Предприниматели часто недооценивают потенциальные киберугрозы, что может обернуться серьезными последствиями. О том, как правильно выстроить защиту и избежать распространенных ошибок, рассказал в интервью руководитель омской ИТ-компании «Я ПОМОГУ!».
— Какие основные угрозы для ИТ-безопасности в малом и среднем бизнесе вы видите сегодня? Почему предприниматели их недооценивают?
— Малый и средний бизнес — это «легкая цель» для злоумышленников: такие компании не обладают бюджетами и структурами безопасности, как крупные корпорации. Основные угрозы для них — это фишинговые письма, вирусы-шифровальщики, взлом корпоративной почты и утечка данных. Отсутствие резервных копий и недостаточный контроль доступов тоже могут привести к неприятным последствиям.
Предприниматели часто думают: «мы слишком маленькие, нас это не коснется», отчего чаще всего подвергаются кибератакам. Потеря клиентской базы или простой на несколько дней обходятся дороже, чем регулярные вложения в безопасность.
— Что представляют собой «внутренние угрозы» и как защититься от них?
— Внутренние угрозы — это ситуации, когда проблема возникает не снаружи, а в самой компании. Статистика показывает, что 60% инцидентов связаны именно с внутренними факторами — умышленные или неосторожные действия сотрудников, недостаточный контроль подрядчиков.
Советы для минимизации рисков:
- Ограничивать доступ к данным и внедрить систему «минимально необходимых прав» для сотрудников;
- Мониторить действия пользователей;
- Своевременно отключать учетные записи уволенных;
- Обучить персонал кибергигиене.
— Какую роль в улучшении ИТ-безопасности играет включение ИТ-отдела в бизнес-процессы компании? Что это даст в долгосрочной перспективе?
— В большинстве малых компаний ИТ воспринимается как «сервисная функция»: чтобы компьютеры включались, принтер печатал, а интернет работал. Но в реальности ИТ-отдел (или ИТ-партнер) должен быть встроен в бизнес-процессы компании — тогда он перестает быть «затратой» и становится инструментом роста и защиты.
В долгосрочной перспективе это снижает расходы на «латание дыр» и повышает безопасность, гибкость и устойчивость бизнеса.
— Как бизнесу избежать типовых ошибок в области защиты данных?
Мы выделяем несколько типичных ошибок, которые встречаются у большинства компаний:
- Один пароль на всех сервисах;
- Отсутствие резервных копий или хранение их на том же сервере;
- Наличие доступа к важным файлам у всех сотрудников;
- Игнорирование обновлений систем;
- Отсутствие политики увольнения сотрудников;
- Отсутствие обучения кибергигиене.
Все эти ошибки легко исправить: создать уникальные пароли, регулярно обновлять копии и ПО, разграничить доступы, обучить персонал.
— Как часто компании должны актуализировать списки сотрудников и пароли для доступа к важным данным?
— Актуализация доступа и паролей — это базовый элемент информационной безопасности. Старые или «забытые» доступы — один из самых частых каналов взлома.
Списки сотрудников и их доступы нужно проверять раз в квартал, а при увольнении или изменении должности — моментально. Пароли должны обновляться каждые 2–3 месяца, но при утечке данных — сразу же. Для администраторов и руководителей рекомендуется менять пароли раз в месяц.
Сегодня кибербезопасность — это не вопрос размеров компании, а выживания на рынке. Грамотный подход к ИТ-защите помогает избежать потерь. Чем раньше бизнес начнет выстраивать систему защиты, тем больше шансов сохранить клиентов, деньги и репутацию.
Реклама. ИП Киселев И. А., япомогу.рф, ИНН 550316226056. Erid: 2VtzqvVTepD.