Пароли на самотек
Пароли на стикерах
Как будто бы звучит забавно, но до сих такая практика часто встречается в компаниях — сотрудники пишут пароли на самоклеящихся стикерах и приклеивают их на видное место — на монитор, ноутбук и т.д. Любой мимо проходящий человек может этот пароль увидеть.
Степень риска зависит от того, от чего пароль — от бухгалтерской программы, от компьютера с базой клиентов или результатами маркетинговых исследований. Но практика показывает, что обычным итогом такого небрежного отношения к информационной безопасности становится кража денег или данных.
Вывод: на каждом офисном компьютере и мобильном устройстве нужно установить уникальный пароль, который сотрудник должен хранить в защищенном месте — например, в менеджере паролей.
Общие пароли
Одно из основных правил, которое нужно запомнить сотрудникам, — паролями нельзя делиться ни с кем, даже с коллегами. Человек, с которым сотрудник поделился паролем, может однажды уволиться. А если он увольняется в обиде на компанию — кто знает, каких дел при уходе такой работник может натворить.
Простые пароли
Классика жанра — qwerty123456 или password123. Простым перебором злоумышленники могут взломать такой пароль с домашнего ПК примерно за 6 секунд. Если в нем заглавные буквы вы чередуете со строчными — то за 2 дня. А вот чтобы взломать пароль вида P’@’s’s’w’0’r’d, может потребоваться больше 3 000 лет. Вероятно, раньше закончится терпение киберпреступника.
Понятно, почему такие длинные и сложные пароли сотрудники не любят — если паролей много, то запомнить нереально.
Поэтому рекомендуем использовать либо мнемоническое правило, либо менеджер паролей. Помните, что даже у сложных паролей есть риск утечки. Поэтому везде, где это возможно, включите двухфакторную аутентификацию.
На практике она обычно выглядит как:
Первым этапом вводится логин и пароль.
Вторым этапом — специальный код из SMS или email.
Нет бэкапов
Или, по-другому, резервного копирования. Теоретически все знают, что для важных документов, баз данных, сайта нужно регулярно создавать резервные копии, чтобы в случае хакерской атаки, внезапного отключения электричества, пожара или другого форс-мажора вы не остались без нужной информации. Но есть и те, кто таким правилом пренебрегает — правда, обычно до первой потери данных.
До такого, конечно, лучше не доводить. Делать бэкапы нужно регулярно, а лучше всего настроить автоматическое копирование.
Тогда вы обезопасите себя, например, от риска, если кто-то из сотрудников случайно выдернет сетевой фильтр, жесткий диск сломается из-за резкой остановки, и вся база данных будет потеряна.
Получите бесплатный чек-лист по киберзащите бизнеса на удаленке
Поможем избежать атак программ-вымогателей
Узнайте, как безопасно организовать работу в условиях удаленной работы
Забытые права доступа
Довольно-таки распространенная ситуация: сотрудник отрисовал дизайн сайта. Потом у него случился конфликт с руководителем, и сотрудник уволился. А перед уходом удалил все свои наработки с общего диска.
Распрощаться с человеком не лучшим образом — нередкое явление. Чтобы не возникало инцидентов, подобных тому, что выше, лучше выдавать персоналу доступ только к тем ресурсам, которые им необходимы им для непосредственной работы, а при увольнении своевременно отзывать доступы. И, конечно, стоит подписывать с сотрудником документы, которые регулируют права на объекты интеллектуальной собственности, созданные им во время работы в компании.
Настройки по умолчанию
Если вы принимаете оплату картами, значит, в компании есть роутер. Скорее всего, его настраивал только провайдер, которые задал необходимые для себя параметры. То есть в роутер, например, можно войти с дефолтными логином и паролем администратора. В таком случае устройство может «поймать» сниффера. Это программа, которая просматривает весь ваш трафик. И в этом случае пароли уже не помогут.
Вывод: на сетевых устройствах настройки по умолчанию менять крайне важно.
Отсутствие защитного ПО
Некоторые компании считают, что уж им то точно не грозят хакерские атаки. Приводят аргументы, что они слишком маленькие и точно не будут интересны киберпреступникам.
Однако небольшой размер компании уже давно не является гарантией того, что ее не заденет поток киберугроз. В современном киберландшафте «летает» множество угроз: только ежедневно «Лаборатория Касперского» обнаруживает более 400 тысяч новых образцов вредоносного ПО.
При этом количество каналов, по которым его можно «словить» тоже растет. Кроме того, даже если вы — небольшая местная организация, у вас все равно есть клиенты, чьи данные вы наверняка где-то храните. А это уже лакомая информация для злоумышленников.
Поэтому базовая защита — защита основных конечных устройств, а именно, компьютеров, смартфонов, серверов, — сегодня необходима всем.
Неосведомленные сотрудники
Даже если знаете все то, о чем написано выше, не факт, что ваши сотрудники тоже обо всем этом осведомлены. Как известно, любая цепь прочна ровно настолько, насколько прочно самое слабое звено в ней. Поэтому персонал нужно обязательно обучать и информировать.
Что делать компании, чтобы избежать ошибок
Чтобы ваша компания не страдала от небрежности персонала, отсутствия у сотрудников информации и хакерских атак, рекомендуем соблюдать простые рекомендации:
Обучайте сотрудников киберграмотности. Что такое фишинговая рассылка и как с ней работать, как правильно устанавливать и хранить пароли, как пользоваться двухфакторной аутентификацией и т.д.
Чтобы упростить обучение, используйте платформу Kaspersky Automated Security Awareness Platform.
В рамках экспресс-курса вы сможете быстро обучить сотрудников базовым, но важным знаниям о кибербезопасности.
Основной курс подойдет компаниям, которые планируют для своих сотрудников подробное и всестороннее обучение. Все его элементы — практические занятия, подкрепления, тесты и имитации фишинговых атак — доставляются автоматически.
Не пренебрегайте созданием копий важных документов и баз данных, регулярно обновляйте программное обеспечение. Благодаря обновлениям вы минимизируете количество уязвимостей в системе.
Используйте надежное решение, которое поможет вам защититься от вредоносного ПО, шифровальщиков и онлайн-мошенничества.
Платформа Kaspersky ASAP
Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности
Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8KCALd
Начать дискуссию