Предправления СДМ-Банка: Четыре правила безопасности для СМБ

Многие руководители малого бизнеса недооценивают важность информационной безопасности, полагая, что небольшие компании не так интересны хакерам, как крупные. Это заблуждение. Малый бизнес как раз весьма привлекателен для интернет-мошенников. В первую очередь тем, что не слишком озабочен информационной безопасностью.

Не на всяком малом предприятии в штате есть специалист по информационным технологиям, зато часто встречаются нелегальное программное обеспечение, «левый» антивирус. Данные могут храниться в общедоступных папках, ключи от системы дистанционного банковского обслуживания (ДБО) – в ящике стола руководителя. Повышает риск утечки корпоративной информации и использование в работе смартфонов и планшетов.

Как показывает анализ возникающих инцидентов, злоумышленники, как правило, не охотятся на какую-то конкретную компанию, «натравливая» вирусы на всех, кто попадется под руку. «И те, кто защищен меньше или не защищен совсем, становятся первыми «жертвами» хакеров, которые, проникая в информационную сеть компании, похищают секретные ключи, данные об операциях или клиентах», – отмечает Олег Илюхин, директор департамента информационных технологий «СДМ-Банка».

Как сообщает в своем исследовании американская компания Verizon, почти 30% инцидентов в области информационной безопасности (ИБ) приходится на компании со штатом менее 100 человек. В каждом десятом случае хакерские атаки привели к утечке ценных конфиденциальных данных, разглашение которых причинило ущерб бизнесу предприятия. Ущерб, включая потери в бизнесе, стоимость устранения последствий и закупку нового оборудования, может составить весьма внушительную для небольшой компании сумму.

Защитить компанию не так уж и трудно. Есть несколько обязательных правил информационной безопасности, которые соблюдать просто необходимо.

Правило первое: нужен заслон для вирусов и спама. Самую большую угрозу безопасности компании, по данным экспертов, представляет вредоносное ПО. Ежедневно появляется около 200 тыс. новых его образцов. По данным участников ИБ-рынка, в прошлом году 95% российских компаний по меньшей мере один раз подверглись хакерской атаке. Не менее серьезной угрозой является утечка в результате незащищенного обмена корпоративной информацией через мобильные устройства сотрудников.

Чтобы не допустить возникновения этих угроз, необходимо отказаться от «левого» софта, установить файрвол и современный антивирус, регулярно обновлять его. Компьютер, на котором установлено ДБО, необходимо отключить от локальных сетей. Выходить в интернет с него, кроме как для связи с банком, нельзя. Если в работе или для хранения информации используются смартфоны и планшетные компьютеры, не надо выходить с них в социальные сети и пользоваться общедоступным Wi-Fi.

Правило второе: ключи и пароли необходимо держать под замком. Часто руководители СМБ сами дают карты в руки мошенникам, держа ключи от ДБО и электронной подписи в доступном месте. «Более того, некоторые нерадивые сотрудники компании вообще не вынимают usb-флэшку с ключом от ДБО из компьютера. В случае, если хакер получит контроль над компьютером, это приведет к краже всех секретных ключей и использованию системы ДБО мошенником от имени организации», – предупреждает Олег Илюхин. Эти сведения необходимо хранить в сейфе или другом надежном месте, доступ посторонних к ним должен быть запрещен.

Правило третье: корпоративные данные должны храниться на удаленном сервере. Коммерческие и персональные данные лучше всего доверить облачным сервисам. Это безопаснее, чем в папке на столе или компьютере, на флешке или съемном диске. Данные в дата-центрах хранятся в зашифрованном виде, и добраться до них можно только с помощью электронных ключей и цифровой подписи.

Совсем недавно появилась возможность сертифицированной защиты систем с персональными данными, размещенными на облачных ресурсах, комментирует Игорь Никулин, директор департамента информационных технологий компании КРОК. «Есть ряд компаний, которые хотят перенести свои данные в облако, но не могут, так как регулятор обязывает их для защиты своих систем использовать только сертифицированные средства информационной безопасности. С нашим новым сервисом Security-as-a-Service (SecaaS) у них есть такая возможность. Специалисты могут развернуть его в «облаке» КРОК или в одном из наших дата-центров в течение 1–2 дней», – говорит он.

Правило четвертое: нужно разграничить потоки информации между сотрудниками. Важно также предупредить и внутренние угрозы – умышленные или случайные нарушения политики информационной безопасности сотрудниками компании. Эти риски можно минимизировать, установив доступ к корпоративной информации в зависимости от уровня полномочий сотрудников. Например, менеджер по продажам располагает сведениями только о своих клиентах, а полная база и вся история продаж будет доступна только начальнику отдела продаж. Главный бухгалтер должен иметь доступ только к бухгалтерской отчетности, а управленческая отчетность будет доступна только гендиректору. Конечно, в маленькой компании добиться полного обособления функций сложно, но попытаться разграничить потоки информации между сотрудниками все-таки необходимо. Все это также снизит вероятность утечки данных.

Для успеха любого бизнеса важно, чтобы информация, используемая внутри компании, не попала в руки третьих лиц. Система информационной безопасности обойдется гораздо дешевле, чем борьба с последствиями утечки корпоративной информации.

Максим Солнцев, председатель правления «СДМ-Банка»



Регистрируйся на хак-квест CRC, выиграй поездку в Лондон!