5 базовых правил для защиты бизнеса от хакерских атак

Количество массивных кибератак неуклонно растет. Согласно исследованию Group-IB, в 2022 году утечки персональных данных россиян выросли в 40 раз по сравнению с предыдущим годом и затронули около 100 миллионов пользователей. Взломав корпоративную учетную систему крупной организации, злоумышленники получают доступ к огромному количеству информации, от личных контактов из клиентской базы до коммерческой и даже гостайны.

Можно сказать, что сегодня хакерство стало своего рода хобби, и за многими серьезными взломами стоят вчерашние школьники, которые атакуют базы данных по инструкциям из даркнета. Большинство корпоративных информационных систем оказывают скомпрометированными из-за таких простейших вещей как легкие пароли, невнимательность сотрудников или несвоевременное обновление программного обеспечения. Чтобы обеспечить своей компании базовую информационную безопасность, достаточно выполнить всего 5 простых шагов.

1. Обучайте сотрудников цифровой грамотности

Абсолютное большинство взломов происходит из-за человеческого фактора, то есть из-за банальной небрежности. Корпорации заботятся о самых передовых способах защиты продуктивного контура, тогда как начинать нужно с обучения собственных сотрудников. Персоналу нужно объяснять, почему нельзя оставлять пароли без присмотра на рабочем столе, пренебрегать двухфакторной аутентификацией, открывать подозрительные ссылки с рабочей почты, а также слишком редко или вообще никогда не менять пароли.

Впрочем, в корпоративной практике бывают и по-настоящему «шпионские» ситуации: иногда хакеры специально устраиваются в компанию, чтобы получить доступ к конфиденциальной информации, или заводят отношения с сотрудниками компании с той же целью. В таких случаях не поможет технологическая защита на уровне фаерволов — в компании нужно формировать определенную культуру. Каждый сотрудник должен иметь представление о потенциальных рисках небрежного отношения к данным в киберпространстве.

2. Не делитесь лишней информацией и создавайте копии

Чем меньше данных вы публикуете в открытый доступ, тем лучше. Не выдавайте данные о своих серверах во внешний мир и не храните больше информации, чем это необходимо. К примеру, если вы пытаетесь наладить процесс согласования отпусков, спросите себя, правда ли нужно создавать общедоступный портал, где будет храниться вся HR-документация и все личные данные сотрудников из кадровой базы.

И еще один совет при работе с базами данных: обязательно создавайте резервные копии критически важной информации и храните их отдельно от основной информационной системы. В противном случае, восстановить данные после эшелонированной атаки шифровальщиков будет уже невозможно.

3. Регулярно обновляйте программное обеспечение

Летом этого года стало известно, что данные клиентов сразу трех крупных российских розничных сетей могли утечь из-за уязвимости корпоративной информационной системы, которая уже была успешно закрыта в новом релизе от вендора. Другими словами, торговые компании просто вовремя не запустили обновление лицензионной программы.

Справедливости ради стоит сказать, что на уровне крупной корпорации процесс обновления софта выглядит сложнее, чем, например, обновление приложения в смартфоне. Иногда на тестирование и установку нового релиза может уходить до 8 часов. Это значит, что обновление нужно либо осуществлять ночью, либо арендовать дорогостоящий дублирующий сервер и проводить обновление через него. Тем не менее, это не повод игнорировать релизы вендора. Если новая версия закрывает существенные уязвимости, ее стоит установить как можно скорее.

4. Цените своих специалистов по информационной безопасности

Внутренняя служба информационной безопасности в крупных компаниях нередко вызывает раздражение у всех, кто в нее не входит. Сотрудники работают над текущими бизнес-задачами и не хотят тратить время на двухфакторную аутентификацию или придумку пароля длиной в двадцать символов.

К сожалению, все риски информационной уязвимости для бизнеса обычно понимает лишь его руководитель. Здесь тоже встает вопрос об обучении сотрудников. Линейному персоналу стоит отдельно объяснить, почему служба информационной безопасности требует следовать определенным алгоритмам, чем грозит беспечность и почему пароль не должен походить на “password123”.

5. Не бойтесь работать со сторонними экспертами и подрядчиками

Некоторые компании так напуганы сложившейся ситуацией, что боятся делегировать проекты подрядчикам и пытаются все тянуть на себе. Снять эти страхи легко. Например, ИТ-интеграторы могут работать в отдельных защищенных средах разработки или дорабатывать учетные системы на основе так называемых синтетических данных.

Та же история касается и подрядчиков в сфере информационной безопасности. Если ресурсы и требования корпоративной безопасности позволяют, имеет смысл нанять внешнюю компанию, много лет специализирующуюся на защите корпоративных систем, нежели создавать свой внутренний отдел из новичков.

Главное — не откладывать решения вопросов информационной безопасности до лучших времен. Начинайте строить свою цифровую крепость уже сегодня, чтобы не оставить злоумышленникам ни единого шанса в будущем.