Деятельность любой компании связана с использованием большого количества конфиденциальной информации. Электронные платежи и обмен письмами с контрагентами упрощают ведение бизнеса, экономят средства и время, а электронные базы данных содержат самую полную и актуальную информацию о финансовых активах компании, персональные данные работников. Вместе с тем, растет число преступлений, совершаемых с целью кражи ценных данных, а мошеннические схемы становятся все хитрее и изощрённее. Компаниям приходится нанимать штатных специалистов по информационной безопасности, а наиболее крупные бизнес-игроки организовывают целые отделы для защиты своих систем от несанкционированного доступа и кражи данных. Что нужно знать об информационной безопасности предпринимателю, если он не может изыскать в бюджете компании средства на содержание штатного специалиста?

29 октября
Юлия Бинат

Что нужно защищать?

Чаще всего мошенники стремятся заполучить такие данные, как:

  • информация о реальных финансовых показателях;
  • разработки, ноу-хау, коммерческие тайны;
  • логины, пароли или другая информация, используемая для доступа в компьютеры, программное обеспечение (ПО), базы данных, защищенные серверы компании и т. д.;
  • персональные данные;
  • ключи электронных подписей

Если такая информация попадает к злоумышленникам, то это может повлечь за собой ущерб для бизнеса или даже поставить под угрозу его дальнейшее существование.

Как защищать?

Любые меры по защите информации должны сохранять три важных свойства охраняемых данных:

  • Доступность: к данным должен обеспечиваться доступ тем сотрудникам, которым они нужны в соответствии с должностными обязанностями.
  • Конфиденциальность: информация не может быть доступна всем без исключения работникам и кому-либо за пределами компании.
  • Целостность: предпринимаемые меры по защите информации не могут допускать ее изменения, искажения или нарушения целостности.

И, наконец, «золотое правило» защиты информации, о котором не нужно забывать, – цена мер, предпринимаемых для обеспечения информационной безопасности, не может превышать реальную цену этих данных.

Если враг – внутри

Часто в утечке конфиденциальной информации виновны те, кто имел к ней доступ – из-за невнимательности или намеренного злоупотребления. Чтобы этого не допустить, важно разграничить доступом к данным разным категориям сотрудников.

  • Документальное закрепление личной ответственности сотрудников за сохранность конфиденциальных данных. Если компания или предприниматель обладают информацией, имеющей коммерческую ценность, то необходимо ввести на предприятии режим коммерческой тайны, как мы рассказывали тут. Здесь можно почитать про NDA – соглашение о неразглашении.
  • Охрана персональных данных. В случае с использованием и обработкой персональных данных, требование о неразглашении персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» должно быть включено в трудовой договор с сотрудником, т.к. при утечке предпринимателя может ждать крупный штраф. Так, в сентябре Роскомнадзор потребовал у «Билайна» информацию об утечке данных абонентов, оператору грозит штраф в 100 тысяч рублей.
  • Контроль за доступом к информации сотрудников из разных структурных подразделений. Например, кадровику не нужна информация о финансовых показателях компании за прошедший квартал, а продажнику – персональные данные сотрудников.
  • Контроль за хранением и использованием архивов внутренней документации. Сроки хранения отдельных документов установлены Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ», после их истечения такая информация должна быть уничтожена. От того, насколько тщательно это было сделано, также зависит риск возникновения утечки. Так, в июле данные клиентов одного из банков нашли на свалке, после чего расследование начала полиция и прокуратура.
  • Физическое ограничение доступа к серверам с данными, систематическое создание резервных копий данных. Часто (почти всегда, и это правильно) серверы находятся в специальных закрытых помещениях, куда разрешен доступ ограниченному кругу лиц. А резервные копии могут спасти бизнес при атаке вируса-шифровальщика, сэкономив существенные суммы на выкупе данных.
  • Хранение ключей электронных подписей в закрытых сейфах, помещениях, с доверием права их использования ограниченному кругу лиц. Электронная подпись – это аналог обычной подписи, которой можно подписывать важные электронные документы, имеющие юридическую силу. Через электронную подпись можно украсть квартиру или бизнес, хотя к счастью, с 1 июля 2020 года таких историй стало меньше (была улучшена криптографическая защита ключей подписи по ГОСТу). В случае пропажи ключа следует незамедлительно обратиться в организацию, которая его выдала, и отозвать скомпрометированный ключ. 
  • Организационная работа с сотрудниками. Важно объяснить сотрудникам, почему необходимо вести переписку строго с адреса электронной почты компании, а не с личной почты. 

Если все это кажется очень сложным, то предприниматель может обратиться к услугам специализированной компании, имеющей лицензию ФСТЭК на осуществление деятельности в сфере защиты информации. Она на договорных условиях проанализирует типы информации, которые обрабатываются, хранятся и передаются в компании, составит «под ключ» модель угроз, проанализирует внутренний документооборот и структуру компании, типы пользователей, ПО, рабочие компьютеры, выявит уязвимости в информационной безопасности, предложит рекомендации по устранению недостатков, а также составит всю необходимую документацию. Услуга разовая, но ее ценник более чем демократичен.

Что может сисадмин

Обеспечить большинство мер по защите данных может грамотный системный администратор, организовав доступ на рабочих местах и к локальной сети. Главное – поставить задачу и выделить небольшой бюджет: эти затраты будут невелики по сравнению с ущербом от хакеров или излишне предприимчивых конкурентов:

  • Контроль за хранением и использованием учетных данных для входа в рабочие компьютеры, базы данных, программы и т. д. Использование сложных паролей, их учет в журнале регистрации пользователей – дополнительная мера защиты от несанкционированного доступа. Учетные данные должны меняться или уничтожаться, к примеру, если сотрудник уволился, чтобы снизить риск злоупотреблений с его стороны.
  • Разграничение прав доступа на рабочих компьютерах на расширенные (полные) и ограниченные. За сотрудниками с полным правом доступа ко всем компьютерам и данным нужен особый контроль.
  • Грамотный подход к созданию локальной сети (объединяет нескольких компьютеров для доступа к одной и той же информации) заключается в создании нескольких сетей под разные виды данных. Локальная сеть бухгалтерии не должна быть открыта для других сотрудников, как и локальная сеть HR-отдела.
  • Шифрование информации, представляющей особую ценность. При утечке зашифрованной информации злоумышленник не сможет стразу – или вовсе – использовать добытые данные.
  • Своевременное создание резервных копий данных защитит от утери информации как в случае хакерской атаки, так и при поломке оборудования.
  • Передача данных по каналам связи, использующим шифрование делает ее доступной только в момент поступления получателю.
  • Специальные программные решения в области удаленного контроля действий на рабочих местах. Руководствуясь принципом «доверяй, но проверяй», предприниматель может установить программы для отслеживания, что делает у себя на компьютере каждый сотрудник. 
  • Использование на рабочих местах современных лицензированных антивирусов. Современный рынок предлагает огромное множество антивирусного ПО для бизнеса. Предпочтение стоит отдать именно серверным комплектам – они устанавливаются сразу на несколько рабочих мест, а вот настройку все же лучше доверить профессионалам. Лицензия на такие программы стоит разумных денег, и экономить на ней строго не рекомендуется – с каждым обновлением антивирусы закрывают уязвимости, которые эксплуатируют самые новые вирусы. Например, в сентябре «Лаборатория Касперского» отловила крупную рассылку вредоносного ПО под видом писем из Федеральной налоговой службы. После истечения лицензии антивирус перестает обновляться и становится все более бесполезным, а ваши компьютеры – уязвимыми. 
  • Выход в сеть Интернет через защищенное соединение (VPN). Такая сеть использует шифрование данных, и злоумышленник не может получить информацию о действиях в Интернете и просмотреть, какие данные были отправлены или получены.

По официальной статистике МВД РФ, количество киберпреступлений в России постоянно растет, и после начала пандемии COVID-19 и ухода части сотрудников «на удаленку» найти брешь в защите хакерам стало проще. Процент раскрытия таких преступлений низок, поэтому организация постоянной, многоступенчатой, надежной и рациональной информационной безопасности – часто залог не просто успешного ведения бизнеса малых компаний и предпринимателей, но и его выживания.

Напишите что-нибудь и нажмите Enter