Сейчас мы хотим поговорить не о формальном исполнении 152-ФЗ «О персональных данных», а о реальной безопасности Ваших информационных ресурсов.
Когда спрашиваешь у директора или сотрудника внезапно ответственного за ИБ, задумывались ли они о проблемах информационной безопасности, которые могут возникнуть - самый популярный ответ, который мы получаем: «Да кому мы нужны?! Зачем кому-то проводить на нас атаки?!»
Печально, но так отвечает не только малый бизнес, но и порой представители крупных предприятий, где по умолчанию необходимо зорко отслеживать ситуацию.
И действительно, целенаправленную атаку на Вас проводить может и нет смысла, но беда в том, что могут случиться другие «залётные» проблемы. И если Вам до сих пор везло, нет никакой гарантии, что и завтра Вы будете спать спокойно.
- WannaCry, Petya, Nepetya и прочие твари зашифровали диск с базой 1С, копия от которой в лучшем случае лежала на этом же диске, а в худшем — вообще никогда не делалась;
- менеджер ушел к конкурентам с той же самой злосчастной базой 1С, а директор фирмы просит найти следы, с помощью которых можно наказать того самого менеджера;
- в браузере завелся майнер, который ест ресурсы системы;
- конкуренты давят на системного администратора (или любых других сотрудников) и настоятельно рекомендуют слить им базу данных, при этом директор уже начинает использовать полиграф;
- Роскомнадзор стучится в двери и просит с Вас штраф в размере 300 000,00 руб. и устранение нарушений в течение месяца, потому что сотрудник или клиент написал заявление;
- и пр. подобные ситуации.
ПОЗДНО! Друзья, поздно думать об информационной безопасности, когда инцидент уже случился.
Начнем с простого:
1. Есть ли пароли на рабочих станциях сотрудников?
2. А они сложнее, чем 123, qwerty, март2018, имени питомца и различных других подобных комбинаций?
3. Уверены ли Вы, что Ваши сотрудники не хранят свои пароли под клавиатурой/на мониторе/под стеклом на столе/в накопителе для бумаг/в верхнем ящике стола вместе с ключами от сейфа? На этом моменте можно смеяться сколько угодно, НО каждый раз приходя в очередную организацию для выполнения работ мы сталкиваемся с тем, что пароль пользователя можно найти менее чем за 5 минут, не прилагая особых усилий, ну или его наизусть помнит половина коллег.
4. А знаете ли Вы или Ваши сотрудники о волшебном сочетании клавиш Win+L, чтобы заблокировать рабочую станцию на период своего отсутствия?
Ну что…?! Переходим к вопросам посложнее:
5. Электронная подпись для доступа к банкам, торговым площадкам и государственным системам находится в руках тех людей, на которых она получена?
6. Вы или Ваш системный администратор настроили права доступа Windows и 1С (или любой другой базы данных)?
7. Уверены ли Вы в том, что Ваши сотрудники используют информационные ресурсы компании исключительно в рабочих целях?
8. А антивирусное средство установлено на рабочих местах?
И еще немного об организационных мерах:
9. Вы рассказали Вашим сотрудникам о том, что у Вас есть конфиденциальная информация?
10. Вы защищаете персональные данные своих сотрудников и клиентов?
11. Исключен доступ к рабочим документам сторонним людям?
12. Знаете ли Вы что на дне океана проживает Спанч Боб квадратные штаны?
Если хотя бы на один вопрос Вы ответите «нет» или замедлите с ответом, потому что не знаете, что у Вас происходит в действительности -тогда пришло время снять пелену неведения с глаз и начать делать реальную информационную безопасность.
Реальная безопасность – это когда Вам и Вашим сотрудникам удобно работать в той системе, которую Вы для них создали, при этом у них нет возможности что-то сломать или украсть.
Реальная безопасность – это когда Вы и Ваши сотрудники знают свою степень ответственности за ИБ в Компании.
Реальная безопасность – это когда есть понимание, какие письма в почте открывать можно, а какие потенциально опасны.
А начинать следует с осознания руководством, что это необходимость современности, а не блажь компьютерных затворников. Мы часто сталкиваемся с ситуациями, когда ИТ-специалисты просят нас объяснить их руководству, зачем все это делается. Поэтому осознание необходимости защиты – это важный шаг к достижению реальной ИБ.
«Ну хорошо, предположим мы осознали, а дальше то что?!» - скажет, надеемся, хотя бы каждый десятый читатель этой статьи.
«А дальше, - ответим мы, - не пороть горячку». И, пожалуй, это самый главный пункт. Поймите, не нужно (точнее даже сказать вредно!) нестись сломя голову и покупать дорогостоящие средства защиты или так сильно любимый некоторыми руководителями софт «чтоб следить за персоналом».
Если возник хоть намек на такую мысль - остановитесь и отдышитесь, ибо бежать куда-то рано. Наоборот, в этот самый момент нужно присесть и подумать (хорошо так подумать) - а что собственно защищать будем и от кого?
Если говорить нашим языком, то необходимо выделить информационные ресурсы Компании и распределить их по степени важности. Соответственно, от самых важных, от которых зависит функционирование организации «в случае чего» - до самых неважных, от которых вообще ничего не зависит, и даже 50 рублей Вы не заплатите, если их потеряете или их получат конкуренты.
1С и другие подобные базы, это важный ресурс. Да и не забываем про персональные данные сотрудников, документы в бумажном виде, различные сводные таблицы в exсel, а также черновики документов.
Если бы нам давали хоть рублик за каждый черновик с чем-то «интересненьким», который случайно к нам попал, то миллионерами мы бы не стали, но на капучино с пончиком (и не одним) нам бы хватало.
Ну и исходя из типов информационных ресурсов будем выбирать стратегию по их защите.
P.S.:
- даже если в Вашей небольшой (большой и серьезной для клиентов) Компании работает лишь один человек (и это Вы) или еще один-два родственника/добрых друга;
- даже если все дела находятся под Вашим чутким руководством;
- даже если Вы готовы отдать почку Вашему однокласснику, который работает с Вами миллион лет;
- даже если Вы готовы отдать руку на отсечение и зуб в придачу, потому что у Вас все хорошо.
МЫ, представители мира информационной безопасности (как пафосно), очень просим Вас, дорогие наши Друзья, мониторить ситуацию в Вашей компании и заниматься реальной информационной безопасностью.
Если у Вас остались вопросы по обеспечению информационной безопасности, смело можете задать их автору статьи - Дарье Лесниковой, начальнику отдела информационной безопасности ООО "АВИТЕК-СЕРВИС", эксперту в области ИБ по тел: (342) 246-22-91, dslesnikova@avitek.ru
Полезные ссылки:
Еще больше статей читайте на нашем сайте
Наша группа ВКонтакте