Цифровая гигиена: как компании защититься от взломов и утечки данных

Киберугрозы стали одной из ключевых проблем бизнеса в 2023 году – количество утечек информации из компаний за год выросло на 9%. Причём думать, что это проблема только крупных предприятий и госсектора, по меньшей мере, наивно: по количеству похищенных персональных данных лидируют сегменты малого и среднего предпринимательства. О том, какие меры стоит предпринять бизнесу для защиты от киберугроз, порталу Biz360.ru рассказал Николай Кологойда, генеральный директор онлайн-конструктора сайтов Landy24.

Причиной 70% успешных кибератак является человеческий фактор. Чтобы исключить самый распространённый фактор кибератак, следует запланировать регулярные тренинги с сотрудниками. Необходимо знакомить их с новыми мошенническими схемами и способами защиты от них. 

Тем для тренингов можно набрать на целый курс, но для начала стоит рассказать, что часто причиной взлома являются:

• слишком слабый пароль;

• использование корпоративных паролей в личных аккаунтах;

• отсутствие двухфакторной аутентификации;

• случайное или намеренное разглашение данных. 

Дальше можно уделить внимание приёмам социальной инженерии, правилам информационной безопасности на «удалёнке», цифровой гигиене, коммерческой тайне и ответственности за разглашение. Потому что даже при подписании NDA далеко не все читают, что написано в документе. 

Большинство обычных пользователей думают, что при обновлении ПО только добавляются новые функции. Они не учитывают тот факт, что с новыми версиями программ закрываются лазейки и уязвимости, которые используют при кибератаках. 

Чтобы не думать о том, где ПО уже устарело, и постоянно проверять обновления, можно выбрать их автоматическую установку. Например, в Windows эта настройка активирована по умолчанию. Очередное обновление не застанет врасплох, если в операционной системе указать часы активности. 

ПО успешно обновится, если помнить о четырёх базовых правилах: 

• Для установки обновления устройство должно быть подключено к защищенной сети Wi-Fi.

• На устройстве должно быть достаточно места.

• Обязательно нужно делать резервную копию данных перед обновлением.

• Даже при использовании автоматических обновлений иногда стоит проверять актуальность ПО: чтобы убедиться, что обновления работают правильно. 

При покупке домена лучше обезопасить его от кражи через регистрацию аналогичного товарного знака и фирменного наименования. В России за эти вопросы отвечает федеральная служба Роспатента. Минимальные затраты на регистрацию товарного знака составляют 33 тысячи рублей. 

Также, если для создания сайта применялся онлайн-конструктор, важно убедиться, что сервис использует эффективные SSL-сертификаты и другие протоколы безопасности. Сертификат нужен, чтобы сайт мог работать через шифрование протокола HTTPS. Так удастся обеспечить конфиденциальность и безопасность клиентских данных. HTTPS обязательно нужен, когда на сайте компании предусмотрена функция оплаты. 

Один в поле не воин. Бесплатным помощником для владельца сайта может стать «Яндекс Вебмастер». Он будет регулярно проверять сайт на наличие подозрительной активности и вредоносного кода, а уведомление об угрозе позволит принять экстренные меры по её устранению. 

Главное: не забывать регулярно заходить в «Вебмастер» и отслеживать предупреждения. Это к слову о влиянии человеческого фактора. 

Для восстановления бесперебойной работы сайта в случае форс-мажора важно регулярно создавать резервную копию площадки. Бэкап (резервная копия) защитит данные и позволит оперативно вернуться к работе. У ряда платных хостингов это можно делать в автоматическом режиме. 

Похожие возможности есть и у конструкторов сайтов при наличии платной подписки. У одних вендоров копии нужно делать самостоятельно вручную, у других – поддержка может «откатить» сайт и восстановить работоспособную версию на нужную дату и время. 

Надёжные CMS обычно имеют встроенные системы защиты: единую систему авторизации пользователя, разграничение прав доступа, безопасные методы аутентификации пользователей и регулярные обновления. В них обычно предусмотрены оповещения об уязвимостях и уведомления об обновлениях, которые необходимо устанавливать для повышения защиты. 

Большинство популярных современных CMS достаточно надёжны. Это касается и WordPress, и Joomla, и Drupal, и «1С-Битрикс», и других продуктов. Косвенный показатель безопасности, на который стоит обратить внимание при выборе CMS – наличие регулярных обновлений. 

Следуйте принципу наименьших привилегий. Это значит, что предоставлять сотрудникам допуск нужно только к тем файлам, базам данных и паролям, которые необходимы для выполнения задач на их должностях. Такой подход позволит минимизировать последствия в случае взлома системы. 

Для лучшей защиты советуем обеспечить сотрудников корпоративными персональными компьютерами и ограничить доступ к сайтам, не относящимся к работе. Установление безопасного веб-шлюза позволит проконтролировать доступ сотрудников к сети, не допустить переход на фишинговые сайты и защитит трафик от вредоносного ПО и рекламы. 

Снова вспоминаем про человеческий фактор: если у специалиста есть доступ к стратегической информации, уместно заключить с ним соглашение о неразглашении. 

Надеемся, что эти рекомендации помогут уберечь компанию от утечки конфиденциальных данных и серьёзных последствий. Следует помнить, что для защиты бизнеса от кибератак и кражи персональных данных лучше интегрировать комплексный подход, обеспечивая безопасность как от внутренних, так и внешних угроз.

В работе отдавайте предпочтение коммерческим решениям, так как они обладают надёжными системами защиты, регулярно выпускают обновления и напоминают о необходимости их установки. Если такой возможности нет, то можно настроить напоминания, чтобы самостоятельно проверять обновления бесплатных систем, обновлять пароли и делать актуальные резервные копии.

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
biz360