Утечки данных для жителей нашей страны стали обыденным делом. Не проходит ни дня, чтобы вы не прочитали новость о том, что у очередной фирмы украли все данные пользователей, нажитые непосильным трудом. А сколько случаев кражи данных не доходит до глаз пользователей? Мы ведь узнаем только о случаях с крупными фирмами – об этом, зачастую сообщают сами хакеры. А когда крадут данные у среднего и мелкого бизнеса? Что вообще может сделать средний и мелкий бизнес, чтобы защититься?
Важным моментом здесь являются организационные методы защиты информации. Что значит организационные? Все просто – это правила внутреннего распорядка, выполнение которых обеспечивает определенный уровень пассивной защиты. Например, зачастую, мошенники используют социальную инженерию, чтобы получить данные – представляются руководителем или представителем какого-либо ведомства. Сотрудник должен произвести идентификацию звонящего, чтобы быть уверенным, кому именно он передает данные.
На любой рабочей станции имеется операционная система и в ней есть встроенные средства обеспечения информационной безопасности. В силу специфики, в ОС нет каких-то специальных инструментов, все что может помочь ОС – это разграничить права доступа. То есть, у каждого пользователя есть учетная запись с уникальным паролем, который, в зависимости от того, с какой информацией работает сотрудник, должен меняться с определенной периодичностью. Кроме того, вы сможете отслеживать неудачные попытки входа в систему, ограничивать удаленное подключение, а также управлять возможностью доступа к рабочему месту.
Также должна быть создана матрица доступа к данным в вашей компании. В этой матрице распределены все данные, обрабатываемые в вашей компании и указаны все сотрудники, которые работают с данными. При этом, должно быть четко распределено кто из сотрудников к какой информации имеет доступ. Не должно быть такого, что сотрудник имеет доступ к информации не нужной для его работы. Или того хуже – информации, к которой у него не должно быть доступа.
Помимо этого, важным является протоколирование событий. Ведь если инцидент произошел или имеются предпосылки к его появлению, то узнать это или собрать доказательства этого вы можете с помощью анализа журналов событий. Недостаточно просто ограничивать доступ к информации – вы должны следить за тем, кто и как этой информацией пользуется.
Нужны активные системы противодействия атакам. Из самого доступного – это антивирусные программы. Они должны своевременно обновляться и использоваться. Вообще вопрос обновлений касается не только антивирусов – это касается вообще любого программного обеспечения. Ведь обновления закрывают уязвимости и исправляют ошибки в работе ПО, которыми могут воспользоваться злоумышленники.
Не менее важной частью обеспечения устойчивости к атакам и устойчивости информационной инфраструктуры в целом, является резервное копирование данных. Технические сбои бывают не только в результате атак злоумышленников, но и в результате ошибок во время эксплуатации, ошибок сотрудников, просто устаревания технологической части. Имея резервные копии, вы можете в кратчайшие сроки восстановить работу системы и не потерять важные данные.
В общем и целом, вы должны не просто все перечисленное сделать, но и поддерживать это в работоспособном состоянии. Вам необходимо постоянно пересматривать разработанные меры безопасности и адаптировать их в зависимости от ситуации, либо от реальной эффективности. В частности, это матрица доступа к информации – в зависимости от того, как сотрудники двигаются по карьерной лестнице, приходят и уходят новые сотрудники, меняется подход к обработке информации внутри компании, матрица будет изменяться.
Кроме того, вы не должны забывать о том, что сами сотрудники, зачастую, являются «каналами утечки» информации. Есть множество причин тому: во-первых, не все сотрудники, несмотря на то что они пишут в своих резюме, хорошо разбираются в компьютерах. И они могут делать вещи просто исходя из своей квалификации – например, загрузить файл, пришедший на почту с незнакомого адреса и заразить вирусом свой компьютер. Во-вторых, они могут стать жертвой мошенников в сети Интернет – например, сообщив данные от своей учетной записи. Или предоставить доступ злоумышленникам к своей частной переписке и стать жертвой шантажа.
А иногда они могут делать подобные вещи злонамеренно. Причем, причин подобной злонамеренности – масса. Например, плохие взаимоотношения с начальством, когда сотрудник считает, что его недооценивают, или по каким-то причинам сотрудник считает, что его унижают или оскорбляют на работе. В этом случае, сотрудник может осуществлять саботаж – а насколько серьезными могут быть последствия саботажа человека, который знает всю «кухню» изнутри? Вы можете просто-напросто понести не только материальный, но и репутационный ущерб. Сотрудник может вступить в сговор с конкурентами и передать им наработки вашей компании, сообщить данные ваших клиентов или особенности заключения договоров.
А иногда сотрудник намерен уволиться. В этом случае, он же мысленно покинул компанию и ему безразлична её судьба. Если у вас есть договоренность по отработке в течение двух недель, то с очень малой вероятностью сотрудник будет хорошо выполнять свои обязанности – скорее он будет тратить время на личные дела, а к безопасности информации относиться спустя рукава. Самое ужасное в этом то, что он может решить уволиться, а вам об этом не сообщить. При этом, он уже будет работать далеко не в полную силу, а вы об этом ни сном, ни духом.
Для тех компаний, которые уже контролируют качество набираемого персонала, уже используют все доступные организационные методы, но, по-прежнему, не чувствующих себя защищенными есть возможность использования аутсорсных решений. Сейчас эта область информационной безопасности является быстрорастущей – и тому есть несколько причин. Во-первых, не хватает кадров для ИБ – по официальным данным, количество вакансий превышает количество резюме примерно в два раза и это число только будет расти. Кроме того, не хватает компетентных специалистов – в конкретных узких областях. Все вместе создает ощутимый кадровый голод.
Вторая причина – количество кибератак растет год от года и, как следствие, растет объем задач. Ведь, как уже говорилось выше – недостаточно один раз создать и настроить систему, настройка должна быть постоянным процессом, чтобы обеспечивать защиту от изменчивой внешней среды. Чтобы у любых компаний была возможность обеспечивать свою информационную безопасность, рынок предлагает различные услуги. Одной из них таких услуг является так называемый «аутстаффинг». Суть его очень проста – если у вас в штате нет специалиста по ИБ, а создать защищенную инфраструктуру надо, вы можете через кадровое агентство подобрать специалиста именно под этот проект, указав что ему требуется делать и ставить ему задачи уже непосредственно в течение работы. По окончании проекта – действие трудового договора заканчивается, поэтому вы можете легко это вписывать и учитывать в бюджете.
Еще одной интересной услугой являются облачные сервисы по ИБ. Основные преимущества подобных сервисов – очень быстро включаются в работу, можно масштабировать для компании любого размера и оплата за фактический объем предоставленных услуг. При этом, имеется большой спектр средств защиты – защита от ДДоС-атак, защита мобильных устройств, внешнее сканирование уязвимостей и т.д. Альтернативным вариантом является использование сервисов по подписке – система устанавливается локально, а вы оплачиваете период пользования услугой.
И, наконец, еще одна услуга – это аутсорсинг эксплуатации средств защиты. Причем он может быть в разных форматах – от управления уязвимостями до проведения расследований инцидентов ИБ. В любом случае, есть специалист или команда специалистов, которые контролируют конкретный аспект вашей системы ИБ, позволяя оплачивать стоимость услуги и разгружая собственный бюджет.
Как можно просуммировать из вышесказанного, несмотря на то, что малый и средний бизнес зачастую не обладают таким запасом ресурсов как большие компании, это не отменяет необходимости обеспечивать ИБ внутри бизнеса. Ведь каждая компания так или иначе работает на рынок, на экономику государства и если организации начинают страдать от атак злоумышленников и закрываться – ничем хорошим это закончится не может.
Защита информации начинается от подбора кадров. Вы не знаете, что за человек пришел к вам на работу – конечно, изначально предполагается, что он честный и трудолюбивый, но это может оказаться и не так. Поэтому защита информации начинается в вашем HR-отделе. Насколько хорошо они проверяют соответствие соискателя вакансии? Насколько хорошо они отслеживают атмосферу внутри коллектива? Обеспечивают ли они контроль уровня квалификации сотрудников? Решают ли они вопросы мотивации сотрудников к работе и каким образом?
Вы должны четко понимать и осознавать, что именно вам нужно защищать – какая информация нуждается в защите. Затем, что происходит с этой информацией в вашей системе – кто с ней работает, куда она попадает и как обрабатывается? Без понимания путей обработки и обмена информацией внутри компании, вы не сможете понять, кто с чем должен работать, у кого какой должен быть доступ. И, если произойдет какая-либо утечка, то вы не сможете найти концов.
Наконец, если вы хотите использовать специализированные программы и сервисы, но ограничены в бюджете – рынок предлагает вам различные варианты решения вопроса. У вас нет никаких технических решений? Воспользуйтесь облачным сервисом, например Staffcop Sky. Не хотите отправлять данные в облако? Возьмите сервис по подписке. Не можете позволить себе нанять сотрудников по ИБ на постоянной основе? Через кадровое агентство нанимайте сотрудников для решения конкретных задач – от установки и настройки системы, до проведения расследований.
Самое главное, что вам нужно помнить – это не то, что вы малый/средний или еще какой бизнес. А то, что обеспечение информационной безопасности – исключительно в ваших руках.
