Напевно ви не одноразово чули про випадки отримання великими організаціями багатомільйонних штрафів та втрату репутації на ринку через викрадення даних клієнтів зловмисниками. Нещодавно жертвою хакерської атаки стала міжнародна компанія з управління готельними мережами — Marriott. Під загрозою опинилися персональні дані 5,2 мільйона клієнтів компанії, включаючи імена, електронні пошти тапоштові адреси.
Сьогодні ж цілями кіберзлочинців можуть стати не тільки відомі корпорації, а й будь-які підприємства малого та середнього бізнесу, які обробляють дані кредитних карток або зберігають певну конфіденційну інформацію. Так нещодавно було виявлено троян Guildma, який був націлений переважно на банківські установи та поширювався за допомогою спам-повідомлень зі шкідливими вкладеннями.
Більшість власників компаній роблять велику помилку — не приділяють увагу захисту даних вважаючи, що їх це ніяк не стосується. Однак інструменти кіберзлочинців удосконалюються, а кількість жертв зростає. Саме тому постає питання необхідного забезпечення інформаційної безпеки на підприємствах, що передбачає дотримання наступних правил.
Як правило кіберзлочинці намагаються отримати доступ до корпоративних даних через «найслабше місце» компанії — недосвідчений персонал. Спочатку зловмисники надсилають фішингове повідомлення, яке є настільки реальним, що співробітник не підозрює зловмисні дії і відкриває його. Після цього, сценарії бувають різними — на пристрій завантажується програма-вимагач, троян, шпигунська програма чи інше шкідливе ПЗ.
Тому першим кроком у справі посилення інформаційної безпеки компанії має бути інформування співробітників щодо актуальних загроз та способів захисту від них. Кожен співробітник повинен усвідомити необхідність захисту даних компанії та клієнтів.
Тому керівництво підприємства повинно регулярно проводити навчання всіх відділів (маркетинг, продажі, колл-центри тощо), які працюють з даними, щодо принципів інформаційної безпеки та захисту даних, можливих способів атак зловмисників, а також методів їх уникнення.
2. Захист фізичних носіїв даних та робочих пристроїв.
Незахищені дані залишають підприємства уразливими до кібератак та інфікування шкідливим програмним забезпеченням. Оскільки у разі втрати чи викрадення USB-накопичувачів, ноутбуків чи смартфонів компанії співробітник ставить під загрозу всі корпоративні дані. В гіршому випадку потрапляння пристрою у чужі руки може призвести до шантажування зловмисниками з вимогою викупу. Щоб уникнути подібних ситуацій спеціалісти ESET рекомендують:
• завжди виходити з систем та ресурсів, які містять конфіденційні дані.
• зашифровувати всі корпоративні дані за допомогою рішення для шифрування, яке надає можливість керувати ключами шифрування віддалено, а також дозволяє встановлювати політику щодо файлів, жорстких дисків, портативних дисків, карт пам'яті та електронних листів. Таким чином у разі втрати робочого пристрою зловмисники не зможуть прочитати корпоративні дані.
• здійснювати регулярне резервне копіювання файлів. Таким чином ви зможете відновити дані у будь-який час.
3. Сегментування мережі та контроль користувачів, які намагаються увійти.
Існує багато причин для сегментування корпоративної мережі: зниження навантаження на систему, контроль доступу та безпека. У цілях інформаційної безпеки конфіденційні дані потрібно розміщувати на окремих серверах, забезпечуючи при цьому додатковий захист за допомогою брандмауерів або інших служб безпеки. Таким чином ви встановлюєте безліч бар'єрів, які знижують ризик викрадення даних. Крім цього, необхідно здійснювати моніторинг користувачів, які отримують або намагаються отримати доступ до мережі. Це дозволяє адміністраторам швидко виявляти та реагувати на будь-яку підозрілу поведінку.
Підтвердженням ефективності цього правила є нещодавна атака на італійський сервіс електронної пошти Email.it. Зокрема зловмисники викрали особисті дані понад 600 000 користувачів, куди входили текстові паролі, вміст та вкладення електронної пошти. Однак фінансові дані не постраждали, оскільки вони зберігалися на інших серверах.
4. Співпраця з перевіреними постачальниками послуг.
Сучасні технології значно спростили систему комунікації між організаціями, що відкриває нові можливості для партнерів та полегшує відносини між компаніями. Однак це спричинило іншу проблему. Кіберзлочинці почали здійснювати атаки на невеликі компанії, щоб завдяки цьому отримувати доступ до більш цінних даних корпорацій.
Тому будь-який договір про обслуговування, постачання чи інший вид співпраці повинен включати детальні вимоги щодо безпеки. Багато постачальників хмарних послуг регулярно проходять тестування на проникнення різних загроз, щоб відповідати стандартам інформаційної безпеки в певній галузі діяльності.
Найважливіше те, що постачальник послуг повинен мати рівень безпеки, який відповідає вашому. У разі відсутності відповідного захисту корпоративних систем та партнерських сервісів ви можете висунути необхідні вимоги.
5. Захист віддаленого доступу до мережі вашого підприємства.
Високошвидкісний Інтернет-зв’язок та сучасна трудова етика дозволяють багатьом офісним працівникам працювати вдома. З кожним роком такий режим роботи набирає все більшої популярності. Особливо сьогодні можливість безпечної віддаленої роботи є великою перевагою для компаній.
Будь-який пристрій співробітника чи клієнта для віддаленого доступу до робочої мережі повинен відповідати нормам інформаційної безпеки, які вимагають наступного:
- підключення через віртуальну приватну мережу (VPN).
- використання двофакторної аутентифікації під час входу в систему або підключення до VPN.
- отримання доступу за допомогою віртуальної машини як опції підключення за замовчуванням, якщо це можливо.
- використання комплексного рішення з безпеки для захисту від проникнення програм-вимагачів, шпигунських програм та інших видів загроз, а також запобігання фішинг-атакам.
Будь-яка компанія, яка зберігає та опрацьовує особисті дані користувачів, може стати жертвою хакерської атаки. Однак у випадку дотримання усіх правил інформаційної безпеки, компанія буде мати набагато менші збитки та мінімальні збої бізнес-процесів.