• +7 (495) 741-39-49
  • sales@sistyle.ru
14 Июль 2016
Статьи

8 мифов об ИТ-безопасности малого и среднего бизнеса

Существует мнение, что проблемы безопасности информационной инфраструктуры — забота корпораций и больших организаций. ИТ-безопасность малого и среднего бизнеса обеспечивается по остаточному принципу и обычно ограничивается лишь использованием антивируса.

Действительно, о хакерских атаках мы узнаем лишь на примере больших компаний — банков, популярных почтовых сервисах, телекоммуникационных компаний. Но статистика показывает, что больше 90% угроз нацелено как раз на небольшие фирмы — просто о взломе какого-нибудь регионального интернет-магазина, частной клиники или охранного предприятия мы можем никогда не узнать из СМИ.

Получается, что жертвы киберпреступников пребывают в счастливом неведении, а злоумышленникам это на пользу. Проще всего ограбить дом, хозяин которого уверен, что ворам просто незачем в него проникать. Исследования «Лаборатории Касперского» показывают, что, как правило, малый и средний бизнес начинает заниматься безопасностью данных и серверов только после инцидента — когда хакерская атака привела к потере средств, ресурсов и времени.

Миф № 1: Если у меня нет паранойи, значит, за мной не наблюдают

Основатель Facebook Марк Цукерберг недавно выложил свою фотографию с ноутбуком, и пользователи соцсети сразу заметили, что веб-камера и микрофон заклеены изолентой. Раньше считалось, что камеры на ноутбуке заклеивают только параноики, однако Цукерберга сложно заподозрить в отсутствии технической грамотности. Месяц назад один из хакеров устроил настоящее реалити-шоу на форуме в рунете — он транслировал всем желающим видео с веб-камер случайных пользователей. Этот случай еще раз доказывает, что даже если вам кажется, что ваши данные не представляют никакого интереса, это не значит, что вы не станете жертвой хакеров.

Миф № 2: ИТ-безопасность — это хороший антивирус

Это одно из самых больших заблуждений. Антивирус — не панацея для защиты ваших данных и оборудования. Какой бы хороший антивирус у вас ни был, он не защитит, если у вас стоит устаревшее программное обеспечение, а ваши ресурсы не защищены надежным паролем.

Миф № 3: В пароле достаточно указать буквы и цифры, чтобы его было невозможно взломать

Это одно из самых стойких заблуждений. Большой ошибкой будет назначать пароли, содержащие слова — такие пароли взламываются простым перебором. И даже самый сложный пароль не спасет вас от взлома, если он используется в каких-то других сервисах. Например, если пароли от сервера с бухгалтерией и базой данных клиентов совпадают. Очень часто малый бизнес страдает оттого, что разрешает своим сотрудникам самим назначать пароли — в большинстве случаев люди ставят пароли, которые совпадают с их соцсетями или почтовыми клиентами. Такие пароли легко воруют с помощью фишинговых сайтов. Злоумышленники делают копии страниц соцсетей или почтовых клиентов, пользователи считают, что просто проходят авторизацию на знакомом ресурсе, и сами отдают свои пароли.

Миф № 4: Малый бизнес может пользоваться пиратским ПО, вреда не будет, а правоохранительные органы просто не заметят

Российский бизнес наступает на эти грабли постоянно. Скачивая пиратское ПО, вы ставите под удар всю сеть вашего предприятия. Если вы не специалист высокого класса, вы просто не заметите вредоносный код в скачанном дистрибутиве. А зараза, гуляющая по раздачам на торрентах, бывает всякой — от шпионов, записывающих и передающих каждое нажатие клавиатуры, до вирусов, которые зашифруют или уничтожат данные на жестком диске.

Вторая опасность — юридические риски. Ошибочно думать, что полиция не заинтересована заводить дела в отношении мелких компаний. Это заблуждение может привести не только к огромным штрафам, но и к уголовной ответственности генерального директора или индивидуального предпринимателя.

Миф № 5: Малому бизнесу незачем шифровать свои данные

О шифровании данных на локальных хранилищах представители малого бизнеса если и слышали, то точно считают такую меру излишней. Это притом что даже у небольшого предприятия могут быть данные, которые заинтересуют злоумышленников. Известны случаи, когда с серверов частных клиник похищали истории болезней пациентов, а персональные данные клиентов небольшого интернет-магазина бытовой техники всплывали на черном рынке баз данных.

Миф № 6: ИТ-инфраструктура может подвергнуться нападению только профессиональных хакеров

Как ни странно, но чаще всего данные, составляющие коммерческую тайну, например, база клиентов и договоров, воруют не какие-то продвинутые хакеры, а сами сотрудники. Может показаться, что это не вопрос ИТ-безопасности — просто нужно подбирать честных сотрудников и прописывать сохранение коммерческой тайны в договоре найма. Это тоже заблуждение. Чтобы менеджер по продажам перед увольнением не выкачал весь архив договоров и контакты клиентов, нужно правильно настроить права доступа и исключить саму возможность такого воровства.

Настройка прав доступа для различных групп сотрудников защищает не только от утечек, но и от необдуманных действий некомпетентных сотрудников. Новый сотрудник не удалит важную информацию — если у него не будет таких прав. Это очевидное правило нарушается повсеместно, особенно там, где количество сотрудников не превышает 10 человек. Штат компании увеличивается, а безалаберность остается, поэтому важно еще на этапе активного роста бизнеса прописать четкие правила работы с ИТ-ресурсами компании.

Миф № 7: ИТ-безопасность — это забота системного администратора

Когда в компании появляется сисадмин, на него сваливается все задачи, связанные с обслуживанием компьютерной сети. Предполагается, что и безопасностью заведует только сисадмин. Это неправильно, все сотрудники должны владеть основами информационной безопасности. Особенно это важно, когда сотрудники работают не только в офисе, но и из дома. Большую опасность также представляет использование мобильных телефонов в рабочей сети. В первом квартале 2016 года «Лабораторией Касперского» было обнаружено 2 045 323 атак на мобильные устройства — это в 11 раз больше, чем в предыдущем квартале.

Миф № 8: Личный сервер намного надежнее, чем виртуальный

Бизнесмены старой закалки с недоверием относятся к облачным технологиям. Сервер в офисе — осязаем, его можно потрогать и убедиться в его сохранности, виртуальный же сервер в облаке такой уверенности не дает. Однако физический сервер не застрахован от форс-мажоров: кражи, пожара, изъятия правоохранительными органами. Здесь в полной мере работает принцип «не хранить яйца в одной корзине». Грамотный ИТ-специалист подскажет, в каких случаях нужно иметь свой физический сервер, а когда лучше перейти в облака.

Что делать?

Если вы разделяете хотя бы одно из этих распространенных заблуждений, значит, ваш бизнес находится под угрозой. Список мифов, который мы привели, — не исчерпывающий, даже в небольшом офисе на 5-10 компьютеров брешей в безопасности могут быть сотни. Выявить такие угрозы помогает внешний ИТ-аудит. Специалисты исследуют всю инфраструктуру, выявляют уязвимости, составляют рекомендации по их устранению и обучают персонал.

Как подсчитали эксперты, хакеры нанесли экономике России ущерб в 203 млрд рублей по итогам 2015 года. За одну кибератаку российские компании среднего и малого бизнеса теряют в среднем 780 тыс. рублей. ИТ-аудит повысит шансы вашей компании не войти в эту неприятную статистику.

Перейти к следующей статье

Поиск в статьях