Корпоративная кибергигиена

Корпоративная кибергигиена
Время на прочтение: 5 минут

Каждый день ваши сотрудники контактируют с корпоративной информацией и персональными данными. Делятся друг с другом документами по проекту, отвечают на письма, пересылают номера телефонов в мессенджерах. Каждая такая точка контакта — слабое звено, которым может воспользоваться злоумышленник. И он обязательно им воспользуется, если не внедрить в компании практику кибергигиены.

Что такое кибергигиена и как она работает в концепции информационной безопасности

Кибергигиена — это как мытье рук и ношение маски в пандемию. Лечить не лечит, но работает как профилактика:

  • сокращает количество инцидентов фишинга и загрузки вредоносного ПО,
  • снижает число уязвимостей в программном обеспечении,
  • предотвращает несанкционированный доступ к данным и их утечку.

В практику кибергигиены входит простой набор действий, доступный любому сотруднику. Если закрепить эти действия как рутинные привычки, получится реализовать практически идеальный сценарий корпоративной ИБ: безопасники защищают внешний периметр, устройства и информационные системы от внешних атак, а персонал соблюдает внутренние правила сетевой безопасности и конфиденциальности.

Пять составляющих корпоративной кибергигиены

Чтобы не смешивать парольные политики с антивирусной защитой, мы разделили правила кибергигиены на отдельные блоки. В каждом по нескольку базовых правил.

1. Пароли и доступы

  • Отдельный пароль для каждой учетной записи. Если у сотрудника три учетных записи, нужно три разных пароля.
  • Пароль должен сложным (от 12 символов с заглавными, строчными буквами, цифрами) и регулярно меняться.
  • Избегать паролей с последовательной комбинацией цифр или личной информацией (имя жены, название должности, номер телефона и пр.).
  • Не записывать пароли в приложении на смартфоне или документ на ПК, не хранить в браузере, не передавать через e-mail или в мессенджерах.
  • Для формирования сложных неассоциативных паролей и их хранения использовать менеджер паролей.
  • Для учетных записей с доступом к конфиденциальным данным настроить многофакторную аутентификацию с сохранением резервных кодов в диспетчере паролей.
  • Своевременно удалять профили уволенных пользователей, блокировать их доступы к информационным системам компании.

Правила работы с паролями имеет смысл объединить в отдельный документ — Парольную политику. В таком документе можно подробно, углубленно и с примерами расписать основные положения обращения с паролями, установить ответственность, оговорить порядок контроля за соблюдением регламента.

Сервис многофакторной аутентификации (MFA)
Две недели бесплатного тест-драйва

2. Защита данных

  • Настроить и использовать сетевой экран для защиты от несанкционированного доступа.
  • Перед продажей, утилизацией ПК, смартфона или планшета (корпоративного или личного) очистить жесткий диск, удаляя файлы без возможности восстановления.
  • Использовать для данных безопасное облачное хранилище или облачный диск для совместного хранения информации.
  • Настроить версионность и резервное копирование.

В некоторых облачных сервисах уже предустановлены функции версионности и шифрования. Например, у нашего объектного хранилища S3 все это есть, нужно только настроить управление версиями, ключами доступа, установить политику жизненного цикла объекта. В облачном диске Nextcloud предусмотрено резервное копирование, а по всем действиям с документами можно получать уведомления.  

3. Конфиденциальность личных и корпоративных данных

  • Не выкладывать в социальных сетях личную и корпоративную информацию с адресом, фотографиями, описанием проектов.
  • Продумать и установить в социальных сетях настройки приватности. Например, закрыть/ограничить комментирование, просмотр фотографий.
  • Не участвовать в сетевых викторинах, играх, опросах, марафонах, требующих номер телефона или e-mail. 
  • Проверять разрешения всех устанавливаемых приложений.
  • Установить на ПК и гаджеты пароль или PIN-код.
  • Пользуясь открытыми Wi-Fi сетями в аэропорту, кафе или банке, не передавать личную информацию через мессенджеры или e-mail.
  • По возможности использовать VPN для передачи корпоративных данных.
  • Перед оформлением заявки, скачиванием и транзакцией проверять адреса сайтов. Сверять их с оригиналом вплоть до одного знака.
  • Не пользоваться сайтами без сертификата безопасности.

Большую часть вопросов этого блока закрывает Положение о конфиденциальности. В нем можно объединить правила обращения с документами на бумажном носителе и в цифре, а также установить порядок отнесения информации к конфиденциальной.

4. Программное обеспечение и антивирусная защита

  • Не скачивать и не использовать нелицензионное ПО.
  • Устанавливать актуальные патчи безопасности. 
  • Регулярно проверять список приложений и ПО и удалять неиспользуемые.
  • Загружать программы и приложения на смартфон с официальных сайтов или магазинов приложений.
  • Обязательно использовать надежные антивирусные решения для десктопов и мобильных устройств. 

Правила актуальны для всех сегментов антивирусной защиты, от рабочих станций и сетевых серверов до почты и шлюзов. Часть из них входит в задачи сотрудников ИБ, но большинство вполне успешно работают и на уровне рядовых пользователей.

Сервис защиты периметра сети NGFW
Две недели бесплатного тест-драйва

5. Почта, ссылки и мессенджеры

  • Не переходить по ссылкам, которые прислали малознакомые люди.
  • Проверять имя и адрес отправителя e-mail. Не открывать письма или сообщения, где в имени/адресе отправителя есть ошибка.
  • Тщательно проверять короткие ссылки формата https://bit.ly и их аналоги. За ними часто прячется редирект на вирусные сайты.
  • Не загружать вложения от адресатов, с которыми не знакомы или у которых не запрашивали информацию.
  • Не переходить по ссылкам в письмах, уведомляющих о получении наследства, приза.
  • Перед тем, как переходить по ссылке для оплаты штрафа, кредита, проверки пени из почтового отправления, необходимо проверить информацию через свой аккаунт в этих сервисах. Зайти на Госуслуги через сайт, проверить платежи в приложении банка, посмотреть штрафы и пени в личном кабинете ФНС.

Методы социальной инженерии постоянно совершенствуются, поэтому если в сообщении упоминаются громкие новостные инфоповоды, есть давление на основные психологические триггеры — это всегда повод насторожиться. Технические средства защиты от фишинга ограничиваются пока только фильтрами почтового трафика и контента, поэтому полностью полагаться только на них не получится.

Корпоративная кибергигиена — классическая техника безопасности. Пока она работает ее не замечают, а как только нарушается, последствия становятся очевидны всем. Именно поэтому мы рекомендуем не ограничиваться выстраиванием безопасности периметра, а работать с ИБ на всех уровнях, от кибергигиены до киберучений.

Новые статьи и анонсы вебинаров в нашем Телеграм-канале