5 ошибок кибербезопасности, которые делают все стартапы
ИТ-сфера бурно развивается, а вместе с ней и киберугрозы. Ушла в прошлое эпоха простых вирусов, которые просто делали неудобной работу на компьютере, и назойливого спама. Сегодня атаки киберпреступников стали намного более изощренными и опасными, а эпидемии, такие как WannaCry, охватывают подчас весь мир.
Страдают как крупные компании, например, английский телекоммуникационный гигант TalkTalk, потерявший в 2015 году более 400 000 фунтов стерлингов, так и мелкие стартапы. Что же делает компании такими уязвимыми перед злоумышленниками?
Безответственное отношение к паролям
Уж сколько раз твердили миру, что пароли к разным корпоративным аккаунтам должны быть разными и как можно более сложными! Но, тем не менее, люди все равно продолжают ставить пароли уровня «qwerty» или «abc123». Вторая критическая ошибка — одинаковые пароли на всех аккаунтах, например, на внутренней почте для сотрудников и на контактном e-mail. С предыдущим пунктом получается смертельное комбо: хакер взламывает один пароль, затем пробует тот же пароль к другим служебным аккаунтам, и получает полный контроль над вашей перепиской.
Чем сложнее пароль, тем лучше. Никаких осмысленных слов, никаких имен, значимых сочетаний цифр (например, дат рождения). Только бессмысленный набор символов. Причем они должны быть максимально разнородными. Идеальный пароль включает в себя буквы из разных алфавитов в разном регистре, цифры, специальные символы, например, нижнее подчеркивание, «собачку» и решетку. Символов должно быть не меньше восьми, лучше — 10-12.
Отсутствие шифрования трафика
Мы сами не представляем, сколько информации о нас остается в Интернете.
Базы данных, создаваемые провайдерами — лакомый кусочек для хакеров. Уровень кибербезопасности даже у крупных операторов часто оставляет желать лучшего, так что утечки информации с их серверов уже никого не удивляет. Чтобы защититься от этого, используйте шифрование данных.
Существует несколько способов шифрования данных. Для компании лучше всего подойдет платный VPN-сервис. Они предоставляют достаточно высокий уровень защиты данных за вполне разумную цену. Также VPN, в отличие от других способов шифрования, не требует специальных знаний для настройки и не урезает скорость соединения. Узнайте больше о том, как пользоваться VPN, по ссылке.
Пренебрежение антивирусной защитой
Не ставили антивирусов вообще, потому что они «замедляют» систему? Позволяете сотрудникам в рабочее время сидеть в соцсетях или качать игры с торрентов? Поздравляем, когда будет следующая крупная вирусная атака, равная недавним WannaCry или Petya A, вы, скорее всего, станете ее жертвой.
На ваших рабочих компьютерах должен стоять фаерволл, открывающий доступ только к корпоративным ресурсам, и тем, что необходимы в работе. Никаких скачиваний и соцсетей в рабочее время. И потрудитесь приобрести лицензионный антивирус, а также откажитесь от использования пиратских ОС. Именно массовое использование нелицензионных систем, которые вовремя не обновляются, стало одной из главных причин уже упоминавшейся эпидемии WannaCry.
Недооценка социальной инженерии
Далеко не все хакеры занимаются тем, что сидят за компьютерами и обшаривают системы в поиске уязвимостей. Многие предпочитают действовать проще, выведывая нужную информацию у доверчивых людей. По правде говоря, такой метод стар как мир и использовался задолго до появления Интернета, компьютеров, электричества и даже письменности. Современные специалисты по кибербезопасности называют это «социальная инженерия».
Арсенал методов социальной инженерии поистине неисчерпаем. Злоумышленники могут выведать у вас ответ на секретный вопрос для восстановления пароля, заведя как бы невзначай дружеский разговор. Могут создать фейковый фишинговый сайт, мимикрирующий под почтовый сервис, и предложить вам ввести там логин и пароль от почты. Могут, наконец, выведать у вас PIN-код от карты, позвонив и представившись банковскими работниками.
Проведите для сотрудников тренинг по распознаванию самых основных уловок. Постоянно напоминайте им, чтобы не переходили по подозрительным ссылкам и не откровенничали с незнакомыми людьми. И тем более — не надо никому передавать пароли и PIN-коды! Настоящие сотрудники почтовых сервисов и банков никогда их не спрашивают.
Работа на дом
Даже если у вас на работе соблюдены все правила безопасности, не факт, что соблюдены они также дома у ваших сотрудников. Зашли на корпоративный почтовый ящик через общедоступный wi-fi с ноутбука или смартфона? На соседней скамейке может сидеть хакер, который выходит в такие места «на рыбалку». Это не паранойя, это факт. Общедоступные сети очень плохо защищены. Да, скорее всего, вы не живете в мире шпионского триллера, где за вами следят подосланные конкурентами хакеры, которые только и ждут, чтобы вы сели в кафе и за чашечкой кофе решили проверить почту. Все проще: они просто приходят в такие места, перехватывают трафик, а потом вычленяют из него что-то ценное и продают.
Разрешили сотруднику скачать проект на флешку, а потом скинуть вам через соцсеть? А у него нет нормальной защиты от взлома соцсетей. Страничка сотрудника и его переписка вместе с посланным вам проектом может оказаться в руках хакера. Приучайте сотрудников делать работу только на офисных, защищенных компьютерах. И сами к этому приучайтесь.
Главное в обеспечении кибербезопасности — помнить, что хакерские атаки реальны и серьезны. Однако не стоит впадать в паранойю: достаточно нескольких простых мероприятий, чтобы существенно снизить их риск. Не пренебрегайте безопасностью, и будьте уверены: хакеры до вас не доберутся!
