Кибератаки — реальная угроза не только для крупных компаний. Небольшие предприятия рискуют ничуть не меньше — в первую очередь потому, что гораздо реже задумываются о соблюдении правил кибербезопасности. Вместе с компанией А1 мы разбираемся, о чем нужно помнить белорусским компаниям, чтобы не стать жертвами преступников.
Судя по востребованности соответствующих специалистов на рынке труда и готовности предприятий выделять больше сил и средств на защиту корпоративной информации, подход к вопросам кибербезопасности на белорусском рынке становится все более осознанным. Но от уровня мировых лидеров Беларусь все еще отстает.
Нет системности — будут проблемы
Главной проблемой остается отсутствие системного анализа потребностей бизнеса, из-за чего не все «слабые места» в обеспечении информационной безопасности оказываются закрытыми на должном уровне. Решения внедряются «на лету», без детальной настройки системы и ее последующего сопровождения, не все риски и способы утечки корпоративной информации удается обнаружить и обработать.
А если еще и сами сотрудники не знают и не понимают, каким угрозам подвергают компанию их, казалось бы, безобидные ежедневные действия, ситуация может выйти из-под контроля в любой момент.
Достаточно одного письма с конфиденциальной информацией, которое коллега из самых лучших побуждений (например, чтобы закончить работу из дома) перешлет самому себе на личный адрес электронной почты, чтобы компания этой информации лишилась. Нередки и менее невинные ситуации — например, когда сотрудник, увольняясь или переходя на работу в конкурирующую организацию, уносит с собой клиентскую базу или другую ценную информацию.
Тенденции последнего времени, когда многие компании перевели своих сотрудников на удаленный и дистанционный режим работы, тоже играют на руку киберпреступникам.
Работать на своем ноутбуке на любимом диване или на скамейке в парке, конечно, приятно, но вот безопасно ли?.. Об этом тоже приходится задумываться.
Наименьшему риску в этой ситуации подвержены компании, в которых принята концепция «нулевого доверия» — Zero Trust. Она подразумевает, что доступ к любому внутреннему ресурсу возможен только после подтверждения данных того, кто этот доступ запрашивает. Достаточно надежны и различные облачные сервисы — в силу того, что компании, которые предоставляют такого рода услуги, обязаны соблюдать высокие стандарты в том числе и в области защиты информации. Однако одними техническими решениями, без внедрения и соблюдения внутрикорпоративных правил в области информационной безопасности, выстроить полноценную защиту будет сложно.
- потребительские кредиты
- кредиты на авто
- бизнес-кредиты
- кредиты на жилье
- вклады
- займы
- продукты РКО
- кредитные карты
- расчетные карты
- услуги лизинга новых авто
- услуги лизинга авто с пробегом
- услуги лизинга авто для бизнеса
Защита данных — с чего начинать?
Защитить корпоративную информацию можно, только систематизировав ее. Поэтому любая работа в этом направлении начинается с систематизации знаний обо всем, что может представлять собой ценность для бизнеса компании. К такого рода активам относятся:
- информационные системы, базы данных, коммерческая информация, сведения об услугах, продуктах, персональные данные, контракты и соглашения, документация, планы обеспечения непрерывности бизнеса, данные аутентификации, журналы аудита и т. д.;
- физические ценности (промышленное и компьютерное оборудование, средства коммуникации, обработки и защиты информации, программное обеспечение и т. п.);
- персонал.
Эти активы необходимо взвесить и оценить с точки зрения возможного ущерба, который нанесет бизнесу их раскрытие, искажение, утеря или недоступность в нужный момент, и вероятности такого ущерба. Также необходимо понять, какая именно защита необходима каждому из них: защита конфиденциальности или защита от подмены и искажения информации, обеспечение доступности и т. д. Только после подобной оценки можно создать комплексную и управляемую систему защиты информации.
Что доверить специалистам — и каким?
Компаний, которые занимаются консалтингом и аудитом в области информационной безопасности, в Беларуси достаточно много. Но организаций, которые могут взять на себя весь комплекс работ по модели SECaaS («безопасность как сервис»), гораздо меньше: для этого нужно обладать не только знаниями и квалифицированным персоналом, но и иметь в своем распоряжении соответствующее технологическое оснащение. Компания А1 владеет собственным дата-центром, получила необходимые лицензии — а значит, готова предложить комплексный подход в решении вопросов информационной безопасности. Причем это касается как проектирования, создания и аттестации систем защиты информации, не отнесенной государственным секретам, так и критически важных объектов информатизации (КВОИ). А1 первой из белорусских компаний получила лицензионное право на оказание таких услуг.
Что касается SECaaS, то А1 постоянно расширяет линейку сервисов.
Сегодня она включает продуктивизированные услуги управления уязвимостей как сервис (VMaaS), услуги управления инцидентами кибербезопасности как сервис (SIEMaaS), услуги по защите веб-приложений (WAFaaS), вспомогательные сервисы (такие как Kaspersky Private Security Network, BelVPN as a service и иные).
В перспективе к ним прибавится услуга защиты от DDoS-атак как сервис.
Для оказания этих услуг используются ресурсы дата-центра А1. Благодаря этому клиенты компании имеют возможность отказаться от создания физической инфраструктуры и найма персонала для обслуживания созданных систем, а внедрение облачных услуг происходит в разы быстрее, чем развертывание и настройка собственного решения. После приобретения услуги подразделение кибербезопасности практически сразу получает доступ к рабочему инструменту с порталом самообслуживания.
Приобретение услуги SECaaS от А1 обеспечивает компаниям все преимущества облачного сервиса с использованием продуктов от мировых лидеров рынка и в то же время позволяет соблюдать требования белорусского законодательства, поскольку облачные сервисы безопасности размещены на территории Республики Беларусь.
Как защититься от киберугроз — краткие советы
Не думайте, что ваша информация представляет ценность только для вас. Очень часто компании, которые не выстроили адекватную систему защиты информации и думают, что у них все в порядке, даже не подозревают, что просто не заметили кибератаки.
Расставляйте приоритеты и не пытайтесь решить все задачи разом. Если те или иные «болевые точки» с точки зрения киберугроз очевидны, работайте над их устранением. Но параллельно систематизируйте все угрозы и уязвимости, регулярно опрашивайте руководителей подразделений по поводу ценности информационных активов — это поможет увидеть объективную картину, соответствующую нуждам бизнеса.
Оценивайте риски и предпринимайте меры для их снижения. При этом важно оценивать эффективность внедренных мер. Обеспечение кибербезопасности — процесс непрерывный и циклический. Меняются и совершенствуются технологии — а значит, следом за ними должны совершенствоваться и подходы к защите информации.
*Партнерский материал. Унитарное предприятие по оказанию услуг "А1", УНП 101528843