Скорее всего, вы этого не знали: 9 вопросов, которые директор должен задать IT-специалисту, чтобы спасти бизнес

Об информационной безопасности в компаниях обычно вспоминают в двух случаях: когда взломали и когда история повторилась. Центр кибербезопасности (SOC) hoster.by фиксирует десятки различных киберинцидентов каждый день. При этом на практике защищенных на 100% проектов не существует: будь то крупнейший банк или крошечный интернет-магазин свечей ручной работы. Эксперты центра кибербезопасности отмечают, что более 90% обращений — это запросы на устранение последствий и помощь в расследовании инцидентов, а не их профилактика. Чтобы помочь свести к минимуму риск оказаться в числе этих компаний, «Про бизнес» в ожидании конференции «ИТ.BIZ. ИНСТРУМЕНТЫ ДЛЯ РОСТА БИЗНЕСА И КЛИЕНТОВ», которая пройдет 11 декабря в Минске, попросил составить основные вопросы, которые каждому директору стоит задать своим IT-специалистам.

Генеральный партнер события — МТБанк
Технологический партнер — МТС
Партнер — Компания по развитию
индустриального парка
Инфраструктурный партнер — hoster.by

1. С какими данными имеет дело компания и какие информационные системы их обрабатывают?

Любая информация относится к определенному типу. «Просто номера телефонов» из формы обратной связи в гугл-таблице могут оказаться персональными данными клиентов, которые требуют четко обозначенных средств защиты. А коммерческую тайну недостаточно хранить на сервере в кабинете директора, чтобы она соответствовала стандартам охраняемой законом тайны юридического лица.

На сегодня законодательством предусмотрено 16 классов типовых информационных систем. Они отличаются категориями данных (от общедоступной до ограниченного распространения) и наличием подключения к открытым каналам передачи данных. Для каждого класса есть определенные меры защиты. Для 14 классов информационных систем они прописаны в Приказе № 66 Оперативно-аналитического центра при Президенте Республики Беларусь. Кроме этого есть еще два класса информационных систем — госсекреты и КВОИ (критически важные объекты информатизации), к которым предъявляются другие требования защиты.

Убедитесь, что ваши IT-специалисты точно знают, какие типы данных хранятся и обрабатываются в вашей компании, какие в ней существуют информационные системы, насколько они соответствуют требованиям законодательства и создана ли у вас система защиты информации.

2. Разграничивается ли у нас доступ к данным?

Крайне важно знать, к каким данным имеют доступ определенные сотрудники или департаменты. А также их возможности: например, кто может только просматривать записи из базы данных, а кто — изменять их, создавать новые или удалять. Принцип разделения может быть разным. Но сама практика разграничения доступа и наличия журнала действий обязательна. Это позволяет если не исключить, то снизить риски утечек конфиденциальной информации, а также проводить расследования при инцидентах, так как вопросы можно будет задавать либо конкретному сотруднику, либо ограниченному кругу лиц.

Также полезно проверить, есть ли общие учетные данные для нескольких сотрудников. Например, единый логин и пароль для доступа в административную панель сайта (что недопустимо).

3. Проводится ли обучение персонала?

Этот пункт можно смело поставить на первое место по степени важности. Человеческий фактор — абсолютный лидер в рейтинге слабых мест при выстраивании информационной безопасности. Даже если у вас небольшая компания и рабочие инструменты сводятся к электронной почте и 1С, каждый сотрудник должен знать об опасности перехода по ссылкам из писем или открытия вложенных файлов. Основы цифровой гигиены — абсолютное условие существования бизнеса в современном мире.

4. Своевременно ли обновляется программное обеспечение? Используется ли нелицензионное ПО?

Каждая новая версия программы — это закрытие многих обнаруженных уязвимостей, которые есть даже в самом лучшем софте. Например, абсолютное большинство взломов сайтов происходит через «дыры» устаревших версий движков.

Отдельная проблема — нелицензионное ПО, скачанное на просторах интернета. Оставим за скобками вопрос этики и скажем лишь, что это заведомо уязвимый софт и магнит для проблем в ближайшем будущем. Даже крупные компании, которые вкладываются в инфобезопасность, соблюдают все регламенты, обносят периметр неприступным «забором» из нескольких средств защиты, порой оставляют настежь открытые ворота для киберпреступников в виде скачанного с торрента антивируса.

5. Используем ли мы антивирусное ПО и какое именно?

По данным центра кибербезопасности hoser.by, более 80% взломов сайтов и информационных систем связано с работой вредоносного программного обеспечения. При этом о важности антивируса хоть и знает каждый школьник, порой к его выбору и обновлениям относятся без должного внимания. Или вообще могут поставить антивирус, но отключить его, так как он что-то блокирует или влияет на скорость загрузки.

Что такое хороший антивирус для бизнеса? Это тот, который выбран осознанно с учетом его специализации: например, под конкретную операционную систему, среду контейнеризации и т.д.

6. Есть ли у нас резервные копии данных и где они хранятся?

Нет резервных копий — нет работающего бизнеса после первого же серьезного технического сбоя. Бэкапы должны быть — и точка. А вот что именно, как и когда копировать — тут уже могут быть нюансы.

Одна из самых серьезных ошибок — это исправно делать резервные копии и хранить их там же, где работает основной проект. В случае удаления всех данных с сервера, «нападения» вируса-шифровальщика или простого выхода сервера из строя, все копии пропадут так же безвозвратно, как и основной проект. Поэтому копии самых важных файлов должны храниться как минимум отдельно, а в идеале — на отдельном физическом носителе.

Обязательно иметь резервные копии конфигурационных файлов оборудования и наиболее чувствительных данных, без которых не может работать бизнес: базы данных клиентов, сайт, CRM, 1С. Полные бэкапы желательно делать раз в две-четыре недели. А инкрементальные, то есть записывающие отличия, произошедшие с момента последнего сохранения, — каждый день.

7. Осуществляем ли мы мониторинг инфраструктуры?

Это обязательный пункт для информационных систем, работающих с данными ограниченного распространения и требующих соблюдения соответствующих нормативных актов. Но для любой компании мониторинг будет крайне полезной практикой. Он включает круглосуточный сбор данных о событиях информационной безопасности, подозрительных активностях и ряде других метрик.

— Мониторинг позволяет не только вовремя обнаруживать, но и предотвращать, а также расследовать киберпреступления, — комментирует генеральный директор hoster.by Сергей Повалишев. — Из примеров последних недель: взлом нескольких проектов клиентов удалось обнаружить и закрыть уязвимости еще до того, как клиентам был нанесен какой-либо ущерб. Более того, благодаря подробным данным из системы мониторинга удалось выявить общее слабое звено в пострадавших проектах и предупредить разработчика ПО и других клиентов и существующей проблеме.

8. Проводим ли мы аудиты информационной безопасности? Если да, то что именно они включают и как часто проходят?

Это еще одна практика, которая обязательна для критически важных объектов инфраструктуры (КВОИ) и систем, работающих по международным стандартам вроде PCI DSS и т.д. Но она крайне полезна и для всех остальных. Это регулярная проверка того, насколько хорошо работают средства защиты, персонал и все остальные элементы созданной вами системы инфобезопасности. Практика показывает, что какой бы совершенной ни была ваша однажды выстроенная защита, без регулярных проверок с сопутствующим отчетом и предложениями по улучшению она очень скоро начнет обрастать зияющими дырами.

9. Есть ли план реагирования на случай, если информационную систему взломают или что-то еще пойдет не так?

Такой план должен содержать алгоритм действий при возникновении ситуаций, которые могут повлиять на работу бизнеса. Что делать, если, например, пропал интернет, потеряли доступ к инфраструктуре, злоумышленники зашифровали данные и прочее.

— Возможно, это прозвучит слишком категорично, но я могу с уверенностью сказать, что отсутствие должного внимания к инфобезопасности очень скоро приведет к большим проблемам для любой организации: на уровне остановки бизнес-процессов, проблем с репутацией, разбирательств с контролирующими органами, — говорит Сергей Повалишев. — Это просто требование времени и неотъемлемая часть ведения бизнеса: такая же, как необходимость вести бухгалтерскую отчетность и выплачивать зарплату сотрудникам. Хороших новостей как минимум две. Во-первых, выстроенная система киберзащиты становится вашим активом и конкурентным преимуществом. А во-вторых, львиную долю этих задач можно отдать на аутсорс аккредитованным центрам кибербезопасности, чтобы быть уверенным в результате и получить его максимально быстро и без больших затрат.