Ми живемо в час розвитку цифрових технологій, що дає можливість швидкого розвитку, оптимізації процесів, ефективного використання ресурсів, але в той же час зустрічаємося з новими викликами.
Кібератаки вже не раз блокували роботу бізнесу та державних установ по всьому світу. Витік інформації та розголошення конфіденційних даних систематично спричиняють значну шкоду бізнесу, в тому числі підрив репутації та довіри до компанії та її бренду. Саме тому наявність надійної системи кібербезпеки – це обов’язкова потреба сучасності для захисту вашого бізнесу.
Кібербезпека для бізнесу – це сукупність інструментів і політик, які запобігають несанкціонованому проникненню в системи компанії, гарантують цілісність даних та мінімізують ризики від кіберзлочинності. Кібербезпека – це не тільки надійні паролі та використання ліцензійних програм, це цілий комплекс заходів і стратегій, які спрямовані на захист інформаційних систем, даних та активів компанії від загроз у цифровому просторі.
Зазвичай така система включає правила щодо доступу до інформаційних ресурсів, правила захисту та використання персональних даних, фінансових даних, використання конфіденційної інформації, а також правила, що регулюють використання мобільних пристроїв, створення і управління паролями. Ці політики мають існувати на підприємстві не як формальність, важливо впровадити їх ефективне використання співробітниками. Правила мають бути зрозумілими для всіх співробітників і регулярно оновлюватися відповідно до змін у цифровому середовищі.
Компанії, що дотримуються суворих внутрішніх політик щодо кібербезпеки, часто використовують підхід «нульової довіри», за яким жоден користувач чи пристрій не вважається надійним автоматично, навіть у межах мережі, тому підлягає постійній перевірці. Дуже важливою є політика контролю доступу. Співробітники мають доступ лише до тих даних, які необхідні їм для виконання своїх обов’язків. Щоб зменшити ризики, потрібна системна робота з персоналом. Це не разове інформування персоналу, а постійна програма кіберосвіти, що включає ознайомлення працівників із правилами та їх оновленнями.
В деяких IT компаніях запроваджуються щомісячні треніги, на яких з персоналом обговорюється важливість нерозголошення конфіденційної інформації та відповідно наголошується на дотриманні умов договорів NDA, разом з тим оновлюється інформація по правилах кібербезпеки, проводяться роз’яснення та обговорення актуальної проблематики і шляхів удосконалення системи кіберзахисту.
Регулярні тренінги з безпеки будуть корисними для будь-якого виду бізнесу. На таких тренінгах персонал навчають правилам безпечного користування програмами, вчать розпізнавати кіберзагрози та фішинг (вид кібершахрайства, метою якого є несанкціонований доступ до конфіденційних або персональних даних шляхом шахрайства).
Вкрай небажаним є використання власних смартфонів, ноутбуків чи планшетів при виконанні робочих завдань, особливо для пересилання інформації.
По-перше, така інформація залишається в неконтрольованому доступі, по-друге, втрата або злам пристрою відкриває доступ до документів, паролів і внутрішньої інформації.
Якщо у вашій компанії все-таки використовуються різноманітні месенджери для обміну інформацією між співробітниками, то варто встановити двохфакторну автентифікацію та обмежити перелік інформації, яка підлягає обміну у такий спосіб. За будь-яких обставин не пересилати через месенджери персональні дані, фінансові відомості, паролі та конфіденційну інформацію.
Найчастішою метою кібератак є отримання несанкціонованого доступу до баз даних, оскільки саме в них зосереджено найбільш цінну інформацію – персональні дані, комерційні відомості, фінансова звітність та інші важливі відомості. Тому кіберзахист починається саме з них.
Важливим елементом забезпечення кібербезпеки є впровадження актуальних технологічних рішень, спрямованих на протидію кіберзагрозам. До них належать антивірусні програмні забезпечення, фаєрволи, а також інструменти шифрування даних. Регулярні оновлення програмного забезпечення і систем безпеки також є важливими для захисту від нових кіберзагроз.
Одним із базових, але водночас важливих елементів цього захисту є використання складних і унікальних паролів. Йдеться не лише про формальне дотримання вимог до довжини чи набору символів, а про створення паролів, які є стійкими до підбору (зокрема, методами перебору або словникових атак) і не повторюються для різних облікових записів.
Використання простих або однакових паролів значно підвищує ризик компрометації всієї системи навіть у разі витоку даних з одного ресурсу. Важливою практикою є регулярна зміна паролів. Такий підхід дозволяє мінімізувати наслідки потенційного витоку облікових даних, навіть якщо факт компрометації не був своєчасно виявлений. Періодичне оновлення паролів особливо актуальне для доступу до критично важливих систем та баз даних, що містять персональні чи конфіденційні відомості.
Електронна пошта і надалі є ключовим засобом ділового спілкування для більшості компаній, водночас залишаючись одним із найбільш поширених способів здійснення кібератак. Саме через цей канал зловмисники розповсюджують фішингові повідомлення, шкідливі вкладення, а також надсилають підроблені звернення, які нерідко мають переконливий зміст та вигляд.
Вчинення користувачем навіть однієї необережної дії: відкриття вкладення або переходу за посиланням, може призвести до несанкціонованого доступу до корпоративної електронної кореспонденції та внутрішніх документів. Задля запобігання впроваджуються механізми фільтрації вхідної електронної пошти, а також варто систематично підвищувати обізнаність працівників щодо виявлення кіберзагроз.
У нашій нещодавній практиці був показовий випадок, який добре ілюструє, наскільки переконливими можуть бути сучасні фішингові атаки. До нас звернувся клієнт у зв’язку з отриманням електронного запиту нібито від правоохоронного органу. У запиті містилася вимога надати конкретні документи у межах проведення перевірки.
На перший погляд, повідомлення виглядало абсолютно легітимно:
Фактично повідомлення було побудоване таким чином, щоб створити у отримувача відчуття обов’язковості та терміновості реагування. З огляду на зміст та форму запиту, у клієнта не виникло сумнівів у його достовірності, і він звернувся до нас за правовою допомогою для належного реагування. Втім, вже на етапі первинного аналізу тексту та технічних деталей листа стало очевидно, що йдеться не про офіційний запит, а про фішингове повідомлення.
Ознаки підробки були типовими, але добре замаскованими: невідповідність домену відправника, відсутність передбачених процедур направлення таких запитів, а також спроба спонукати до переходу за зовнішнім посиланням для “доступу” до матеріалів.
У результаті клієнта було своєчасно проінформовано про ризики, що дозволило уникнути розкриття інформації та потенційного доступу третіх осіб до корпоративних даних.
У контексті правового регулювання це також відповідає принципу належної обачності (due diligence) та вимогам до впровадження відповідних технічних і організаційних заходів захисту інформації. Кіберзагрози можуть мати вкрай негативні наслідки для бізнесу, включно з витоком даних, репутаційними збитками, фінансовими втратами, тому впровадження надійної системи захисту є не тільки вимогою сучасності, а й належною обачністю в розбудові бізнесу.