Московский делоросс рассказал о базовых мерах по защите информации в компаниях

Московский делоросс рассказал о базовых мерах по защите информации в компаниях

Эксперты сообщили, что по итогам 2023 года количество утечек данных пользователей увеличилось в мире почти в 2,5 раза. В России с этой проблемой столкнулись почти все крупные корпорации, банки, телеком, авиакомпании и многие другие организации. Из года в год проблема становится все более актуальной. Как защитить себя и как корпорациям защищать свои системы? На этот вопрос ответил председатель комитета по технической независимости, безопасности инфраструктуры и защите информации, основатель АО «Инсек» Алексей Бегаев.


Что делать компаниям?

Чтобы компаниям защитить свои системы, нужно применять системный подход. И соблюдение требований по защите информации должно стать для компаний системным. То есть соблюдение требований по защите информации должно быть для каждой компании неотъемлемым элементом повседневной деятельности.

На первом этапе базовые меры можно свести к следующим:

1. Сформулируйте и внедрите систему управления паролями на предприятии.

2. Сформулируйте и внедрите политику антивирусной защиты на предприятии.

3. Обеспечьте защиту периметра, при этом особое внимание уделяйте настройкам средств защиты информации, потому что само по себе наличие средств защиты информации без правильной настройки не является действенным механизмом.

4. Проводите обучение пользователей для предотвращения возможных фишинговых атак.

5. По возможности используйте сертифицированные средства защиты информации — хотя бы потому, что разработчики сертифицированных средств обязаны устранять уязвимости после того, как они обнаружены в их продуктах.

6. Грамотно разделяйте информационную инфраструктуру на сегменты сети и обеспечивайте меры безопасности на границе этих сегментов
7. Знайте свои активы — не только системы, реализующие прямой функционал на предприятии, но и обеспечивающие системы. Обеспечивающими системами могут быть системы тепло- и энергообеспечения, каналообразующие элементы системы, системы кондиционирования, системы пожаротушения помещений и оборудования, системы контроля и управления доступом, системы видеонаблюдения и др.

8. Применяйте системный подход — периодический аудит и контроль защищенности обойдутся дешевле, чем реагирование по факту реализованной атаки или срочное реагирование на требования регуляторов.

Реальная безопасность важна, и зачастую осознание приходит только после того, как эта безопасность уже серьезно нарушена. Здесь очень подходит поговорка «что имеем не храним, а потерявши плачем». Обращайтесь к специалистам, которые могут обеспечить выполнение полного комплекса работ от аудита до проектирования, внедрения и периодического контроля защищенности вашего предприятия.

Что делать пользователям?

Пользователи должны соблюдать цифровую гигиену, причём эта гигиена также должна стать неотъемлемой частью повседневной деятельности каждого пользователя. По статистике, причинами самого большого количества утечек являются сами люди, поэтому соблюдение базовой цифровой гигиены является ключевым залогом успеха.

Во-первых, не оставляйте свои персональные данные «где попало». То есть осознанно выбирайте ресурсы и организации, в которых вы оставляете свои персональные данные. Если вы чётко понимаете, что вам нужно получить какую-то услугу от организации и вы всё-таки должны предоставить персональные данные в эту организацию, максимально ограничиваете набор передаваемых вами персональных данных, то есть передавайте минимальный набор.

Во - вторых, если вы самостоятельно вводите персональные данные на своих устройствах, позаботьтесь о безопасности этих устройств. Регулярно меняйте пароли, устанавливайте сложные пароли, нигде не записывайте эти пароли, чтобы злоумышленники не могли получить к ним доступ, пользуйтесь антивирусом на своих персональных устройствах, обновляйте антивирус и антивирусные базы.

Очень большое количество пользователей являются жертвами фишинговых атак, поэтому для пользователя очень важно различать и узнавать фишинговые ссылки. Такие ссылки приходят в электронных письмах от злоумышленников или в мессенджерах. Причём письма и сообщения могут приходить как
от незнакомых отправителей, так и от ваших друзей. У вас должно быть развито критическое мышление, и всегда нужно обращать внимание на отправителя: даже если это знакомый отправитель, то нужно обращать внимание на те ссылки, по которым вы переходите. Если вы не уверены, что ваш знакомый мог отправить подобное сообщение, перезвоните ему и уточните, особенно если вас кто -то просит за что-то проголосовать.

В том случае если вы добросовестно выполнили все рекомендации и передаёте свои персональные данные в добросовестную организацию, от которой вы хотите получить необходимую услугу, дальше ответственность по хранению и обработке ваших персональных данных лежит на этой организации. Однако даже в этом случае необходимо обращать внимание на то соглашение, которое вы подписываете с этой организацией на обработку ваших персональных данных. В случае, если вы подписываете соглашение в электронном виде, как правило, вы не имеете возможность изменять формулировки этого соглашения. И как правило, никто не читает эти соглашения в электронном виде, все просто ставят галочку и получают необходимую услугу. Если же вы заполняете соглашение в бумажном виде, вернее, подписываете уже заполненное для вас соглашение, не поленитесь, и обратите внимание на объем передаваемых данных и на то, для каких целей вы передаёте свои персональные данные в организацию. Не редки случаи, когда цели передачи персональных данных, указанные в подписываемом соглашении, превышают цели, необходимые для оказания услуги. В этом случае вы можете вручную откорректировать соглашение, зачеркнуть избыточные данные и цели, для которых вы передаёте свои данные. Обращайте внимание в соглашении на пункты о трансграничной передаче персональных данных. В этом случае вы должны понимать, что закон о защите персональных данных действует на территории Российской Федерации, и в случае передачи ваших данных за территорию Российской Федерации с вашего разрешения ваши данные больше не являются защищенными.

Ещё одна мера, которой пренебрегают многие пользователи, - отзыв своего соглашения на обработку персональных данных. Если вы понимаете, что вы получили услугу от какой-то организации и далее не планируете пользоваться услугами этой компании, не поленитесь и отзовите свое соглашение на обработку персональных данных, которое вы ранее подписали. Это можно сделать, направив соответствующее обращение в организацию, с которой вы подписывали соглашение на обработку ваших персональных данных.
При соблюдении указанных мер цифровой гигиены каждый пользователь значительно повышает свои шансы защитить себя от угроз со стороны злоумышленников.