Практическая инструкция: с чего начать, чтобы не были украдены данные клиентов 

Самые серьезные последствия связаны с атаками, к которым мы не подготовлены. Если вы не знаете, что может вам угрожать, реализованная гипотетическая угроза приведет к последствиям по худшему сценарию, компания может надолго оказаться недееспособной и получить значительный репутационный ущерб. 

Лаури Тийтус
руководитель сферы ИТ-услуг Telia 

Как подготовиться к кибератакам? Первым делом нужно определить самые слабые места в безопасности вашей компании. В физическом мире это не так уж сложно: если, например, окно офиса открыто настежь, это сразу бросается в глаза. В киберпространстве требуется гораздо больше работы для того, чтобы убедиться, что все «двери» и «окна» заперты, и что снаружи не осталось «ключей». В целом взять ситуацию под контроль можно в три действия.

Определение внешних угроз

Откуда мы вообще знаем, какие опасности нас подстерегают? Компании следует фиксировать уязвимости в своей ИТ-системе. Для этого существуют различные программы, одна из самых популярных – Outpost24. Она позволяет получить цельную картину: как компания выглядит со стороны, какие части системы нуждаются в замене или поддержке. Следует быть готовым к тому, что результат оценки угроз Outpost24 — сложный технический текст, толкование которого может потребовать сторонней помощи. После первичной оценки угроз нужно внедрить систему постоянного мониторинга, которая станет повседневной частью работы компании. 

Сокращение внутренних угроз

Чтобы ИТ-системы работали, их необходимо регулярно обновлять и постоянно поддерживать. Не тогда, когда на это есть время. Не тогда, когда что-то уже происходит. А строго последовательно и в ногу со временем. Довольно часто в компаниях можно встретить устаревшие системы (legacy system) – серверное программное обеспечение, уязвимый сайт, камеры видеонаблюдения, подключенные к интернету, то есть видимые всему миру, или даже не изменяемые пароли – например, имя пользователя «admin» и пароль «12345». 

Данные, в том числе конфиденциальные персональные данные, являются важнейшими активами некоторых компаний. Недавняя утечка медицинских данных, крупнейшая в истории Эстонии, наглядно указывает на необходимость внимательного пересмотра хранения персональных данных. Прежде всего, следует уяснить для себя, какие данные собирает и использует компания, и что из них является наиболее конфиденциальным. Персональные данные обрабатывает, например, интернет-магазин, системы бухучета (и начисления зарплаты), учета персонала (графики работы, учет рабочего времени и отпусков), а также системы для работы с клиентами и даже решения, связанные с рассылками. Конфиденциальные данные следует передавать и хранить в шифрованном виде. 

Не менее важно создавать резервные копии. Включите в план регулярное резервное копирование, чтобы все ваши данные были доступны, даже если преступники захватят их с помощью криптовируса и потребуют выкуп. 

План действий

Основа всего – тщательное планирование. Невыполнение нужных действий из-за отсутствия плана помогает злоумышленникам добиваться поставленных целей. А быстрая реакция, конечно, снижает потери. Если у компании сильная ИТ-команда, ей следует принять меры на случай реализации каждой потенциальной угрозы. Но если компания находится на ранних стадиях развития или относится к малому бизнесу, стоит подумать о том, чтобы обратиться за сторонней помощью SOCaas (Security Operations Center as a Service). 

План нужен не только для того, чтобы отражать атаки, но и для их предотвращения, и самое главное здесь – постоянное обучение сотрудников. Независимо от того, насколько сильную ИТ-систему вы построили, нельзя допустить ошибки сотрудников по незнанию, поэтому обучение и информирование должны быть строго последовательными.  

Понятно, что все знания мира в одну статью не уместить. Как нереально ожидать и того, что руководитель компании справится со всем этим в одиночку. Перечислю здесь десять основных направлений, на которые следует обратить внимание. Просмотрите этот список вместе со своей ИТ-командой пункт за пунктом, чтобы убедиться, что ситуация под контролем или стоит что-нибудь улучшить. 

1. Фиксация массивов данных
   Какие данные, в том числе персональные, вы обрабатываете? Где и как вы их храните? 
2. Планы резервного копирования и восстановления
   Включите в план регулярное резервное копирование, чтобы быстро восстановить данные после любой утечки или атаки. 
3. Аутентификация
   Все ли ИТ-системы и приложения поддерживают достаточно надежную двухфакторную аутентификацию? Просмотрите также сторонние услуги, которыми вы регулярно пользуетесь. Достаточно ли они защищены? 
4. Шифрование данных
   Конфиденциальные персональные данные должны шифроваться при записи, хранении и движении между информационными системами. Нередко утечки происходят в результате кражи или потери устройства (ноутбука, смарт-устройства или USB-устройства). Всегда следует следить за безопасностью данных, отправляемых по электронной или традиционной почте. 
5. Систематическое обучение и оповещение
   Важно, чтобы каждый пользователь умел распознавать угрозы, а поскольку ситуация стремительно меняется, процесс обучения должен быть непрерывным.  
6. Безопасность сторонних услуг
   Мы несем ответственность перед клиентами и сотрудниками, и потому должны быть уверены, что наши партнеры по программному обеспечению тоже применяют лучшие практики передачи и хранения данных. 
7. Мониторинг и противодействие
   Команда должна точно знать, как реагировать в случае атаки, и как минимизировать потери.
8. Обновление ИТ-систем
   Программное обеспечение должно быть свежим, как и система безопасности; следует менять пароли.
9. Мониторинг и ведение логов
   Киберпреступники могут атаковать незаметно. При наличии соответствующего лога удастся хотя бы определить масштаб атаки и нанесенный ущерб.
10.  Безопасность электронной почты
    Аббревиатуры SPF, DKIM и DMARK могут ничего не говорить пользователю, однако очень важно выяснить, предпринял ли ИТ-отдел все необходимые меры в части этих методов аутентификации электронной почты. Они необходимы для предотвращения кражи персональных данных через электронную почту. Их одновременная настройка поможет эффективно защитить ваш бизнес от мошенничества в электронной почте и одновременно обеспечить то, чтобы важные письма не попали в папку со спамом.
    NB! Важно настроить указанные протоколы безопасности для всех доменов, связанных с компанией, в том числе и для тех, с которых письма фактически не отправляются.