Как (НЕ)делается информационная безопасность в небольших компаниях

Писать статьи на Хабре нам пока рановато, но как поётся читается в одной известной в узких кругах песне: «опыт за плечами есть», - поэтому хочется этим опытом поделиться. И поделиться не только с друзьями, которые итак вынуждены нас слушать, но и с теми, до кого эта информация по каким-то причинам еще не донесена.

Итак, пока большие дяди от информационной безопасности (т.н. ИБ) ломают головы над тем, как исполнять требования 187-ФЗ, представители малого бизнеса в большинстве своем продолжают отсиживаться в уголке, притворяясь ветошью и наивно полагая, что проблемы ИБ никогда в жизни их не коснутся. Увы, никогда не говори никогда…

С прискорбием сообщаем Вам, дорогие Друзья, что они Вас обязательно коснутся. И мы сейчас хотим поговорить не о формальном исполнении 152-ФЗ «О персональных данных», а о реальной безопасности Ваших информационных ресурсов.

Когда спрашиваешь у директора или сотрудника внезапно ответственного за ИБ, задумывались ли они о проблемах информационной безопасности, которые могут возникнуть - самый популярный ответ, который мы получаем: «Да кому мы нужны?! Зачем кому-то проводить на нас атаки?!»

Печально, но так отвечает не только малый бизнес, но и порой представители крупных предприятий, где по умолчанию необходимо зорко отслеживать ситуацию.

И действительно, целенаправленную атаку на Вас проводить может и нет смысла, но беда в том, что могут случиться другие «залётные» проблемы. И если Вам до сих пор везло, нет никакой гарантии, что и завтра Вы будете спать спокойно.

Пока тенденция, к сожалению, такова, что к нам за помощью обращаются уже в тот момент, когда:

     WannaCry, Petya, Nepetya и прочие твари зашифровали диск с базой 1С, копия от которой в лучшем случае лежала на этом же диске, а в худшем — вообще никогда не делалась;
     Менеджер ушел к конкурентам с той же самой злосчастной базой 1С, а директор фирмы просит найти следы, с помощью которых можно наказать того самого менеджера;
     В браузере завелся майнер, который ест ресурсы системы;
     Конкуренты давят на системного администратора (или любых других сотрудников) и настоятельно рекомендуют слить им базу данных, при этом директор уже начинает использовать полиграф;
     Роскомнадзор стучится в двери и просит с Вас штраф в размере 300 000,00 руб. и устранение нарушений в течение месяца, потому что сотрудник или клиент написал заявление;
     И пр. подобные ситуации.

ПОЗДНО! Друзья, поздно думать об информационной безопасности, когда инцидент уже случился.

Ни мы, ни отдел «К» Прокуратуры в данных ситуациях Вам уже не поможем. Безусловно за небольшую (читай большую) денюжку мы Вам постараемся помочь, но инцидент уже произошел и с ним Вам жить. И хорошо еще, если после этого жить Ваш бизнес продолжит…

Информации о том, что делать, а что не делать – много, и рассказывать ее можно бесконечно долго. Но давайте для начала ответим на некоторые вопросы.  

Начнем с простого: 

1. Есть ли пароли на рабочих станциях сотрудников?
2. А они сложнее, чем 123, qwerty, март2018, имени питомца и различных других подобных комбинаций?
3. Уверены ли Вы, что Ваши сотрудники не хранят свои пароли под клавиатурой/на мониторе/под стеклом на столе/в накопителе для бумаг/в верхнем ящике стола вместе с ключами от сейфа? На этом моменте можно смеяться сколько угодно, НО каждый раз приходя в очередную организацию для выполнения работ мы сталкиваемся с тем, что пароль пользователя можно найти менее чем за 5 минут, не прилагая особых усилий, ну или его наизусть помнит половина коллег.
4. А знаете ли Вы или Ваши сотрудники о волшебном сочетании клавиш Win+L, чтобы заблокировать рабочую станцию на период своего отсутствия?

Ну что…?! Переходим к вопросам посложнее:

5. Электронная подпись для доступа к банкам, торговым площадкам и государственным системам находится в руках тех людей, на которых она получена?
6. Вы или Ваш системный администратор настроили права доступа Windows и 1С (или любой другой базы данных)?
7. Уверены ли Вы в том, что Ваши сотрудники используют информационные ресурсы компании исключительно в рабочих целях? 
8. А антивирусное средство установлено на рабочих местах?

И еще немного об организационных мерах:

9. Вы рассказали Вашим сотрудникам о том, что у Вас есть конфиденциальная информация?
10. Вы защищаете персональные данные своих сотрудников и клиентов?
11. Исключен доступ к рабочим документам сторонним людям?
12. Знаете ли Вы что на дне океана проживает Спанч Боб квадратные штаны?

Если хотя бы на один вопрос Вы ответите «нет» или замедлите с ответом, потому что не знаете, что у Вас происходит в действительности -тогда пришло время снять пелену неведения с глаз и начать делать реальную информационную безопасность.

А что такое реальная безопасность?
   Реальная безопасность – это когда Вам и Вашим сотрудникам удобно работать в той системе, которую Вы для них создали, при этом у них нет возможности что-то сломать или украсть.
   Реальная безопасность – это когда Вы и Ваши сотрудники знают свою степень ответственности за ИБ в Компании.
   Реальная безопасность – это когда есть понимание, какие письма в почте открывать можно, а какие потенциально опасны.

С чего начинать делать реальную безопасность?

А начинать следует с осознания руководством, что это необходимость современности, а не блажь компьютерных затворников. И это не шутки! Шутки закончились на вопросе про Спанч Боба. Мы часто сталкиваемся с ситуациями, когда ИТ-специалисты просят нас объяснить их руководству, зачем все это делается. Поэтому осознание необходимости защиты – это важный шаг к достижению реальной ИБ.

«Ну хорошо, предположим мы осознали, а дальше то что?!» - скажет, надеемся, хотя бы каждый десятый читатель этой статьи (хоть бы 10 читателей набралось, пожалуйста ).

«А дальше, - ответим мы, - не пороть горячку». И, пожалуй, это самый главный пункт. Поймите, не нужно (точнее даже сказать вредно!) нестись сломя голову и покупать дорогостоящие средства защиты или так сильно любимый некоторыми руководителями софт «чтоб следить за персоналом».

Если возник хоть намек на такую мысль - остановитесь и отдышитесь, ибо бежать куда-то рано. Наоборот, в этот самый момент нужно присесть и подумать (хорошо так подумать) - а что собственно защищать будем и от кого?

Если говорить нашим языком, то необходимо выделить информационные ресурсы Компании и распределить их по степени важности. Соответственно, от самых важных, от которых зависит функционирование организации «в случае чего» - до самых неважных, от которых вообще ничего не зависит, и даже 50 рублей Вы не заплатите, если их потеряете или их получат конкуренты. Предвосхищая предположение про 1С и подобные базы о том, что ничего страшного не случится, если Вы ее потеряете, предлагаем поставить мысленный эксперимент:

Итак, усядемся поудобнее (ну хотя мы итак сидим и выделяем информационные ресурсы) и представим, что на компьютере завелся злой вирус, который зашифровал эту самую базу данных, а копии у Вас нет. Ну что? Сердечко не прокралось случайно в пяточки? Если нет, то плохо представили :) Таким образом делаем вывод, что 1С и другие подобные базы, это важный ресурс. Ставя подобные мысленные эксперименты можно проранжировать все остальные информационные ресурсы. Да и не забываем про персональные данные сотрудников, документы в бумажном виде, различные сводные таблицы в exсel, а также черновики документов.

Если бы нам давали хоть рублик за каждый черновик с чем-то «интересненьким», который случайно к нам попал, то миллионерами мы бы не стали, но на капучино с пончиком (и не одним) нам бы хватало.

Ну и исходя из типов информационных ресурсов будем выбирать стратегию по их защите, а об этом мы будем рассказывать наверно уже в следующей статье, а то итак уже «многабукоф».

P.S.

— Даже если в Вашей небольшой (большой и серьезной для клиентов) Компании работает лишь один человек (и это Вы) или еще один-два родственника/добрых друга;

— Даже если все дела находятся под Вашим чутким руководством;

— Даже если Вы готовы отдать почку Вашему однокласснику, который работает с Вами миллион лет;

— Даже если Вы готовы отдать руку на отсечение и зуб в придачу, потому что у Вас все хорошо,

МЫ, представители мира информационной безопасности (как пафосно ), очень просим Вас, дорогие наши Друзья, мониторить ситуацию в Вашей компании и заниматься реальной информационной безопасностью.

Помните: реальная информационная безопасность сама себя не сделает!
Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.
Вернуться к списку