Правила інформаційної безпеки для підприємств та організацій України

Listen to online Stop   Олександр Атаманенко. Директор з розвитку SOC «Центр кібермоніторингу» Accord Group Один з компонентів підприємницької діяльності будь-якої компанії полягає в отриманні, накопиченні, збереженні, обробці і використанні різноманітної інформації. Частина цього масиву даних, що є критично важливою для функціонування компанії, має бути надійно захищена від внутрішніх та зовнішніх загроз. Сьогодні інформаційна безпека підприємства залежить не лише від фахівців відповідного департаменту, але, без перебільшення, від кожного співробітника, який користується інформаційними системами компанії (серверами, корпоративною поштою, бухгалтерськими програмами, CRM-системами тощо). Адже яким би захищеним не був кіберпериметр компанії, зловмисники постійно вдосконалюють свої методи, знаходять слабкі ланки в захисті, проникаючи через кінцевих користувачів, співробітників, навіть не дотичних до роботи з інформацією, що становить комерційну таємницю. На жаль, часто проникнення всередину інформаційних систем стає можливим через людський фактор, як це було, наприклад, в хрестоматійному вже кейсі Kyivstar. Отже, виходячи з нашого досвіду, ми сформулювали сім правил інформаційної безпеки для підприємства: 1) Захист облікових записів Якщо зловмисник володіє вашим паролем – він має доступ до ваших даних. Тому паролі мають бути довгими (від 12 символів) та складними, які практично неможливо підібрати. Не повторюйте старі паролі. Для кожного незалежного сервісу чи системи робіть свій унікальний пароль. Це наче ускладнює доступ і самому користувачу, бо памятати треба багато, а записувати паролі на папірцях - погана ідея. Проте якщо ви «подружитеся» зі спеціалізованими програмами-менеджерами паролів (наприклад, 1Password, KeePass та подібні), то робота суттєво полегшиться, оскільки залишиться памятати тільки один пароль до такої програми, а рівень безпеки суттєво підвищиться. Також всюди, де можливо, вмикайте двофакторну автентифікацію (2FA). Навіть якщо пароль від конкретного сервісу все ж буде викрадено, зловмисник не зможе ним скористуватись, бо другий фактор у нього буде відсутній. 2) Базова «технічна гігієна» Крім захисту облікових записів, слід запровадити три речі, що складають основу базової технічної гігієни. Регулярне оновлення операційної системи та встановленого програмного забезпечення. Нові вразливості зявляються чи не кожен тиждень. Своєчасне оновлення робить ваші системи більш безпечними. Використання антивірусів. Звісно, це не стовідсоткова панацея. Але виробники антивірусних систем відслідковують появу нових шкідливих програм та регулярно, іноді кілька разів на день, оновлюють свої бази. Ви можете бути надобережним користувачем, який не відвідує сумнівні веб-ресурси. Але буває, що навіть серйозні веб-сайти зламують і вони перетворюються на точку розповсюдження malware чи вірусів. Антивірусний захист підстраховує вас у повсякденній роботі, особливо з мережею Інтернет. Завантаження та інсталяція програмного забезпечення тільки з офіційних джерел. Так, іноді це вартує грошей, подекуди суттєвих. Але уявіть можливі збитки, якщо, наприклад, данні всіх ваших систем будуть втрачені. Лише через те, що ви хотіли трішки зекономити і з безкоштовною версією програми з незрозумілого джерела інсталювали собі шпигунську програму. 3) Обережно з фішингом Фішинг, попри те, що про нього часто говорять та постійно викривають нові схеми, все ще працює. Наприклад, нормальні сервіси ніколи не розсилають електронних листів з проханнями повідомити свої облікові дані, паролі та інше. Проте користувачі досі потрапляють на ці «гачки». Іноді листи бувають настільки правдоподібними та спонукальними, що навіть досвідчені фахівці помиляються. На що слід звернути увагу, отримавши лист, що вимагає термінових дій? Перед тим, як переходити за посиланнями чи відкривати вкладені файли, зупиніться і перевірте лист на деякі маркери: Знайомий це чи неочікуваний адресат? Наявність заклику, примусу до термінових дій, погроза санкціями у випадку відмови. Чи не скидається адреса на фейкову? Зверніть увагу на адресу, імя відправника. Іноземні та перекручені «україноподібні» імена мають насторожити. Якщо щось зі згаданого присутнє у листі - співробітник має повідомити відповідного фахівця вашої компанії. 4) Політика чистого столу Інформаційна безпека - це не лише цифрові, але й офлайнові правила. Зокрема, це стосується документів, паперів, нотаток, які співробітники створюють при виконанні службових обовязків, та які потенційно можуть включати певні конфіденційні дані. Не залишайте їх на столі, особливо, якщо повз ваше робоче місце проходить багато інших людей і документи можуть бути легко прочитані. Те, що записувати паролі облікових записів на папері не слід, сподіваємось, нікому не треба пояснювати. Записи, які вже не потрібні, слід відповідним чином утилізувати, а флешки, інші носії інформації - зберігати під замком і не залишати їх у вільному доступі на робочому місці.   5) Фізична безпека мобільних пристроїв До мобільних пристроїв ми відносимо не лише мобільні телефони, але й усі гаджети, які можна легко транспортувати (планшети, ноутбуки тощо). Тут рекомендація проста і складна водночас: не залишайте їх без нагляду. Якщо є така можливість, зберігайте їх у замкнених шафах чи кімнатах. Блокуйте екран, якщо відходите від ноутбука чи комп’ютера навіть на кілька хвилин, а також потурбуйтесь про захист інформації на мобільному пристрої засобами шифрування (криптографією). У випадку втрати мобільного гаджета негайно повідомьте відповідного фахівця вашої компанії. 6) Резервування та плани відновлення Вірус-шифрувальник, помилка адміністратора, зловмисник, фізичне знищення інфраструктури, збій – завжди означає відновлення з бекапу. Але, для початку, бекапи треба робити правильно. Є гарне правило 3-2-1-1-0. Тобто необхідно мати: 3 копії даних, 2 копії різних носія, 1 копію офсайд, 1 копію незмінну. 0 помилок при перевірках. Як часто робити та скільки зберігати резервні дані, які системи бекапувати, який допустимий термін простою ваших систем – на ці питання має відповідати план бекапування, який слід підтримувати в актуальному стані. Також треба заздалегідь подумати про плани відновлення - в якому порядку відновлювати при великих збоях, на які ресурси та інші технічні моменти. 7) Навчайте співробітників Сформулюйте політики поводження з чутливою інформацією, з даними,  що являють собою комерційну таємницю, паролями, робочими записами та іншими моментами, важливими для інформаційної та кібербезпеки. До слова, у нас розроблено дванадцять таких документів. Вони регламентують дії співробітників при користуванні антивірусами, застосуванні паролів і алгоритми дій у випадку настання інциденту інформаційної безпеки. У вас їх може бути менше або більше, залежно від масштабу компанії та типів інформації, яка потребує захисту. Доведіть ці правила до кожного співробітника, організовуючи навчання з тестуванням та регулярним повторенням. Дуже допомагає зробити невеличкі інформаційні плакати з правилами та розмістити їх в місцях, де співробітники проводять певний час - біля кулера, кавоварки тощо.  Якщо це все-таки сталось… Якщо відбулась будь-яка з подій, що описана у ваших корпоративних інструкціях, або сталось щось, що викликало ваші підозри стосовно порушення інформаційної безпеки, негайно (!) повідомте фахівців відповідного відділу вашої компанії. За потреби, залучайте зовнішніх фахівців. Інциденти бувають складними. Втрата часу у спробах розібратися самотужки може коштувати вашій компанії значно дорожче. Практики безпечного поводження з інформацією та її захист мають бути обовязкові для кожного співробітника. Як бачимо, базові кроки - це досить прості дії. Але саме виконання таких елементарних дій дає потужний ефект, підвищує захист вашого бізнесу від втрат інформації, а значить, і коштів.