Финансы и законы

19 февраля 2021

Чек-лист по защите данных: что делать, если у вас нет IT-отдела

19 февраля 2021

Потери от киберугроз растут во всём мире: больше половины российских компаний намерены нарастить расходы на обеспечение безопасности данных и увеличить штат сотрудников в этой сфере. Но что делать малым компаниям, которые не могут позволить себе содержать IT-отделы? Рассказываем о минимальном наборе мер безопасности.

69 млрд рублей

ущерб от киберпреступности в России в 2020 году


51%

крупных компаний во всём мире планирует расширять штат сотрудников в этой сфере, несмотря на снижение выручки


42%

российских компаний будут расширять отделы кибербезопасности, а 52% в 2021 году увеличат расходы на информационную безопасность в целом

Данные: PwC и ТАСС


69 млрд рублей

ущерб от киберпреступности в России в 2020 году


51%

крупных компаний во всём мире планирует расширять штат сотрудников в этой сфере, несмотря на снижение выручки


42%

российских компаний будут расширять отделы кибербезопасности, а 52% в 2021 году увеличат расходы на информационную безопасность в целом

Данные: PwC и ТАСС


Определите зоны риска

Выделите корпоративные данные, которые могут быть интересны взломщикам. Что могут использовать мошенники и шантажисты, что захотят украсть воры, что могут испортить недобросовестные конкуренты? Ответы на эти вопросы помогут составить список зон, нуждающихся в защите в первую очередь.

Есть и универсальный набор данных, которые нужно охранять каждому бизнесу: банковские пароли, цифровые подписи и финансовые документы — ваши, клиентов и партнёров. Кроме того, киберугрозам подвержены списки покупателей, свведения об их картах, ценовая политика компании, корпоративные планы и информация о производственных процессах, говорят в «Лаборатории Касперского».

Оцените риски и сосредоточьтесь на главном

В первую очередь защищайте данные, которые представляют наибольшую ценность. Чтобы их определить, оцените риски: что будет, если в руках злоумышленника окажется полный список рецептов из вашей авторской пирожковой? Полная база клиентов торговой компании? Доступ к счёту или CRM?

Например, если доходы на 80% зависят от наработанной за годы клиентской базы, она может представлять гораздо большую ценность, чем банковский счёт. Следовательно, и защищена она должна быть не хуже. Если 90% выручки приносят заказы от одного-двух крупных клиентов, их данные и репутацию стоит охранять лучше, чем свои.

Сужайте круги посвящённых

Чем больше сотрудников имеет доступ к чувствительным данным, тем выше риск. Составьте правила, по которым будете предоставлять и прекращать доступ к той или иной информации. Решите, кому открывать доступ к документам и паролям — и поймите, какие события могут подорвать безопасность. Например, что случится, если сотрудник внезапно заболеет или уволится?

Для компаний, которые занимаются продажами, типична ситуация, когда продавец после увольнения уносит с собой базу клиентов. Поэтому по возможности разграничивайте доступ продавцов к данным разных клиентов, в том числе программными способами, и старайтесь не давать сотрудникам больше данных, чем это необходимо для их работы.

Ещё одна типичная ситуация — увольнение SMM-щика, который единолично владеет паролями от корпоративных сообществ в соцсетях. Экс-сотрудник может шантажировать компанию и увести паблик, в который вложены деньги, время и усилия. Чтобы не допускать таких ситуаций, создавайте аккаунты от имени владельца бизнеса: так вы сможете контролировать уровень доступа сотрудников и вовремя его блокировать.

Обучайте и обязывайте сотрудников защищать данные компании

Сотрудники могут открывать киберпреступникам доступ к вашим данным как специально, так и случайно. Чтобы предотвратить намеренное вредительство, прописывайте в договорах обязанности по сохранению доступных сотруднику данных и штрафы за нарушение правил. А случайные ошибки предотвратит планомерное обучение персонала.

Иногда руководители полагают, что работники сами знают, как важно не оставлять рабочий ноутбук без присмотра, не подключаться к сторонним сетям Wi-Fi и не открывать подозрительные имейлы. По факту это не всегда так. Составьте список вариантов угроз и рассказывайте персоналу, как поступать в том или ином случае.


Напоминайте про угрозу фишинга

Один из самых распространенных вариантов мошенничества в сети — фишинговые сообщения или рассылки. Поскольку они долгие годы не выходят из моды, важно постоянно напоминать сотрудникам, как выглядят такие письма: мошенники могут отправить их от имени банка или крупного контрагента. Чаще всего в рассылке будет просьба срочно обновить личные данные и завуалированная угроза: «Если не обновите данные в течение трех часов, ваш счёт заблокируют».


Защищайте авторский контент

Если компания создаёт авторский контент, например тексты, фото или обучающие курсы, защитите их и юридически, и с помощью программного обеспечения.

С каждым сотрудником, который участвует в создании контента, заключайте договор о передаче прав в пользу компании. На сайте разместите дисклеймер о том, какой контент нельзя свободно копировать или на каких условиях его разрешено использовать. Например, можно разрешить перепечатку при условии размещения ссылки на ваш ресурс или воспроизведение фрагмента видео продолжительностью до 5 минут.

Ещё один способ защитить контент на сайте — прописать скрипты, которые запрещают копирование или автоматически добавляют ссылку на страницу при копипасте. С этим помогут фрилансеры. Для охраны изображения и видео созданы сервисы по защите от пиратства типа «Инфопротектора» или Media Protection Studio. На изображения и ролики также можно добавлять водяные знаки.

Создавайте резервные копии всех важных файлов

Резервное копирование файлов нужно делать регулярно. Как часто — зависит от специфики бизнеса. Например, если клиентская база пополняется двумя-тремя клиентами раз в квартал, часто копировать эти данные нет смысла. Если же вы привлекаете сотни клиентов каждую неделю, значит, и копирование нужно проводить раз в 7 дней.

Если сотрудник с доступом к ценным данным уносит ноутбук домой или трудится на удалёнке — позаботьтесь о том, чтобы информация хранилась в облаке либо постоянно дублировались на сервер компании. Создайте такие правила хранения данных, которые полностью исключат их потерю в случае поломки или кражи ноутбука.

Сопоставляйте размер риска и расходы

Бизнес строят на основе конкретных расчётов, и в отношении кибербезопасности правило тоже работает. Оцените риски в цифрах: посчитайте, во что обойдётся непредотвращённая угроза, потеря или кража данных.

Сопоставьте эти суммы со стоимостью услуг компаний, занимающихся кибербезопасностью, юристов и программистов на аутсорсе. Если риски достаточно велики по сравнению с ценой таких услуг — обратитесь за консультацией к профессионалам, которые помогут грамотно оценить риски и найти оптимальные решения.

Больше материалов по теме «Новое в законах»