Як малому бізнесу захистити себе від кіберзагроз

Австралійський уряд розробив довідник для малого бізнесу, який допоможе захистити компанію від кіберзагроз. Ці поради актуальні в усьому світі, і для України також.

У 2018 році США втратили через кіберзлочини більше 27 мільйонів доларів, Японія та Німеччина — понад 13 мільйонів доларів кожна. Довідник дає базові знання про те, як захиститися від вірусів, фішингу або інших цифрових загроз.

 

Джерело: https://www.accenture.com

Джерело: https://www.accenture.com

Головні види кіберзагроз

Шкідливе програмне забезпечення

Що це? Програми, розроблені для того щоб завдавати шкоди. Наприклад, віруси, шпигунські програми, трояни.

 

Яка мета? Обдурити користувача, головним чином для того щоб отримати гроші. Зловмисне програмне забезпечення може надати злодіям доступ до важливих даних, наприклад, інформації стосовно кредитних карт, банківських рахунків, паролів.

 

Хто його розповсюджує? Будь хто з будь-якої точки планети. Потрібен лише компьютер, технічні здібності та намір вчинити злочин. 

 

Що робити для того, щоб не стати жертвою? 

  • Налагодити автоматичне оновлення операційної системи на всіх пристроях у компанії.

  • Увімкнути автоматичне оновлення всіх додатків.

  • Регулярно робити копії даних, які є важливими для бізнесу.

Фішинг

Що це? Електронні повідомлення від шахраїв, що намагаються отримати ваші дані або змусити сплатити гроші. Вони можуть виглядати як листи від компаній, органів державної влади або благодійних організацій, але насправді розсилаються злочинцями. Повідомлення можуть містити посилання або файл з вірусами.

 

Яка мета? Отримати інформацію та гроші. Розсилка, зазвичай, йде тисячам людей і навіть декілька "влучних" повідомлень дозволяють шахраям заробити.

 

Хто може стати жертвою? Будь-хто. Чим вищу позицію має людина в компанії чи більшими ресурсами розпоряджається, тим більше витончена фішингова атака може бути на неї спрямована.

 

Способи розповсюдження. Електронна пошта, месенджери, соціальні мережі, СМС.

 

Що робити для того, щоб не стати жертвою? 

  • Звертайте особливу увагу на повідомлення з проханнями про сплату, особливо з позначками "терміново".

  • Перевіряйте інформацію про зміну банківських реквізитів.

  • Не відкривайте без перевірки прикріплені файли.

  • Будьте уважні, коли отримали повідомлення про підтвердження доступу або зміну паролю.

Програми-вимагачі

Що це? Особливий тип шкідливого програмного забезпечення, що блокує доступ до комп’ютера або даних допоки жертва не заплатить гроші зловмисникам. Зазвичай користувач відкриває отриманий через електронну пошту файл, а програма злодіїв шифрує дані. Для того щоб владнати ситуацію, пропонується сплатити певну суму, наприклад, в криптовалюті.

 

Яка мета? Отримати гроші. Програма-вимагач — досить безпечний для злочинців спосіб "заробити", а малий бізнес часто не готовий для протидії такому типу атак.

 

Хто може стати жертвою? Хто завгодно великий, малий бізнес, громадяни, державні установи тощо.

 

Що робити для того, щоб не стати жертвою? 

Аналогічно боротьбі з іншими видами шкідливого програмного забезпечення допоможе своєчасне оновлення програмного забезпечення, регулярне копіювання даних. Ніколи не сплачуйте вимагачам!

Будь-який спосіб кібератаки — це удар по бізнесу: порушуються робочі процеси, зникають дані, псується техніка та, звичайно, втрачається дохід.

 

Джерело: https://www.accenture.com

Джерело: https://www.accenture.com

Ключові принципи роботи з програмним забезпеченням

Якщо правильно організувати роботу з програмами, ваш бізнес буде захищений від більшості видів кібератак.

Автоматичне оновлення

Що це? Компанії-розробники програмного забезпечення слідкують за безпекою та надійністю роботи своїх продуктів і випускають оновлення, коли знаходять проблеми. Автоматичне оновлення ПЗ дозволяє мати найбільш надійну версію програм.

 

Чому робити? ПЗ буде працювати швидше та краще.

 

Коли робити? Сьогодні і кожного дня. 

  • На всіх пристроях у компанії необхідно увімкнути автоматичне оновлення всіх програм, особливо операційної системи.

  • Регулярно перевіряйте наявність і встановлюйте оновлення для програм, для яких автооновлення неможливе.

  • Проводити оновлення слід у той час, коли цей процес не буде заважати роботі компанії.

  • Антивірусні програми також повинні автоматично оновлюватись.

     

Будьте уважні! Якщо програмне забезпечення в компанії дуже застаріле, то доведеться отримати нові версії. Windows 7 і Microsoft Office 10 більше не будуть підтримуватися з 14.01.2020 і 13.10.2020 відповідно.

Автоматичне резервне копіювання

Що це? Створення резервної копії даних, які є важливими для компанії, наприклад інформації про клієнтів, дані бухгалтерії тощо. Копію можна зберегти на окремому пристрої або у хмарному сховищі. Після того як резервне копіювання в черговий раз виконано, носій інформації необхідно відключати від мережі компанії.

 

Чому робити? Для надійності. Це дозволить швидко відновити втрачені дані. Ані кібератака, ані пошкодження комп’ютера більше не будуть лякати ні власника, ні персонал.

 

Коли робити? Сьогодні і кожного дня.

  • Треба обрати систему резервного копіювання, що відповідає вимогам компанії.

  • Проведіть тестове копіювання та відновлення даних з копії.

  • Фізичний носій з копією необхідно зберігати в надійному місці, відключеним від мережі.

Багатофакторна ідентифікація

Що це? Захід безпеки, що вимагає два або більше доказів для отримання доступу. Наприклад, для того щоб увійти в систему, користувачу необхідно надати пароль і відбиток пальця або смарт-карту, тобто комбінацію того, що користувач знає (пароль), і підтвердження права доступу фізично або наявністю відповідного пристрою.

 

Багатофакторна ідентифікація

 

Чому важливо? Це значно підвищує складність атаки на бізнес. Вкрасти паролі можливо, але одночасно з цим отримати доступ до сім-карт або біометричних даних персоналу набагато важче.

 

Де використовувати? Найкраще всюди, критично для доступу до найбільш важливих систем/даних.

Що робити, щоб не підхопити вірус 

У малого бізнесу немає ресурсів для того щоб утримувати IT-відділ, що буде слідкувати за працівниками, виявляти порушення та навчати персонал. Тому власнику доведеться налагодити внутрішні процеси в компанії таким чином, щоб забезпечити максимальний рівень захисту від кіберзагроз.

Контролювати доступ співробітників до програм та комп’ютерів 

Що це? Регулювання доступу до комп’ютерів, пристроїв і даних у компанії. Обмеження доступу до систем дозволяє вирішити, хто з персоналу може працювати з інформацією та коли, що працівник може з нею робити, наприклад, лише переглядати або вносити зміни, відстежувати дії.

 

Для чого? Щоб зменшити ризик доступу з боку сторонніх осіб. 

 

Як розподілити права доступу? Кожен працівник має бути обмеженим у правах працювати з даними та системами настільки, щоб мати змогу виконувати свою роботу і не більше. Обмін паролями між персоналом повинен бути заборонений, а логіни та паролі звільнених робітників скасовані.

Встановити складні паролі 

Що це? Для того щоб пароль був ефективним, він повинен використовуватись разом з іншим ідентифікатором (читайте розділ про багатофакторну ідентифікацію), бути унікальним, довгим та складним. Водночас необхідно, щоб користувач з легкістю міг його запам’ятати.

 

Для чого? Злочинці здатні робити мільйони спроб підбору паролю щосекунди. Складні паролі важко підібрати навіть їм.

 

Де використовувати? На всіх пристроях в компанії. Пароль "password123" легко запам’ятати, але злочинці без проблем підберуть його, пароль-фразу "I don’t like pineapple on my pizza!" так само легко запам’ятати, але хакерам доведеться витратити від 40 днів до року для того щоб його вгадати.

Навчати співробітників 

Кожен співробітник повинен: 

  • Виявляти загрози

  • Уникати їх

  • Надавати інформацію про них 

  • Видаляти їх

  • Відновляти дані 

 

Коли і що робити? Регулярно підвищуйте інформованість персоналу щодо кібербезпеки. Розробіть план дій на випадок атаки, заохочуйте співробітників, що виявили загрози, створіть у компанії культуру кібергігієни.

Завантажуй наше свіже дослідження цифрової трансформації українських компаній з великою кількістю кейсів!

Автор дослідження - контент-маркетингова агенція Top Lead. Генеральний партнер - Metinvest Digital. Партнер - AEQUO Law Firm. Інформаційні партнери - Business Views, Міністерство цифрової трансформації України та American Chamber of Commerce in Ukraine.