Топ 6 ошибок малого бизнеса в области информационной безопасности

Даже если бизнес — это пекарня или автомойка, в современном мире без компьютеров не обойтись. Торговлю без них организовать не получится, так что хотя бы один ПК у вас точно будет. Плюс вы наверняка будете использовать мобильные устройства. Рассказываем про самые частые ошибки начинающих предпринимателей, которые связаны с компьютерами и цифровым миром.
Топ 6 ошибок малого бизнеса в области информационной безопасности
Иллюстрация: Вера Ревина/Клерк.ру

Пароли на самотек

Пароли на стикерах

Как будто бы звучит забавно, но до сих такая практика часто встречается в компаниях — сотрудники пишут пароли на самоклеящихся стикерах и приклеивают их на видное место — на монитор, ноутбук и т.д. Любой мимо проходящий человек может этот пароль увидеть. 

Степень риска зависит от того, от чего пароль — от бухгалтерской программы, от компьютера с базой клиентов или результатами маркетинговых исследований. Но практика показывает, что обычным итогом такого небрежного отношения к информационной безопасности становится кража денег или данных.

Вывод: на каждом офисном компьютере и мобильном устройстве нужно установить уникальный пароль, который сотрудник должен хранить в защищенном месте — например, в менеджере паролей.

Общие пароли

Одно из основных правил, которое нужно запомнить сотрудникам, — паролями нельзя делиться ни с кем, даже с коллегами. Человек, с которым сотрудник поделился паролем, может однажды уволиться. А если он увольняется в обиде на компанию — кто знает, каких дел при уходе такой работник может натворить.

Простые пароли

Классика жанра — qwerty123456 или password123. Простым перебором злоумышленники могут взломать такой пароль с домашнего ПК примерно за 6 секунд. Если в нем заглавные буквы вы чередуете со строчными — то за 2 дня. А вот чтобы взломать пароль вида P’@’s’s’w’0’r’d, может потребоваться больше 3 000 лет. Вероятно, раньше закончится терпение киберпреступника. 

Понятно, почему такие длинные и сложные пароли сотрудники не любят — если паролей много, то запомнить нереально. 

Поэтому рекомендуем использовать либо мнемоническое правило, либо менеджер паролей. Помните, что даже у сложных паролей есть риск утечки. Поэтому везде, где это возможно, включите двухфакторную аутентификацию.

На практике она обычно выглядит как: 

  1. Первым этапом вводится логин и пароль. 

  2. Вторым этапом — специальный код из SMS или email. 

Нет бэкапов

Или, по-другому, резервного копирования. Теоретически все знают, что для важных документов, баз данных, сайта нужно регулярно создавать резервные копии, чтобы в случае хакерской атаки, внезапного отключения электричества, пожара или другого форс-мажора вы не остались без нужной информации. Но есть и те, кто таким правилом пренебрегает — правда, обычно до первой потери данных. 

До такого, конечно, лучше не доводить. Делать бэкапы нужно регулярно, а лучше всего настроить автоматическое копирование.

Тогда вы обезопасите себя, например, от риска, если кто-то из сотрудников случайно выдернет сетевой фильтр, жесткий диск сломается из-за резкой остановки, и вся база данных будет потеряна.

Получите бесплатный чек-лист по киберзащите бизнеса на удаленке

Поможем избежать атак программ-вымогателей

Узнайте, как безопасно организовать работу в условиях удаленной работы

Заполните форму ниже и мы пришлем чек-лист на ваш e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Забытые права доступа

Довольно-таки распространенная ситуация: сотрудник отрисовал дизайн сайта. Потом у него случился конфликт с руководителем, и сотрудник уволился. А перед уходом удалил все свои наработки с общего диска.

Распрощаться с человеком не лучшим образом — нередкое явление. Чтобы не возникало инцидентов, подобных тому, что выше, лучше выдавать персоналу доступ только к тем ресурсам, которые им необходимы им для непосредственной работы, а при увольнении своевременно отзывать доступы. И, конечно, стоит подписывать с сотрудником документы, которые регулируют права на объекты интеллектуальной собственности, созданные им во время работы в компании.

Настройки по умолчанию

Если вы принимаете оплату картами, значит, в компании есть роутер. Скорее всего, его настраивал только провайдер, которые задал необходимые для себя параметры. То есть в роутер, например, можно войти с дефолтными логином и паролем администратора. В таком случае устройство может «поймать» сниффера. Это программа, которая просматривает весь ваш трафик. И в этом случае пароли уже не помогут.

Вывод: на сетевых устройствах настройки по умолчанию менять крайне важно.

Отсутствие защитного ПО

Некоторые компании считают, что уж им то точно не грозят хакерские атаки. Приводят аргументы, что они слишком маленькие и точно не будут интересны киберпреступникам.

Однако небольшой размер компании уже давно не является гарантией того, что ее не заденет поток киберугроз. В современном киберландшафте «летает» множество угроз: только ежедневно «Лаборатория Касперского» обнаруживает более 400 тысяч новых образцов вредоносного ПО.

При этом количество каналов, по которым его можно «словить» тоже растет. Кроме того, даже если вы — небольшая местная организация, у вас все равно есть клиенты, чьи данные вы наверняка где-то храните. А это уже лакомая информация для злоумышленников.

Поэтому базовая защитазащита основных конечных устройств, а именно, компьютеров, смартфонов, серверов, — сегодня необходима всем.

Неосведомленные сотрудники

Даже если знаете все то, о чем написано выше, не факт, что ваши сотрудники тоже обо всем этом осведомлены. Как известно, любая цепь прочна ровно настолько, насколько прочно самое слабое звено в ней. Поэтому персонал нужно обязательно обучать и информировать.

Что делать компании, чтобы избежать ошибок

Чтобы ваша компания не страдала от небрежности персонала, отсутствия у сотрудников информации и хакерских атак, рекомендуем соблюдать простые рекомендации:

  • Обучайте сотрудников киберграмотности. Что такое фишинговая рассылка и как с ней работать, как правильно устанавливать и хранить пароли, как пользоваться двухфакторной аутентификацией и т.д.

Чтобы упростить обучение, используйте платформу Kaspersky Automated Security Awareness Platform. 

В рамках экспресс-курса вы сможете быстро обучить сотрудников базовым, но важным знаниям о кибербезопасности. 

Основной курс подойдет компаниям, которые планируют для своих сотрудников подробное и всестороннее обучение. Все его элементы — практические занятия, подкрепления, тесты и имитации фишинговых атак — доставляются автоматически.

  • Не пренебрегайте созданием копий важных документов и баз данных, регулярно обновляйте программное обеспечение. Благодаря обновлениям вы минимизируете количество уязвимостей в системе.

  • Используйте надежное решение, которое поможет вам защититься от вредоносного ПО, шифровальщиков и онлайн-мошенничества.

Платформа Kaspersky ASAP

Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8KCALd

Начать дискуссию