3 декабря
Будущее глазами бэкенд-разработчиков. Регистрируйтесь на мероприятие о технологиях в электронной коммерции
Об информационной безопасности в компаниях обычно вспоминают в двух случаях: когда взломали и когда история повторилась. Центр кибербезопасности (SOC) hoster.by фиксирует десятки различных киберинцидентов каждый день. При этом на практике защищенных на 100% проектов не существует: будь то крупнейший банк или крошечный интернет-магазин свечей ручной работы. Эксперты центра кибербезопасности отмечают, что более 90% обращений — это запросы на устранение последствий и помощь в расследовании инцидентов, а не их профилактика. Чтобы помочь свести к минимуму риск оказаться в числе этих компаний, «Про бизнес» в ожидании конференции «ИТ.BIZ. ИНСТРУМЕНТЫ ДЛЯ РОСТА БИЗНЕСА И КЛИЕНТОВ», которая пройдет 11 декабря в Минске, попросил составить основные вопросы, которые каждому директору стоит задать своим IT-специалистам.
Генеральный партнер события — МТБанк
Технологический партнер — МТС
Партнер — Компания по развитию
индустриального парка
Инфраструктурный партнер — hoster.by
Любая информация относится к определенному типу. «Просто номера телефонов» из формы обратной связи в гугл-таблице могут оказаться персональными данными клиентов, которые требуют четко обозначенных средств защиты. А коммерческую тайну недостаточно хранить на сервере в кабинете директора, чтобы она соответствовала стандартам охраняемой законом тайны юридического лица.
На сегодня законодательством предусмотрено 16 классов типовых информационных систем. Они отличаются категориями данных (от общедоступной до ограниченного распространения) и наличием подключения к открытым каналам передачи данных. Для каждого класса есть определенные меры защиты. Для 14 классов информационных систем они прописаны в Приказе № 66 Оперативно-аналитического центра при Президенте Республики Беларусь. Кроме этого есть еще два класса информационных систем — госсекреты и КВОИ (критически важные объекты информатизации), к которым предъявляются другие требования защиты.
Убедитесь, что ваши IT-специалисты точно знают, какие типы данных хранятся и обрабатываются в вашей компании, какие в ней существуют информационные системы, насколько они соответствуют требованиям законодательства и создана ли у вас система защиты информации.
Крайне важно знать, к каким данным имеют доступ определенные сотрудники или департаменты. А также их возможности: например, кто может только просматривать записи из базы данных, а кто — изменять их, создавать новые или удалять. Принцип разделения может быть разным. Но сама практика разграничения доступа и наличия журнала действий обязательна. Это позволяет если не исключить, то снизить риски утечек конфиденциальной информации, а также проводить расследования при инцидентах, так как вопросы можно будет задавать либо конкретному сотруднику, либо ограниченному кругу лиц.
Также полезно проверить, есть ли общие учетные данные для нескольких сотрудников. Например, единый логин и пароль для доступа в административную панель сайта (что недопустимо).
Этот пункт можно смело поставить на первое место по степени важности. Человеческий фактор — абсолютный лидер в рейтинге слабых мест при выстраивании информационной безопасности. Даже если у вас небольшая компания и рабочие инструменты сводятся к электронной почте и 1С, каждый сотрудник должен знать об опасности перехода по ссылкам из писем или открытия вложенных файлов. Основы цифровой гигиены — абсолютное условие существования бизнеса в современном мире.
Каждая новая версия программы — это закрытие многих обнаруженных уязвимостей, которые есть даже в самом лучшем софте. Например, абсолютное большинство взломов сайтов происходит через «дыры» устаревших версий движков.
Отдельная проблема — нелицензионное ПО, скачанное на просторах интернета. Оставим за скобками вопрос этики и скажем лишь, что это заведомо уязвимый софт и магнит для проблем в ближайшем будущем. Даже крупные компании, которые вкладываются в инфобезопасность, соблюдают все регламенты, обносят периметр неприступным «забором» из нескольких средств защиты, порой оставляют настежь открытые ворота для киберпреступников в виде скачанного с торрента антивируса.
По данным центра кибербезопасности hoser.by, более 80% взломов сайтов и информационных систем связано с работой вредоносного программного обеспечения. При этом о важности антивируса хоть и знает каждый школьник, порой к его выбору и обновлениям относятся без должного внимания. Или вообще могут поставить антивирус, но отключить его, так как он что-то блокирует или влияет на скорость загрузки.
Что такое хороший антивирус для бизнеса? Это тот, который выбран осознанно с учетом его специализации: например, под конкретную операционную систему, среду контейнеризации и т.д.
Нет резервных копий — нет работающего бизнеса после первого же серьезного технического сбоя. Бэкапы должны быть — и точка. А вот что именно, как и когда копировать — тут уже могут быть нюансы.
Одна из самых серьезных ошибок — это исправно делать резервные копии и хранить их там же, где работает основной проект. В случае удаления всех данных с сервера, «нападения» вируса-шифровальщика или простого выхода сервера из строя, все копии пропадут так же безвозвратно, как и основной проект. Поэтому копии самых важных файлов должны храниться как минимум отдельно, а в идеале — на отдельном физическом носителе.
Обязательно иметь резервные копии конфигурационных файлов оборудования и наиболее чувствительных данных, без которых не может работать бизнес: базы данных клиентов, сайт, CRM, 1С. Полные бэкапы желательно делать раз в две-четыре недели. А инкрементальные, то есть записывающие отличия, произошедшие с момента последнего сохранения, — каждый день.
Это обязательный пункт для информационных систем, работающих с данными ограниченного распространения и требующих соблюдения соответствующих нормативных актов. Но для любой компании мониторинг будет крайне полезной практикой. Он включает круглосуточный сбор данных о событиях информационной безопасности, подозрительных активностях и ряде других метрик.
— Мониторинг позволяет не только вовремя обнаруживать, но и предотвращать, а также расследовать киберпреступления, — комментирует генеральный директор hoster.by Сергей Повалишев. — Из примеров последних недель: взлом нескольких проектов клиентов удалось обнаружить и закрыть уязвимости еще до того, как клиентам был нанесен какой-либо ущерб. Более того, благодаря подробным данным из системы мониторинга удалось выявить общее слабое звено в пострадавших проектах и предупредить разработчика ПО и других клиентов и существующей проблеме.
Это еще одна практика, которая обязательна для критически важных объектов инфраструктуры (КВОИ) и систем, работающих по международным стандартам вроде PCI DSS и т.д. Но она крайне полезна и для всех остальных. Это регулярная проверка того, насколько хорошо работают средства защиты, персонал и все остальные элементы созданной вами системы инфобезопасности. Практика показывает, что какой бы совершенной ни была ваша однажды выстроенная защита, без регулярных проверок с сопутствующим отчетом и предложениями по улучшению она очень скоро начнет обрастать зияющими дырами.
Такой план должен содержать алгоритм действий при возникновении ситуаций, которые могут повлиять на работу бизнеса. Что делать, если, например, пропал интернет, потеряли доступ к инфраструктуре, злоумышленники зашифровали данные и прочее.
— Возможно, это прозвучит слишком категорично, но я могу с уверенностью сказать, что отсутствие должного внимания к инфобезопасности очень скоро приведет к большим проблемам для любой организации: на уровне остановки бизнес-процессов, проблем с репутацией, разбирательств с контролирующими органами, — говорит Сергей Повалишев. — Это просто требование времени и неотъемлемая часть ведения бизнеса: такая же, как необходимость вести бухгалтерскую отчетность и выплачивать зарплату сотрудникам. Хороших новостей как минимум две. Во-первых, выстроенная система киберзащиты становится вашим активом и конкурентным преимуществом. А во-вторых, львиную долю этих задач можно отдать на аутсорс аккредитованным центрам кибербезопасности, чтобы быть уверенным в результате и получить его максимально быстро и без больших затрат.
3 декабря
Будущее глазами бэкенд-разработчиков. Регистрируйтесь на мероприятие о технологиях в электронной коммерции
2 декабря
РКО от Белагропромбанка – широкие возможности для бизнеса
2 декабря
5 топовых советов от спикеров бизнес-конференции «RACE. Кейсы, результаты, инсайты»
1 декабря
Путь к победе длиною в девять месяцев: Белагропромбанк подвел итоги Стартап-марафона 2024
28 ноября
400 м2 светодиодных экранов, VR футбол с мировой звездой, дрифт-симулятор и AI-музыканты: что посмотреть на One AI Forum
26 ноября
Как точно рассчитать стоимость строительства дома: даем реально рабочий инструмент
26 ноября
«Обращаются не только за товаром, но и из-за грамотными консультациями»: как работает компания, предоставляющая упаковочные решения
26 ноября
Дизайнер рассказал, как красиво сочетать виниловый сайдинг разных цветов