Наверняка вы не раз слышали о случаях получения крупными организациями многомиллионных штрафов и потерю репутации на рынке из-за похищения данных клиентов злоумышленниками. Недавно жертвой хакерской атаки стала международная компания по управлению гостиничными сетями — Marriott. Под угрозой оказались персональные данные 5,2 миллиона клиентов компании, включая имена, электронные почты и почтовые адреса.
Сегодня же целями киберпреступников могут стать не только известные корпорации, но и любые предприятия малого и среднего бизнеса, которые обрабатывают данные кредитных карт или сохраняют определенную конфиденциальную информацию. Так недавно было обнаружено троян Guildma, который был нацелен преимущественно на банковские учреждения и распространялся с помощью спам-сообщений с вредоносными вложениями.
Большинство владельцев компаний делают большую ошибку — не уделяют внимание защите данных, считая, что их это никак не касается. Однако инструменты киберпреступников совершенствуются, а число жертв растет. Именно поэтому возникает вопрос необходимого обеспечения информационной безопасности на предприятиях, которая предполагает соблюдение следующих правил.
1. Улучшение осведомленности персонала.
Как правило, киберпреступники пытаются получить доступ к корпоративным данным через «слабое место» компании — неопытный персонал. Сначала злоумышленники присылают фишинговое сообщение, настолько реальное, что сотрудник не подозревает злонамеренные действия и открывает его. После этого, сценарии бывают разными — на устройство загружается программа-вымогатель, троян, шпионская программа или другое вредоносное ПО.
Поэтому первым шагом в деле усиления информационной безопасности компании должно быть информирование сотрудников относительно актуальных угроз и способов защиты от них. Каждый сотрудник должен осознать необходимость защиты данных компании и клиентов.
Поэтому руководство предприятия должно регулярно проводить обучение всех отделов (маркетинг, продажи, колл-центры и т.п.), которые работают с данными, о принципах безопасности и защите данных, возможных способов атак злоумышленников, а также методов их предотвращения.
2. Защита физических носителей данных и рабочих устройств.
Незащищенные данные оставляют предприятия уязвимыми к кибератакам и заражению вредоносным программным обеспечением. Поскольку в случае потери или кражи USB-накопителей, ноутбуков или смартфонов компании, сотрудник ставит под угрозу все корпоративные данные. В худшем случае попадания устройства в чужие руки может привести к шантажу злоумышленниками с требованием выкупа. Чтобы избежать подобных ситуаций специалисты ESET рекомендуют:
• всегда выходить из систем и ресурсов, которые содержат конфиденциальные данные.
• зашифровывать все корпоративные данные с помощью решения для шифрования, которое дает возможность управлять ключами шифрования удаленно, а также позволяет устанавливать политику относительно файлов, жестких дисков, портативных дисков, карт памяти и электронных писем. Таким образом в случае потери рабочего устройства злоумышленники не смогут прочитать корпоративные данные.
• осуществлять регулярное резервное копирование файлов. Таким образом вы сможете восстановить данные в любое время.
3. Сегментирование сети и контроль пользователей, которые пытаются войти.
Существует много причин для сегментирования корпоративной сети: снижение нагрузки на систему, контроль доступа и безопасность. В целях информационной безопасности конфиденциальные данные нужно размещать на отдельных серверах, обеспечивая при этом дополнительную защиту с помощью брандмауэров или других служб безопасности. Таким образом вы устанавливаете множество барьеров, которые снижают риск похищения данных. Кроме этого, необходимо осуществлять мониторинг пользователей, которые получают или пытаются получить доступ к сети. Это позволяет администраторам быстро обнаруживать и реагировать на любое подозрительное поведение.
Подтверждением эффективности этого правила является недавняя атака на итальянский сервис электронной почты Email.it. В частности, злоумышленники похитили личные данные более 600 000 пользователей, куда входили текстовые пароли, содержание и вложения электронной почты. Однако финансовые данные не пострадали, поскольку они хранились на других серверах.
4. Сотрудничество с проверенными поставщиками услуг.
Современные технологии значительно упростили систему коммуникации между организациями, что открывает новые возможности для партнеров и облегчает отношения между компаниями. Однако это вызвало другую проблему. Киберпреступники начали осуществлять атаки на небольшие компании, чтобы благодаря этому получать доступ к более ценным данным корпораций.
Поэтому любой договор об обслуживании, поставки или другой вид сотрудничества должен включать детальные требования по безопасности. Многие поставщики облачных услуг регулярно проходят тестирование на проникновение различных угроз, чтобы соответствовать стандартам информационной безопасности в определенной области деятельности.
Самое важное то, что поставщик услуг должен иметь уровень безопасности, соответствующий вашему. В случае отсутствия соответствующей защиты корпоративных систем и партнерских сервисов вы можете выдвинуть необходимые требования.
5. Защита удаленного доступа к сети вашего предприятия.
Высокоскоростная Интернет-связь и современная трудовая этика позволяют многим офисным работникам работать дома. С каждым годом такой режим работы набирает все больше популярности. Особенно сегодня возможность безопасной удаленной работы является большим преимуществом для компаний.
Любое устройство сотрудника или клиента для удаленного доступа к рабочей сети должно соответствовать нормам информационной безопасности, которые требуют следующего:
- подключение через виртуальную частную сеть (VPN).
- использование двухфакторной аутентификации при входе в систему или подключения к VPN.
- получение доступа с помощью виртуальной машины как опции подключения по умолчанию, если это возможно.
- использование комплексного решения по безопасности для защиты от проникновения программ-вымогателей, шпионских программ и других видов угроз, а также предотвращения фишинг-атак.
Любая компания, которая сохраняет и обрабатывает личные данные пользователей, может стать жертвой хакерской атаки. Однако в случае соблюдения всех правил информационной безопасности, компания будет иметь гораздо меньшие убытки и минимальные сбои бизнес-процессов.