Защита данных становится все более актуальной проблемой, и ее нельзя игнорировать даже микро-бизнесам, работающим в сети. Почему важно обезопасить себя от хакеров и по каким принципам выстраивать оптимальную систему безопасности, разберем в первой части статьи. Во второй расскажем, как защитить данные без угрозы для бюджета.
Почему это нужно каждому?
Ежегодно мы узнаем о крупных утечках данных, распространении ранее не известных троянов по всему миру и о других печальных новостях из мира кибер-преступлений. И если судить только по информации из СМИ, опасность грозит корпорациям с большими объемами данных, но не МСБ.
К сожалению, все не так радужно. Даже если не нагнетать атмосферу рассказами о том, что вредоносные программы распространяются постоянно и повсеместно, для описания важности проблемы достаточно упомянуть:
- Требования законодательства. Это и защита персональных данных, и работа с контрагентами, и предоставление отчетов в надзорные органы в системах электронного документооборота. Как минимум, нужно соблюдать требования о защите информации на своей стороне, чтобы не получить штрафы. Как максимум, стоит позаботиться о предотвращении утечек информации во время ее передачи между компанией и ее партнерами, банками, налоговой и другими службами.
- Привычные угрозы. По-прежнему никто не застрахован от массовых атак на сайты, электронных писем от спамеров и распространителей вредоносных программ, фишинга и вирусов. Более того, регулярно появляются новые разновидности атак и мошеннических схем. А значит, простые превентивные средства защиты, такие как антивирусы и обновления ПО, всегда актуальны.
- Новая реальность. Сотрудники на удаленке и раньше не всегда нравились специалистам по информационной безопасности. А во время пандемии их стало еще больше, при том, что далеко не в каждой компании есть ресурсы для обеспечения защищенных подключений, закупки нового лицензионного ПО, предоставления сотрудникам надежной техники. «Периметр безопасности», за рамки которого не выходят важные данные, во многих случаях просто размылся.
- Человеческий фактор. Всегда были, есть и, наверное, будут люди, пренебрежительно относящиеся к требованиям безопасности. И не по злому умыслу. Простое незнание правил, забывчивость, наконец, убедительность мошенников, вымогающих данные — все это угрозы для конфиденциальности. А если ошибку допустил сотрудник, работающий на личном незащищенном компьютере, опасность грозит не только его аккаунтам в соцсетях, но и данным о компании, имеющимся в его распоряжении.
Очевидно, что хотя бы минимальная защита нужна каждой компании. Но не все согласны тратить деньги и время на создание системы безопасности. А те, кто могут позволить себе дополнительные расходы, не всегда правильно распоряжаются средствами. Виной тому несколько мифов о системах информационной безопасности.
Распространенные заблуждения
Мы уже развеяли одно из наиболее популярных — отсутствие необходимости в защите. Теперь поговорим о других:
- Высокая стоимость. Да, системы безопасности для крупных предприятий, как правило, разрабатываются индивидуально и поддерживаются несколькими специалистами. Но далеко не каждой компании нужна такая защита. Достаточный уровень ИБ можно обеспечить гораздо проще и дешевле, например, с помощью доступных готовых сервисов и силами одного сисадмина. Подробнее о таких решениях мы расскажем во второй части статьи.
- Полная защищенность. Обратная сторона беспечности — уверенность в том, что после подключения нужных программ и инструментов контроля больше ничего не нужно делать. Это не так, система будет нуждаться в обновлениях и дополнениях по мере роста бизнеса. «Поставил и забыл» здесь не работает.
- Это только ПО и машины. Нет, сохранность данных напрямую зависит от людей. Более того, от каждого сотрудника, имеющего доступ к сайту, CRM и рабочим файлам. И новичок, и руководитель могут случайно скачать вредоносную программу на рабочий компьютер, раскрыть какую-либо информацию мошенникам, забыть поменять пароль и т. д. Поэтому необходимо объяснить правила сетевой безопасности всем, кто связан с данными компании, и регулярно проверять их соблюдение.
- Это слишком сложно. Защита информации — это действительно непросто. Но для рядовых сотрудников не так уж и трудно не скачивать неизвестно что и вовремя менять пароли. Обо всем остальном позаботится грамотный специалист.
Есть и другие популярные заблуждения, например, о том, что расходы на ИБ не окупаются, или о чрезмерных требованиях специалистов. Но если представить себе, какие убытки можно понести в случае остановки работы из-за вирусов на сайте или на компьютерах менеджеров, расходы покажутся не такими серьезными. Тем более что систему ИБ можно создать под собственные требования и задачи.
Принципы построения системы безопасности
Как уже упоминалось, сложные и дорогие системы актуальны далеко не для всех. Но есть общие принципы, следуя которым подбираются оптимальные средства защиты:
- Важность данных для бизнеса. Грамотные специалисты по ИБ в первую очередь смотрят на специфику работы компании, типовые угрозы в ее отрасли, важность тех или иных данных для бизнес-процессов. Это нужно для правильного подбора защитных мер. К примеру, в одной компании полный доступ к CRM должны иметь все сотрудники, а значит, нужно обеспечивать нужный уровень защиты при любых подключениях, хоть в офисе, хоть на выездных переговорах. А в другой компании нужно разграничить доступ для менеджеров и администраторов сайта. В каждом случае подбирается оптимальный вариант системы контроля и защиты данных.
- Соответствие законодательству. Есть множество требований к хранению ПДн, использованию онлайн-касс, защите ККИ, и их необходимо соблюдать. Кроме того, важно разграничивать данные, относящиеся к коммерческой тайне, и общедоступные, позаботиться о безопасности интернет-пользователей на сайте, не допускать появления в сети подделок сайта со скопированным или неправомерным контентом.
- Уровни защиты. Все вышесказанное значит, что нужно прорабатывать несколько уровней защиты в зависимости от важности данных. К примеру, кардинально ограничить доступ к коммерческой тайне и ПДн особых категорий, и при этом оставить открытой информацию для полноценной работы сотрудников всех должностей.
- Комплексность. Система ИБ должна охватывать и защищать все, что используется для хранения данных. Ошибочно полагать, что достаточно обезопасить сайт и настроить VPN. Как минимум, нужны еще антивирусы и надежные пароли на компьютерах сотрудников. Хотя и этого мало для полноценной защиты большого объема важной информации. Угрозы поступают с разных сторон, поэтому следует предусмотреть соответствующие меры защиты от всех предполагаемых опасностей.
- Достаточность. При всем этом комплекс мер не должен быть избыточным. Слишком сложная и дорогая система приведет только к расходам и тратам сил на борьбу с авторизациями и ограничениями. Ведь защита уровня Белого дома действительно нужна немногим.
- Простота. И, наконец, при построении системы важно упростить все, что можно. И для ее четкой работы, и для удобства обслуживания, и для спокойствия сотрудников. Впрочем, перебарщивать тоже не нужно: необходим баланс между простотой и надежностью.
Все это по-прежнему кажется сложным и недоступным для небольшой компании? Да, понадобится время, чтобы найти специалиста и внедрить все, что нужно для защиты данных. А вот стоимость может варьировать от зарплаты сисадмина до содержания полноценного ИБ-отдела, поэтому и для МСБ доступна грамотная защита. Как ее обеспечить и не разориться, расскажем во второй части статьи.
