Цифрова безпека бізнесу: як захиститися
Як організувати робочий процес в умовах віддаленої роботи, щоб вберегти важливі дані від хакерів.
Бізнес по всьому світу переживає епоху цифрової трансформації. Це можна порівняти з метаморфозом метелика. Власники бізнесу мусять швидко адаптуватися, поєднуючи традиційні та цифрові методи управління.
Вони можуть звільнитися від бюрократії, прив’язки до місця, і переводять роботу в онлайн: починаючи від реєстрації фірми, платіжних операцій, завершуючи офісними розмовами в Zoom.
Фізично ви можете пити каву в Україні й укладати угоду з партнером в США онлайн. І все, що для цього потрібно: лептоп і навички тайм-менеджменту.
Але як колишня керівниця R&D в британській компанії, що захищає критичні дані, скажу, що разом з цифровізацією з’являється потреба захистити бізнес від корпоративного е-шпіонажу.
Загроз в інтернет-просторі вистачає. Зовнішні загрози — це шкідливе програмне забезпечення, DDoS-атаки, фішинг, ботнети, проникнення в мережу, втрата пристроїв зі збереженими паролями.
До внутрішніх найчастіше належать витоки конфіденційної інформації через співробітників чи підрядників та вразливе ПЗ.
За дослідженням Deloitte, 90% хакерських операцій зазнають саме критичні дані компаній, та ті, що дають їм конкурентну перевагу.
Це означає, що традиційні цілі конфіденційності, цілісності та відкритості бізнесу розширюються — ключовими стають: приватність, безпека та надійність даних.
Прогнозують, що до 2023 року 75% організацій світу повністю змінять підхід до управління кібербезпекою.
Що робити сьогодні, щоб вберегти дані бізнесу?
#1 Створіть або оновіть вашу стратегію управління ризиками
Поставте цілі та створіть бізнес-кейс.
Зараз важливо переглянути пріоритети компанії, її місію та візію в умовах діджиталізації.
Визначте нові фізичні, мобільні та кіберзасоби контролю безпеки та додайте до вже чинної концепції захисту даних. Розробка статуту з кібербезпеки стане гідною інвестицією у майбутнє компанії, адже зробить вас більш надійним партнером.
#2 Розробіть план дій
Визначте пріоритетні ризики для вашого бізнесу. За потреби долучіть компанію, що займається кібербезпекою.
Перший крок - розробити основні принципи кібергігієни в компанії. Наприклад, які використовувати паролі, логін у відкриті мережі Wi-FI з робочого комп’ютера vs використання захищеної мережі, класифікація документів, доступ до конфіденційної інформації поза межами офісу та багато іншого.
СEO з командою повинен провести оцінку вразливості й протестувати, наскільки захищена внутрішня й зовнішня система безпеки від проникнення потенційних зловмисників.
На основі результатів, підприємець може звернутися до колег по ринку, хто розробляє архітектуру безпеки, структуру політики та нові рішення щодо ризиків. Наприклад, йому можуть допомогти створити відділ, що слідкуватиме за безпекою даних.
Популярними зараз стали системи SIEM (Security information and event management) — це про моніторинг корпоративних систем та аналіз безпеки в режимі реального часу, з використанням штучного інтелекту та глибокого машинного навчання.
Така тактика дозволить швидко виявляти загрози та усувати їх, забезпечувати якісний захист інформаційних активів.
Позитивним рішенням для збереження даних є автоматизація процесів SOC (Security Operations Center), щоправда, займає більше часу на інтеграцію.
Також багато організацій залучають до роботи CIO (директора з інформаційних технологій), який разом з іншими топменеджерами розробляє і реалізує технологічну стратегію організації. Як наслідок - з CIO запрацює функція її дотримання, відстеження антишпигунських практик та звітування витрат на кібербезпеку.
#3 Ініціюйте реалізацію
Поінформуйте співробітників щодо впровадження інструментів кібербезпеки та проведіть навчання, прищеплюйте культуру поваги до безпеки даних компанії.
Залучіть новий відділ та експертів з кібербезпеки, встановіть нові ролі та обов’язки в команді. Тренуйте бажані навички, водночас інтегруйте можливі інструменти й технології: від звичайних надійних паролів на робочих комп’ютерах та антивірусних програм, до спеціальних систем захисту даних.
Сьогодні, коли віддалена робота є повсякденною реальністю для багатьох, використання широкосмугової та бездротової мережі має регулюватися певними принципами для співробітників.
Особливо подбайте про впровадження безпеки персональних даних клієнта, які повинні відповідати вимогам GDPR. Це загальне положення про захист даних від ЄС. Бізнес-компанії, що порушують ці права конфіденційності та безпеки, отримують попередження. У документі зазначено, що штраф за підтверджене порушення сягає десятки мільйонів євро.
#4 Вибудуйте програму та розвивайте її в подальшому
Підтримуйте звітність у процесах захисту даних, проводьте моніторинги. Нехай у вас під рукою буде екстрений план дій у разі виявлення порушень. Для попередження кібератак існують такі технології, як "ханіпоти" (honeypots и honeynets), і більш серйозні превентивні системи DDP (Distributed Deception Platform).
Окрім цього, важливо розробити план комунікації з клієнтами у разі кіберзлому та посягання на персональні дані (GDPR).
У країн-партнерів НАТО (а Україна входить у їхній склад) з 2013 року діє стратегія з кібербезпеки, як єдиний регуляційний документ. Саме тут зазначено, що відповідальність за безпеку кіберпростору лежить на всьому глобальному суспільстві: від пересічних громадян до держав.
Більше того, розвиток кібербезпеки відбувається через співробітництво з міжнародними партнерами та організаціями. Наприклад, якщо говорити про європейський рівень кіберзахисту, то в Естонії використовують унікальну інфраструктуру відкритих ключів (PKI).
Естонія бере на себе відповідальність за дані не тільки своїх громадян, але й тих, хто є електронним резидентом країни. Адже тут вже мова йде не просто про збереження даних, а й про всі бізнес-операції країни резидента.
Рівень безпеки такий, що раніше для зміни втраченого пін-коду до ID-картки, потрібно було їхати в саму Естонію, щоб точно ідентифікувати персону. Зараз же завдяки розвитку технологій та покращенню законодавства це можна зробити в найближчому посольстві.
Зокрема, на різних державних ресурсах естонці діляться порадами цифрової безпеки з бізнесом. А в Україні діє сайт CERT-UA, на якому дають рекомендації з кібербезпеки у межах Державного центру кіберзахисту Держслужби спеціального зв’язку та захисту інформації України.
Звідти можна взяти основні правила кібергігієни для власників та працівників компанії: використання ліцензійного ПЗ, резервного копіювання даних, стійких паролів, обережністю з вкладеннями електронної пошти, використання віддаленого доступу через "білий список" (IP Whitelisting).
Тільки з залученням професіоналів з кібербезпеки, таких як CIOs, можна врахувати більшість факторів захисту компанії.
Та для всіх бізнесменів є 4 чек-листи цифрової безпеки: превентивні заходи, чіткий план роботи над мінімізацією ризиків та подолання слабкостей, швидка відповідь на можливі атаки, план відновлення підприємства після пошкоджень.
Але щит від хакерських атак мусить бути адаптивним до реалій — оновлюватися, відповідно до нових загроз. Адже наслідки корпоративного е-шпіонажу можуть нести в собі масштабні репутаційні втрати.
За останнє десятиліття є багато кейсів, коли нехтування заходами безпеки змусило підприємства втратити конкурентну перевагу чи навіть банкрутувати (енергетичні компанії, Huawei, Sony).