В случае утери ноутбука данные будут в безопасности.
• Используйте антивирусное программное обеспечение с обновляемыми базами сигнатур.
• Выбирайте надежных поставщиков услуг, спрашивайте о безопасности покупаемых сервисов, в контрактах с подрядчиками обращайте внимание на границу прав и доступов, которыми делитесь, подписывайте NDA.
• Периодически мониторьте даркнет на предмет появления там ваших данных.
Эти далеко не полный перечень базовых рекомендаций и он не гарантируют защиту на 100%. В случае, когда бизнес “живет” в интернете и сайты имеют нетривиальную бизнес-логику, так или иначе придется инвестировать в инструменты защиты. Но главное, что об информационной безопасности необходимо задумываться до того, как система подвергнется атаке. Игнорирование этого направления может принести ущерб бизнесу не меньше, чем игнорирование юридических законов или правил ведения бухгалтерского учета. Вам нужно установить “правила игры” уже сейчас и обучать свои персонал учитывать киберугрозы при разработке новых продуктов и внедрении новых процессов.
- Процедура видачі Держпрацею дозволів на виконання робіт підвищеної небезпеки Євген Морозов 10:32
- Сила чи емпатія Наталія Тонкаль вчора о 20:57
- Видалення з реєстру старої щорічної декларації депутата та подання виправленої Євген Морозов вчора о 16:07
- Справедливість по-українськи: забрати в бідних, збагатити чиновників Андрій Павловський 15.11.2024 22:06
- Перевибори у Німеччині. Нові проблеми чи можливості для України? Галина Янченко 15.11.2024 17:33
- Особистий бренд – ваш новий бізнес-актив Наталія Тонкаль 15.11.2024 14:39
- Нові правила управління державним майном та реалізації арештованих активів Дмитро Зенкін 15.11.2024 14:09
- Обміняйте Шевченка Євген Магда 15.11.2024 13:56
- Університети і ринок праці: взаємозалежність Юрій Баланюк 15.11.2024 13:37
- Виїзд дитини за кордон під час війни: порада від сімейного адвоката Світлана Приймак 15.11.2024 12:59
- Право постійного землекористувача надавати земельну ділянку в оренду третій особі Євген Морозов 15.11.2024 11:16
- ІТ в США та в Україні: порівняння зарплат, витрати та перспективи Сергій Хромченко 15.11.2024 10:39
- Воднева галузь США після обрання Трампа: чи зупинить Америка рух зеленого водню? Олексій Гнатенко 15.11.2024 09:15
- Форвардні контракти на ринку електроенергії ЄС: як працювати з вигодою та без ризиків Ростислав Никітенко 14.11.2024 11:55
- Особливості здійснення Держгеокадастром контролю за використанням та охороною земель Євген Морозов 14.11.2024 09:56
-
Темні емпати: який це тип особистості та що про них кажуть психологи
Життя 9648
-
Комедія з Монікою Белуччі та продовження легендарного "Гладіатора": чотири кіноновинки тижня
Життя 6413
-
Секрет дорогих яєць. Як виробники задерли ціни та збільшили експорт
Бізнес 5113
-
"Справжній бедрум панк": музичні новинки тижня
Життя 4008
-
Майк Тайсон програв Джейку Полу
Життя 3845