ЕДИНЫЙ НОМЕР +7-342-235-78-48

Новости членов ПТПП

novosti.jpg

Как (НЕ)делается информационная безопасность в небольших компаниях

08 Май 2019. Источник: ООО "АВИТЕК-СЕРВИС"

Сейчас мы хотим поговорить не о формальном исполнении 152-ФЗ «О персональных данных», а о реальной безопасности Ваших информационных ресурсов.

142659f25b178d1697adde233818c235.jpg

Когда спрашиваешь у директора или сотрудника внезапно ответственного за ИБ, задумывались ли они о проблемах информационной безопасности, которые могут возникнуть - самый популярный ответ, который мы получаем: «Да кому мы нужны?! Зачем кому-то проводить на нас атаки?!»

Печально, но так отвечает не только малый бизнес, но и порой представители крупных предприятий, где по умолчанию необходимо зорко отслеживать ситуацию.

И действительно, целенаправленную атаку на Вас проводить может и нет смысла, но беда в том, что могут случиться другие «залётные» проблемы. И если Вам до сих пор везло, нет никакой гарантии, что и завтра Вы будете спать спокойно.

Пока тенденция, к сожалению, такова, что к нам за помощью обращаются уже в тот момент, когда:

  • WannaCry, Petya, Nepetya и прочие твари зашифровали диск с базой 1С, копия от которой в лучшем случае лежала на этом же диске, а в худшем — вообще никогда не делалась;
  • менеджер ушел к конкурентам с той же самой злосчастной базой 1С, а директор фирмы просит найти следы, с помощью которых можно наказать того самого менеджера;
  • в браузере завелся майнер, который ест ресурсы системы;
  • конкуренты давят на системного администратора (или любых других сотрудников) и настоятельно рекомендуют слить им базу данных, при этом директор уже начинает использовать полиграф;
  • Роскомнадзор стучится в двери и просит с Вас штраф в размере 300 000,00 руб. и устранение нарушений в течение месяца, потому что сотрудник или клиент написал заявление;
  • и пр. подобные ситуации.

ПОЗДНО! Друзья, поздно думать об информационной безопасности, когда инцидент уже случился.

Информации о том, что делать, а что не делать – много, и рассказывать ее можно бесконечно долго. Но давайте для начала ответим на некоторые вопросы.  

Начнем с простого:

1. Есть ли пароли на рабочих станциях сотрудников?

2. А они сложнее, чем 123, qwerty, март2018, имени питомца и различных других подобных комбинаций? 

3. Уверены ли Вы, что Ваши сотрудники не хранят свои пароли под клавиатурой/на мониторе/под стеклом на столе/в накопителе для бумаг/в верхнем ящике стола вместе с ключами от сейфа? На этом моменте можно смеяться сколько угодно, НО каждый раз приходя в очередную организацию для выполнения работ мы сталкиваемся с тем, что пароль пользователя можно найти менее чем за 5 минут, не прилагая особых усилий, ну или его наизусть помнит половина коллег. 

4. А знаете ли Вы или Ваши сотрудники о волшебном сочетании клавиш Win+L, чтобы заблокировать рабочую станцию на период своего отсутствия? 

Ну что…?! Переходим к вопросам посложнее: 

5. Электронная подпись для доступа к банкам, торговым площадкам и государственным системам находится в руках тех людей, на которых она получена? 

6. Вы или Ваш системный администратор настроили права доступа Windows и 1С (или любой другой базы данных)? 

7. Уверены ли Вы в том, что Ваши сотрудники используют информационные ресурсы компании исключительно в рабочих целях? 

8. А антивирусное средство установлено на рабочих местах? 

И еще немного об организационных мерах: 

9. Вы рассказали Вашим сотрудникам о том, что у Вас есть конфиденциальная информация? 

10. Вы защищаете персональные данные своих сотрудников и клиентов? 

11. Исключен доступ к рабочим документам сторонним людям? 

12. Знаете ли Вы что на дне океана проживает Спанч Боб квадратные штаны? 

Если хотя бы на один вопрос Вы ответите «нет» или замедлите с ответом, потому что не знаете, что у Вас происходит в действительности -тогда пришло время снять пелену неведения с глаз и начать делать реальную информационную безопасность.

А что такое реальная безопасность?

Реальная безопасность – это когда Вам и Вашим сотрудникам удобно работать в той системе, которую Вы для них создали, при этом у них нет возможности что-то сломать или украсть. 

Реальная безопасность – это когда Вы и Ваши сотрудники знают свою степень ответственности за ИБ в Компании. 

Реальная безопасность – это когда есть понимание, какие письма в почте открывать можно, а какие потенциально опасны.

С чего начинать делать реальную безопасность?

А начинать следует с осознания руководством, что это необходимость современности, а не блажь компьютерных затворников. Мы часто сталкиваемся с ситуациями, когда ИТ-специалисты просят нас объяснить их руководству, зачем все это делается. Поэтому осознание необходимости защиты – это важный шаг к достижению реальной ИБ.

«Ну хорошо, предположим мы осознали, а дальше то что?!» - скажет, надеемся, хотя бы каждый десятый читатель этой статьи.

«А дальше, - ответим мы, - не пороть горячку». И, пожалуй, это самый главный пункт. Поймите, не нужно (точнее даже сказать вредно!) нестись сломя голову и покупать дорогостоящие средства защиты или так сильно любимый некоторыми руководителями софт «чтоб следить за персоналом».

Если возник хоть намек на такую мысль - остановитесь и отдышитесь, ибо бежать куда-то рано. Наоборот, в этот самый момент нужно присесть и подумать (хорошо так подумать) - а что собственно защищать будем и от кого?

Если говорить нашим языком, то необходимо выделить информационные ресурсы Компании и распределить их по степени важности. Соответственно, от самых важных, от которых зависит функционирование организации «в случае чего» - до самых неважных, от которых вообще ничего не зависит, и даже 50 рублей Вы не заплатите, если их потеряете или их получат конкуренты. 

1С и другие подобные базы, это важный ресурс. Да и не забываем про персональные данные сотрудников, документы в бумажном виде, различные сводные таблицы в exсel, а также черновики документов.

Если бы нам давали хоть рублик за каждый черновик с чем-то «интересненьким», который случайно к нам попал, то миллионерами мы бы не стали, но на капучино с пончиком (и не одним) нам бы хватало.

Ну и исходя из типов информационных ресурсов будем выбирать стратегию по их защите.

P.S.:

  • даже если в Вашей небольшой (большой и серьезной для клиентов) Компании работает лишь один человек (и это Вы) или еще один-два родственника/добрых друга;
  • даже если все дела находятся под Вашим чутким руководством;
  • даже если Вы готовы отдать почку Вашему однокласснику, который работает с Вами миллион лет;
  • даже если Вы готовы отдать руку на отсечение и зуб в придачу, потому что у Вас все хорошо.

МЫ, представители мира информационной безопасности (как пафосно), очень просим Вас, дорогие наши Друзья, мониторить ситуацию в Вашей компании и заниматься реальной информационной безопасностью.

Если у Вас остались вопросы по обеспечению информационной безопасности, смело можете задать их автору статьи - Дарье Лесниковой, начальнику отдела информационной безопасности ООО "АВИТЕК-СЕРВИС", эксперту в области ИБ по тел: (342) 246-22-91, dslesnikova@avitek.ru

Полезные ссылки:
Еще больше статей читайте на нашем сайте
Наша группа ВКонтакте



Посмотреть страницу АВИТЕК-СЕРВИС