- Собственные продукты
- Услуги
- Проекты компании
- 2023 — Обеспечение энергетической безопасности Ленинградской области
- 2024.01 — Пилотный проект Континент 4 (видеоотчет)
- 2021-2023 Система защиты объектов КИИ
- 2020-2021 Информационная система усадьбы «Дивноморское»
- 2022.12 — Центральный офис Manaseer Group
- 2020 — Строительство КМС ГБУ ФХУ Мэрии Москвы
- 2020 — Телефонизация системы «ПЛАТОН» (ГК Автодор)
- 2023 — Внедрение СКУД нового поколения
- 2017, Декабрь — Оптоволоконная абонентская сеть в Выборгском районе
- 2017, Сентябрь — Кластер высокой доступности Encore Fitness
- 2017, Сентябрь — Корпоративная телефония Encore Fitness
- 01.11.2016 — Корпоративная VPN-сеть Московской Торгово-промышленной палаты
- 2016, Июль — Построение информационной структуры Encore Fitness
- Интеграция
- Информационная безопасность
- Комплексное средство защиты с поддержкой алгоритмов шифрования ГОСТ — Континент
- Управление информационной безопасностью
- Управление устройствами Apple
- BYOD и комплексная информационная безопасность мобильных устройств
- Управление инфраструктурой на базе Cisco DNA
- Межсетевые экраны NGFW от Cisco Systems
- Начальный уровень защиты компании
- Защита для малого бизнеса
- Телефония
- Информационная безопасность
- О компании
- Карьера и сотрудничество
Информационная защита малого бизнеса
Как сильно успешность малого бизнеса зависит от кибербезопасности? Владельцу малого бизнеса бывает трудно определить, что именно представляет собой достаточный комплекс мер по обеспечению безопасности, а что будет являться избыточным.
Постановка задачи на оптимизацию безопасности в малом бизнесе обычно выглядит следующим образом: сохранить конфиденциальные данные о бизнесе и клиентах, не вкладывая при этом большие деньги в системы кибербезопасности.
Реальность сегодняшнего дня состоит в том, что каждая компания нуждается в кибербезопасности, независимо от того, насколько они маленькие. И на самом деле, малый бизнес — популярная цель для киберпреступников; Мало того, что малые предприятия имеют больше ИТ-уязвимостей, они также имеют ценные данные клиентов и точки доступа к крупным компаниям, с которыми они работают.
Однако это не означает, что киберпреступники тратят часы, пытаясь взломать ваш малый бизнес. В большинстве случаев, хакеры действуют при помощи автоматизированных средств, предпринимая бесчисленные попытки проникновения вредоносных программ, фишинг-атак и перебора паролей, надеясь получить хоть какой-нибудь доступ к внутренней инфраструктуре, и затем проверить безопасность на степень эшелонированности.
Какие риски несет небольшая компания с точки зрения ИБ?
I Персональные данные
Любая компания, в которой есть хоть один сотрудник, является оператором персональных данных. Согласно Федеральному закону РФ номер ФЗ-152 «О персональных данных», компания-оператор обязана должным образом обеспечить сбор, хранение, доступ и утилизацию персональных данных. Нарушение данных условий регламентируется статьей 13.12 КоАП. Наиболее важные пределы ответственности в случае нарушения установленного законом порядка следующие:
- Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных (пример: киберпреступник получил доступ к личным листкам кадрового департамента) – до 30 тысяч рублей для юридических лиц;
- Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ – до 50 тысяч рублей.
II Данные по контрагентам
Сроки, условия, стоимость договоров, использованные ноу-хау, участвующие в договорах стороны – все это как правило, служит предметом конфиденциальности между контрагентами. Вся ответственность за нарушение конфиденциальности в данном случае, зависит от воли сторон, заключивших договор, и в случае нарушения штраф может достигать практически, любых сумм.
Как киберпреступники нападают на малый бизнес
E-mail
Большинство проникновений в сети малого предприятия осуществляются в форме мошенничества с электронной почтой. В большинстве случаев это вредоносное ПО, скрытое во вложении электронной почты, хотя малые предприятия могут также пострадать от фишинга.
Ransomware
Одна из проблем, являющаяся актуальной для владельцев бизнеса любого размера. Путями для эксплуатации данной уязвимости являются незащищенные удаленные рабочие столы. Возможность для, эксплуатации появляется в случаях, когда есть удаленный доступ к компьютерам извне, (скажем, в компаниях, которые передают ИТ-работу на аутсорсинг), и в компании отсутствует политика установки обновлений программного обеспечения.
Достаточные меры
Минимальный набор средств безопасности для компании, относящейся к сегменту малого бизнеса, может включать следующие средства обеспечения безопасности:
- Создать политику информационной безопасности предприятия
Все информационные ценности, подлежащие защите, должны быть названы поименно, и к ним должен быть определен доступ. Сотрудники, имеющие доступ, должны четко представлять себе, что именно они получают, и какие меры предосторожности они должны предпринимать в рамках своих должностных обязанностей. Эту краеугольную часть защиты – политику – должен разработать, или как минимум, утвердить, сотрудник, отвечающий за результаты ее применения – генеральный директор, или собственник.
- Установить межсетевой экран нового поколения
Современный межсетевой экран нового поколения (NGFW) обычно предлагает комплексную защиту от всех основных видов угроз. Поскольку через МСЭ проходит весь трафик пользовательских компьютеров, данный вид защиты на сегодняшний день является наиболее действенным. В этот список обычно не входят глубокая проверка с целью защиты от “атак нулевого дня” (Zero Day Attacks) – такую процедуру выполняют при помощи облачного сервиса «песочница», и структурированная защита от DDoS-атак. Обе службы могут быть реализованы в виде отдельного аппаратно-программного комплекса. Мы приводим примерную стоимость и функции для двух производителей межсетевых экранов — Cisco и Fortinet.
 |
 |
- Защитить трафик, приходящий извне
Некриптостойкое шифрование слабым ключом (DES, 3DES) как пользовательских сессий, так и межплощадочных соединений (центр==филиалы) является для обычной компании, у которой бизнес не связан с информационными технологиями, основной уязвимостью и потенциальной брешью в информационной структуре. На начало 2019 года криптостойкими считаются алгоритмы AES-128, AES-256, и есть смысл использовать именно их.
- Защитить серверы
Четко обозначенный доступ к серверам только тем сотрудникам и только к тем ресурсам, которые им необходимы – ключ к предсказуемому поведению сетевой инфраструктуры и к усилению защиты ресурсов.
- Использовать безопасные серверы имен (DNS)
Это наилучший способ защиты от подменных сайтов, действующих с целью выманивания (фишинга) данных кредитных карт, и прочих персональных данных.
- Обучение сотрудников
Поразительно, какое влияние в развитых странах имеет надпись в конце электронного письма, сообщающая о том, что данное письмо содержит коммерческую тайну, и если оно попало тем, кому не следует его читать, то читать его и не нужно. Очень немногие из людей решатся на квест «знаю, но нарушаю». Поскольку в основной своей массе, сотрудники – люди добросовестные, и пришли в компанию зарабатывать деньги, а не наносить ущерб, игра по известным правилам устроит всех. Поэтому четкое знание сотрудником того, к каким критичным ресурсам компании он имеет доступ, как это должно выглядеть, кому можно передавать данную информацию, как должно быть защищено устройство, с которого он осуществляет доступ, в конечном итоге дает выигрыш всем сторонам бизнес-процессов.
Правильный ответ на нарушение защиты
Без фильтрации электронной почты ничто не мешает вредоносным письмам попадать в почтовые ящики сотрудников. А без образования в области практики кибербезопасности сотрудники, вероятно, станут почти каждым четвертым, кто нажимает на фишинговые ссылки. Надежные брандмауэры и антивирусное программное обеспечение предотвращают заражение ваших систем вредоносными программами, но они не помешают неинформированному сотруднику вводить учетные данные для входа в систему на поддельном сайте или передавать пароли злоумышленнику-хакеру, выступающему в роли ИТ-специалиста. Чтобы предотвратить нарушения, владельцы бизнеса должны активно защищать сети и информировать сотрудников о рисках кибербезопасности.
Каждая компания, представляющая собой малый бизнес должна иметь план реагирования на нарушение данных до того, как произойдет кибератака, включая квалифицированную группу реагирования и действенный план реагирования. Для многих малых предприятий это означает заключение контрактов с ИТ-специалистами, специалистами по коммуникациям и юриспруденции, которые обладают знаниями и опытом для того, чтобы вмешиваться и управлять восстановлением утечки данных от имени бизнеса. Несмотря на значительные затраты, своевременный и надлежащий ответ часто влияет на то, восстановится ли малый бизнес после утечки данных или отключится в течение шести месяцев.
Большинству малых предприятий не нужно тратить огромные суммы денег на кибербезопасность. Однако малым предприятиям необходимо вкладывать средства в базовую безопасность сети и постоянное обучение сотрудников для защиты от кибератак. В противном случае владельцы малого бизнеса могут обнаружить — по высокой цене — что они — легкая цель для киберпреступников.