10 правил кібербезпеки під час дистанційної роботи офісу

Карантин закінчився не у всіх, і шанси повернутися до нього поки не падають. Восени ж дистанційна робота знову може стати основною формою діяльності. Переведення бізнес-процесів і співробітників в онлайн поставило нові загрози перед компаніями. Ми зібрали правила IT-безпеки бізнесу від експертів конференції CYBERSAFE PANDEMIC, яку відвідали, зрозуміло, онлайн.

1. Створіть політику безпеки

Правильно налаштувати Firewall, регулярно оновлювати ПО модему, запросити фахівців для налаштування ПК - з цього починається безпека. Але навіть маючи дорогі рішення з безпеки корпоративних мереж, компанія не захищена від загроз. За статистикою Ponemon Institute, в 54% випадків причиною кібератаки стає недбалість працівника або підрядника компанії. Тому важливіше забезпечити організаційні основи:

• прописати політики і процедури безпеки;

• контролювати кадри і підрядників;

• навчати співробітників кібербезпеки.

2. Зберігайте цифрові активи

«Навіщо ламати замок, коли можна вкрасти ключ?» - так фахівці описують необхідність управління ідентифікацією для захисту цифрових активів. Якщо злочинець отримує облікові дані, то зможе робити те, що й легітимний користувач. Цифрові активи - сукупність IT-ресурсів компанії: застосунки, сервіси, веб-ресурси, CRM, рекламні кабінети, акаунти. Всі активи об'єднує обліковий запис: пошта, логін, паролі для авторизації користувача. Вкрасти чужий пароль, логін нескладно: часто співробітники ліплять стікери з паролями на монітор або клавіатуру. Доступи і паролі також часто лежать в загальних папках у хмарі, куди має доступ вся організація.

3. Розмежуйте права доступу

Під час переходу в онлайн-режим системи контролю доступу співробітників помінялися, у багатьох компаніях відбувається хаос. Все це треба впорядкувати адміністративними методами.

Онбордінг - процес прийому на роботу і видача всіх облікових записів новому співробітнику. Аутбордінг - процес зворотний. Поширена проблема - залишити доступ до ресурсів компанії співробітникам, що звільнилися. Переведення між відділами теж може означати інші права доступу і вимагати зміни прав.

Якщо доменні імена, рекламні кабінети або акаунти реєструє підрядник, він зобов'язаний передати права замовнику. Рядові співробітники не можуть мати привілейованих облікових записів і прав адмінів. Адміністратори баз даних, CRM-систем мають доступ до всієї інфо і можуть змінювати, видаляти інфо так, що ніхто не помітить. Рядовий працівник не повинен мати можливості встановити на робочий комп'ютер нічого! Поширені проблеми в безпеці бізнесу, пов'язані з правами доступу:

• крадіжка атрибутів облікових записів;

• надлишкові права облікових записів співробітників;

• зловмисні дії співробітників, що володіють привілейованим доступом.

Візьміть за правило видаляти облікові записи і забирати права доступу після того, як співробітник звільниться, бажано навіть превентивно. Забороніть використання технологічних облікових записів, коли для технічних функцій створюється один запис, яким користуються кілька адмінів. Також необхідно передбачити інструменти відновлення облікового запису: пошти, телефони для того, щоб відновити цифрові активи. Є актуальні технічні підходи - управління правами доступу, паролями за допомогою спеціального програмного забезпечення. Зазвичай робиться заборона анонімних користувачів, заборона доступу за замовчуванням, заборона зміни пароля.

4. Контролюйте персонал

Спеціальні програми роблять моніторинг і звіти про роботу співробітника в різних додатках, сайтах. За даними системи контролю співробітників Mirobase PRO, спробу зливу даних здійснюють 54% співробітників. Пошуком нової роботи займаються 21%, а обговорюють керівництво близько 15%

5. Впровадити mobile device менеджмент

Співробітники частіше входять в корпоративну мережу через домашні комп'ютери, ноутбуки, смартфони, де може бути вже величезна кількість вірусів. Оптимально - зобов'язати їх користуватися тільки робочими ноутбуками, які варто видати додому. Домашні роутери - ще одна слабка ланка. Девайси, які будуть експлуатуватися персоналом, потрібно заздалегідь виявити і захистити. Уточніть у своїх постачальників, чи не додають вони для своїх клієнтів захист мобільних без додаткової плати (наприклад, як Cisco AnyConnect Secure Mobility Client).

6. Робіть бекапи

Важливо також перевіряти, чи розгортається ваша резервна копія, і шифрувати їх, особливо якщо копії зберігаються на території України, а дані конфіденційні.

7. Захищайте персональні дані клієнтів

Близько 70% клієнтів, за опитуваннями, припинять співпрацю з компанією, яка допустила витік їх персональних даних. Останніми роками це правило перевірили на собі Adobe, Canva, eBay. Серйозний підхід до забезпечення клієнтських даних - новий тип соціальної відповідальності бізнесу.

8. Забезпечте безпеку переговорів

Не варто проводити важливі переговори через Zoom, оскільки там відсутнє наскрізне шифрування. Також записи відеозустрічей на Zoom можуть бути доступні третім особам. Новий винахід шахраїв - розсилка запрошень на Google-зустрічі з фальшивим Zoom.

9. Звертайте увагу на посилання

Під прикриттям паніки через COVID-19 багато фішингу та соціальної інженерії, яка підштовхує користувача самостійно видати всі його дані, зокрема логін і пароль. Зараз основний напрямок фішингу - підробка реквізитів інвойсів. Багато перенесли спілкування в Telegram, який вважається захищеним, але вже були судові рішення на підставі інформації з чатів про виїмку документів і серверів.

10. Проведіть хоча б безкоштовний аудит кібербезпеки

У HackControl створили безкоштовний гід Configuration guide form. Це інструменти, які допоможуть вам самостійно налаштувати персональні пристрої, застосунки, соціальні мережі, месенджери для швидкого переходу до безпечної віддаленої роботи. Кожен може використовувати форму, щоб перевірити свої особисті пристрої та облікові записи на предмет налаштувань безпеки. В результаті на виході ви зможете оцінити рівень безпеки в компанії. Рекомендується також дати форму співробітникам для самоперевірки.