Личные данные клиентов компаний периодически попадают в открытый доступ. Максим Солнцев, председатель правления СДМ-Банка, рассказывает о том минимуме, который должен знать любой предприниматель, чтобы обезопасить свой бизнес
Проблема утечки данных актуальна для компаний любых размеров. И, как мы видим, проблемы только усугубляются. Но если в крупных корпорациях о безопасности заботятся целые подразделения, то у малого и среднего бизнеса ресурсы на это куда меньше.
Неприятности может принести не только утечка персональных данных клиентов. Проблемы могут быть из-за того, что в чужие руки попадет финансовая информация, условия коммерческих договоров, клиентская база в конце концов. Обладать информацией о ком-то в наше время – это нередко серьезное конкурентное преимущество. И, к сожалению, некоторые не гнушаются получать эту информацию преступным путем.
Поэтому любому предпринимателю стоит начать с того, чтобы самому быть в курсе всего, что происходит в этой области: какие есть угрозы и методы защиты от них. А также интересоваться опытом разных компаний, удачным и не очень.
При скромных ресурсах у малого и среднего бизнеса в вопросах безопасности есть два преимущества:
- выше управляемость
- интерес теневых структур ниже.
Поэтому для МСБ вполне подойдут простые правила безопасности. Соблюдая их постоянно, предприниматель может обеспечить должный уровень безопасности и собственных данных, и данных своих клиентов.
Важно понимать, что одного конкретного рецепта защиты нет. Это всегда комплекс мер. Приведу восемь основных.
1. Не экономьте на антивирусе
Интернет – самый очевидный и самый крупный канал утечки данных малого и среднего бизнеса. Затевать целую «операцию по внедрению» ради кражи данных у малого предприятия вряд ли кто-то будет. А вот взломать компьютер или запустить стандартный вирус злоумышленники могут запросто. Особенно, если техника плохо защищена.
Поэтому стоит тренировать полезную привычку: регулярно обновлять антивирус для всех компьютеров в организации. Программы для этого лучше выбирать лицензионные, которые разработчики постоянно обновляют. Стоят они недорого, в пределах 1-2 тыс. рублей в год на одно рабочее место. Но это лучшая из возможных защит от наиболее распространенных вредоносных программ.
2. Не держите данные на сервере с выходом в интернет
Не следует держать чувствительные данные на сервере, который имеет выход в интернет. Перенесите их в защищенную внутреннюю сеть компании.
3. Помните про человеческий фактор
Человеческий фактор – составляющая, которую надо учитывать, несмотря на повсеместную цифровизацию и роботизацию.
Поэтому необходимо создать ограничения, которые будут препятствовать выводу информации за пределы офиса. Контролируйте возможные каналы утечки: интернет, электронную почту, флэш-накопители. Например, любой большой файл, отправленный по почте, должен вызывать подозрение. Ограничьте объем вложений, либо по возможности вообще запретите их, если это не ежедневная необходимость. USB-разъемы на компьютерах тоже лучше отключить, если для работы они не нужны.
4. Обучайте сотрудников
Обучать сотрудников – ваша прямая обязанность. По статистике, более половины утечек происходят из-за беспечности.
Простой пример: менеджер искренне болеет за дело, потому решил поработать дома в выходной и переслал себе базу клиентов на домашний почтовый ящик, и его взломали. Ситуация, увы, нередкая.
Более того, правила безопасности должны постоянно совершенствоваться, чтобы эффективно противостоять высокотехнологичным кибер-угрозам. Проводите семинары, на которых специалисты рассказывают об основных правилах обращения с почтой, мобильными телефонами. Особое внимание уделите смартфонам: они сегодня могут стать реальной угрозой ИТ-безопасности.
5. Напишите инструкции
Определите, изложите письменном виде и повесьте на видном месте информацию о том, «что можно, а чего нельзя».
Важно при этом объяснить сотрудникам причины запретов. Люди должны понимать, что ограничения – это не «параноидальные настроения» начальства, а реальная защита бизнеса, которая касается и их самих.
6. Тщательно выбирайте облачные решения
Облачные сервисы – еще один распространенный канал утечки. Это удобный способ хранения информации, которым можно пользоваться с разных устройств. Но и украсть что-то из «облака», безусловно, проще, чем с вашего компьютера.
Поэтому если вы храните ваши данные в дата-центре либо работаете с облачными решениями, постарайтесь удостовериться, что провайдер обеспечивает защиту информации. В этой ситуации можно запросить у поставщика облачных сервисов сертификат соответствия регуляторов (ФСБ или ФСТЭК) по информационной безопасности. Требования регулятора достаточно жесткие: у провайдера должна быть антивирусная защита определенного уровня, а также системы обнаружения вторжений и контроля уязвимостей. Так что наличие сертификата говорит о том, что провайдер успешно прошел проверку.
7. Используйте технические средства
Технические средства защиты данных, на которые предпринимателям имеет смысл обратить внимание.
Современные межсетевые экраны, позволяющие «отгородить» сеть организации от сети интернет, а также выделить внутри сети компании защищенную зону для хранения клиентских данных. Эти устройства имеют довольно развитый функционал, который вполне подойдет для компаний малого и среднего бизнеса, и не потребует закупки дорогостоящих решений. Беспрепятственного доступа из интернета в сеть организации и в обратном направлении не будет, но функции, которые необходимы для работы, останутся.
Бюджетные решения, которые ограничивают доступ к флэш-накопителям. Они позволяют либо вовсе отключить их, либо дать возможность пользоваться только заранее зарегистрированными устройствами.
Средства контроля почтовой переписки и системы превентивного обнаружения вредоносной активности. Последние реагируют на вирусы, которые еще не успели попасть в антивирусные базы и не определяются обычными защитами. Но поскольку эти системы дорогие, позволить их себе могут только крупные компании.
8. Возведите защиту данных в приоритет
Клиенты – это самое важное, что есть у любого бизнеса. Забота о них должны быть в приоритете у каждой компании. Не только клиентам финансовых компаний важно понимать, что вы делаете максимум для защиты их персональной информации. Особое внимание к этому вопросу в наше время может стать даже конкурентным преимуществом.
96175+7 (800) 200-02-23
