Блог

Как защитить деньги, не вникая в код. Готовая инструкция владельцу малого или среднего бизнеса

Представьте: ваш цех встал на сутки, потому что инженер перешел по ссылке. Менеджер слил базу клиентов в телеграм-чат. Вирус зашифровал медицинские карты — и клиника не работает. Или хакеры взломали сервер автопарка и грузы стоят. Это не сценарий фильма ужасов. Это новая реальность: мошенники всё чаще переключаются с физических лиц на бизнес. Для предпринимателя это – потеря репутации, клиентов, а самое неприятное – денег, которые могли пойти на развитие.

Содержание

  1. Базовый чек-лист. 5 шагов для любого бизнеса
  2. Три способа не потерять деньги на информационной безопасности (ИБ) и сэкономить главное – время.
  3. Как собственнику проконтролировать специалиста, не вникая в дебри кода?

Базовый чек-лист. 5 шагов для любого бизнеса

Шаг 1. Люди: наведите порядок в доступах

Проверьте, кто и к чему имеет доступ. Это бесплатно, но закрывает большую часть проблем.
Что нужно сделать сейчас:
  • Удалите доступы уволенных сотрудников. «Мертвые души» в системе – открытые ворота для атак.
  • Включите двухфакторную аутентификацию (2FA), везде, где возможно. Особенно важно активировать её в онлайн — сервисах, например в почте или VPN. Даже в случае кражи пароля сотрудника, злоумышленник не сможет просто так попасть внутрь ваших систем. 2FA предполагает, что помимо пароля для входа требуется подтвердить личность дополнительным способом, т.е. когда приходит код в СМС или в виде пуш-уведомления.

Шаг 2. Поставьте защиту на устройства

Все телефоны, ноутбуки, станки, терминалы и служебные машины должны быть под контролем.
Нужно проверить:
  • Антивирус включен и обновляется;
  • Операционные системы и программ автоматически обновляются;
  • Диски зашифрованы (особенно, если ноутбуки выносятся за пределы офиса организации).
Устройства должны быть под контролем специалистов по информационной безопасности (ИБ). Мы часто сталкиваемся в работе с клиентами, что в штате роль ИТ-специалиста и ИБ-специалиста совмещает один и тот же человек. Это отчасти норма, но таит риск.
Представьте, что сантехник сам проектирует сигнализацию. Он может сэкономить на датчиках, чтобы те не мешали ему чинить трубы. Так и ИТ - специалист может отключить антивирус, потому что он тормозит компьютер бухгалтера. Поэтому, если у вас один специалист, важно, чтобы его контролировали хотя бы на уровне регулярных внешних аудитов.

Шаг 3. Делайте копии. Правило «3-2-1»

«3-2-1» — лучшее правило, придуманное человечеством. Оно гласит: у любых данных должно быть три копии на двух разных носителях и одна из копий должна храниться отдельно. Вы задаетесь вопросом, как часто нужно копировать и что?
Ежедневно: критические данные: базы клиентов/CRM/1C, медицинские карты, бухгалтерия.
Еженедельно: остальное.
Копии рекомендуется проверять раз в месяц, а в идеале при каждом создании.
Представьте: у вас сломался сервер или украли данные 25-го числа, восстановить можно только то, что было 1-го числа. Три недели работы — потеряны.
Лайфхак для бизнеса: Настройте автоматическое резервное копирование раз в день в облако или на внешний диск. Процесс займёт 15 минут. Если вы никогда не выполняли эту настройку обратитесь к своему ИТ - специалисту или за инструкциями в интернете.

Шаг 4. Научите сотрудников звать на помощь.

В 2023 году вирус остановил завод в РФ на неделю. Причина — один инженер перешёл по ссылке в письме «Сверка по зарплате», отправленного не с корпоративного ящика компании. Итог: убытки в миллионах.
Сотрудники один из главных каналов угроз, но они же и защита. Они должны знать кого нужно оповестить о произошедшем инциденте и как самостоятельно изолировать проблему.
Алгоритм при подозрительном письме или звонке:
  1. Остановись. Не кликай на письмо отправленного не с корпоративного ящика или с незнакомой почты.
  2. Проверь. Пришло сообщение от «директора» в Telegram, в котором он просил отправить фото чека для предоставления контролирующим органам, позвони ему по номеру, который знаешь, а не отвечай в сообщении.
  3. Сообщи. Если были отправлены любые, особенно конфиденциальные, данные (логин, пароль, документы) — оповести уполномоченного сотрудника, вышестоящее руководство и коллег.

Шаг 5. Внедрите полезные привычки

За основу для проверки себя и своих сотрудников можно взять вопросы от CIS Controls — международной некоммерческой организации, составляющей рекомендации по информационной безопасности.
  • Проводится ли регулярное информирование сотрудников об актуальных угрозах хотя бы раз в квартал?
  • Существуют ли простые инструкции для сотрудников на случаи сомнений о подозрительном письме или странном звонке?
  • Знают ли сотрудники правила обработки конфиденциальной информации?
  • Внедрена ли и соблюдается ли политика работы с паролями?
Политика «Пяти НЕ»/Простые правила для всех (памятка)
  • Не используйте один пароль для разных сервисов. Меняйте пароли каждые 180 дней.
  • Не записывайте пароли на стикерах.
  • Не пересылайте паспорта и данные клиентов в чаты мессенджеров.
  • Не загружайте коммерческие документ в нейросети или онлайн—PDF- редакторы.
  • Не используйте личные флешки для рабочих документов.

Три способа не потерять деньги на ИБ и сэкономить главное – время.

Способ 1. Назначьте ответственного внутри компании (обязательно)

Это не вопрос выбора, это необходимость. Даже если у вас 30 человек и 5 компьютеров.
Главное, чтобы выбранный сотрудник раз в месяц проверял три пункта:
  • кто в системе
  • есть ли копии
  • работает ли антивирус
Используйте бесплатные решения там, где это уместно! Например «Защитник Windows» уже встроен в систему и отлично справляется с базовыми угрозами, бесплатные версии популярных антивирусов, таких как Kaspersky или Avast.
Если вы представляете малый бизнес, подумайте о покупке корпоративного решения: оно поможет снизить риски из—за случайных ошибок сотрудников и при этом не потребует огромных вложений. И не забывайте проверять, что бесплатная защита включена — её отключение может привести к серьезным проблемам.

Способ 2. Поймите, когда внутреннего ресурса мало.

Ваш ответственный – молодец, но он не хакер и не эксперт по безопасности. Его задача следить за базой, которую мы описали выше. А глубокая экспертиза нужна, когда:
  • Приходят требования от регуляторов (Роскомнадзор, ФСТЭК, ЦБ);
  • Нужно настроить сложное оборудование или разграничить сети (производство отдельно, офис отдельно);
  • Вы хотите проверить, нет ли «дыр», которых ваш специалист не видит. (не потому, что плохой, а потому что «глаз замылился»).

Способ 3. Привлекайте внешнего эксперта (Аутсорсинг ИБ)

Покупайте услугу, а не «железо». Для МСБ выгоднее не купить дорогой сервер и лицензии на годы вперед, а взять защиту как услугу, которую выполнят и верно встроят в бизнес-процесс. Это позволяет платить только за то, чем реально пользуешься.
Эксперты автоматизируют рутину: обновление операционной системы и ПО и резервное копирование в облако, тренинги по фишингу для сотрудников, увидят, где «висят бреши» в защите.
Как собственнику проконтролировать специалиста, не вникая в дебри кода?
Вы не обязаны уметь настраивать межсетевые экраны. Но вы обязаны задавать правильные вопросы. Вот шпаргалка для разговора с вашим ИТ- или ИБ-специалистом раз в квартал:
  1. Покажи мне список всех, у кого есть доступ к системам: бухгалтерия, финансовое планирование, корпоративные почты. В нем не должно быть уволенных сотрудников.
  2. Когда мы в последний раз проверяли работу бэкапов? Попросите показать отчет о восстановлении из копии.
  3. Есть ли у нас компьютеры, которые не обновлялись больше месяца?
  4. Если завтра всё выключится, сколько времени нам понадобится, чтобы встать? Ответ должен быть конкретный, в часах.
  5. Кто из сотрудников чаще всех кликает по фишинговым письмам? Если такой мониторинг не ведется, на это стоит обратить внимание.

Главный итог

Информационная безопасность для малого и среднего бизнеса это про порядок, дисциплину и людей. Как часто её проверять? Наш принцип — разумная достаточность.
Базовый чек-лист (для ответственного) — ежемесячно.
Критическое (доступы и резервные копии) — ежедневно.
Внепланово – при любых изменениях: новый сотрудник, смена ПО, открытие филиала, покупка новых станков или машин.
Внешний аудит (привлечение эксперта) — раз в год. Особенно если у вас, медицина, транспорт, производство или есть требования регуляторов. Это дешевле, чем разбирать последствия инцидента.
Мы разобрали базовые шаги, которые защитят ваш бизнес. Теперь вы понимаете, что должен делать ИБ- специалист и какие вопросы задавать. Ваше время как собственника – самый ценный ресурс. И если вы осознали, что разбираться в настройках межсетевых экранов, контролировать каждого сотрудника и следить за обновлениями – это не ваше, пришло время для правильного решения.