- безопасность
Каждый день ваши сотрудники контактируют с корпоративной информацией и персональными данными. Делятся друг с другом документами по проекту, отвечают на письма, пересылают номера телефонов в мессенджерах. Каждая такая точка контакта — слабое звено, которым может воспользоваться злоумышленник. И он обязательно им воспользуется, если не внедрить в компании практику кибергигиены.
Что такое кибергигиена и как она работает в концепции информационной безопасности
Кибергигиена — это как мытье рук и ношение маски в пандемию. Лечить не лечит, но работает как профилактика:
- сокращает количество инцидентов фишинга и загрузки вредоносного ПО,
- снижает число уязвимостей в программном обеспечении,
- предотвращает несанкционированный доступ к данным и их утечку.
В практику кибергигиены входит простой набор действий, доступный любому сотруднику. Если закрепить эти действия как рутинные привычки, получится реализовать практически идеальный сценарий корпоративной ИБ: безопасники защищают внешний периметр, устройства и информационные системы от внешних атак, а персонал соблюдает внутренние правила сетевой безопасности и конфиденциальности.
Пять составляющих корпоративной кибергигиены
Чтобы не смешивать парольные политики с антивирусной защитой, мы разделили правила кибергигиены на отдельные блоки. В каждом по нескольку базовых правил.
1. Пароли и доступы
- Отдельный пароль для каждой учетной записи. Если у сотрудника три учетных записи, нужно три разных пароля.
- Пароль должен сложным (от 12 символов с заглавными, строчными буквами, цифрами) и регулярно меняться.
- Избегать паролей с последовательной комбинацией цифр или личной информацией (имя жены, название должности, номер телефона и пр.).
- Не записывать пароли в приложении на смартфоне или документ на ПК, не хранить в браузере, не передавать через e-mail или в мессенджерах.
- Для формирования сложных неассоциативных паролей и их хранения использовать менеджер паролей.
- Для учетных записей с доступом к конфиденциальным данным настроить многофакторную аутентификацию с сохранением резервных кодов в диспетчере паролей.
- Своевременно удалять профили уволенных пользователей, блокировать их доступы к информационным системам компании.
Правила работы с паролями имеет смысл объединить в отдельный документ — Парольную политику. В таком документе можно подробно, углубленно и с примерами расписать основные положения обращения с паролями, установить ответственность, оговорить порядок контроля за соблюдением регламента.
2. Защита данных
- Настроить и использовать сетевой экран для защиты от несанкционированного доступа.
- Перед продажей, утилизацией ПК, смартфона или планшета (корпоративного или личного) очистить жесткий диск, удаляя файлы без возможности восстановления.
- Использовать для данных безопасное облачное хранилище или облачный диск для совместного хранения информации.
- Настроить версионность и резервное копирование.
В некоторых облачных сервисах уже предустановлены функции версионности и шифрования. Например, у нашего объектного хранилища S3 все это есть, нужно только настроить управление версиями, ключами доступа, установить политику жизненного цикла объекта. В облачном диске Nextcloud предусмотрено резервное копирование, а по всем действиям с документами можно получать уведомления.
3. Конфиденциальность личных и корпоративных данных
- Не выкладывать в социальных сетях личную и корпоративную информацию с адресом, фотографиями, описанием проектов.
- Продумать и установить в социальных сетях настройки приватности. Например, закрыть/ограничить комментирование, просмотр фотографий.
- Не участвовать в сетевых викторинах, играх, опросах, марафонах, требующих номер телефона или e-mail.
- Проверять разрешения всех устанавливаемых приложений.
- Установить на ПК и гаджеты пароль или PIN-код.
- Пользуясь открытыми Wi-Fi сетями в аэропорту, кафе или банке, не передавать личную информацию через мессенджеры или e-mail.
- По возможности использовать VPN для передачи корпоративных данных.
- Перед оформлением заявки, скачиванием и транзакцией проверять адреса сайтов. Сверять их с оригиналом вплоть до одного знака.
- Не пользоваться сайтами без сертификата безопасности.
Большую часть вопросов этого блока закрывает Положение о конфиденциальности. В нем можно объединить правила обращения с документами на бумажном носителе и в цифре, а также установить порядок отнесения информации к конфиденциальной.
4. Программное обеспечение и антивирусная защита
- Не скачивать и не использовать нелицензионное ПО.
- Устанавливать актуальные патчи безопасности.
- Регулярно проверять список приложений и ПО и удалять неиспользуемые.
- Загружать программы и приложения на смартфон с официальных сайтов или магазинов приложений.
- Обязательно использовать надежные антивирусные решения для десктопов и мобильных устройств.
Правила актуальны для всех сегментов антивирусной защиты, от рабочих станций и сетевых серверов до почты и шлюзов. Часть из них входит в задачи сотрудников ИБ, но большинство вполне успешно работают и на уровне рядовых пользователей.
5. Почта, ссылки и мессенджеры
- Не переходить по ссылкам, которые прислали малознакомые люди.
- Проверять имя и адрес отправителя e-mail. Не открывать письма или сообщения, где в имени/адресе отправителя есть ошибка.
- Тщательно проверять короткие ссылки формата https://bit.ly и их аналоги. За ними часто прячется редирект на вирусные сайты.
- Не загружать вложения от адресатов, с которыми не знакомы или у которых не запрашивали информацию.
- Не переходить по ссылкам в письмах, уведомляющих о получении наследства, приза.
- Перед тем, как переходить по ссылке для оплаты штрафа, кредита, проверки пени из почтового отправления, необходимо проверить информацию через свой аккаунт в этих сервисах. Зайти на Госуслуги через сайт, проверить платежи в приложении банка, посмотреть штрафы и пени в личном кабинете ФНС.
Методы социальной инженерии постоянно совершенствуются, поэтому если в сообщении упоминаются громкие новостные инфоповоды, есть давление на основные психологические триггеры — это всегда повод насторожиться. Технические средства защиты от фишинга ограничиваются пока только фильтрами почтового трафика и контента, поэтому полностью полагаться только на них не получится.
Корпоративная кибергигиена — классическая техника безопасности. Пока она работает ее не замечают, а как только нарушается, последствия становятся очевидны всем. Именно поэтому мы рекомендуем не ограничиваться выстраиванием безопасности периметра, а работать с ИБ на всех уровнях, от кибергигиены до киберучений.