Когда речь заходит о цифровой безопасности, то многие теряются перед огромным массивом новой информации, предпочитая оставаться во всё ещё многочисленном лагере людей, которые считают, что это не про них, что это не касается их организации, что это лишь трата ресурсов без видимого и ощутимого профита.
Цифровая безопасность — это почти всегда превентивные меры. Поздно искать администратора сайта, когда база данных ваших пользователей уже перекочевала к злоумышленникам. А если бы вы заранее позаботились о ежедневном автоматическом резервном копировании бухгалтерии, то не пришлось бы возобновлять работу организации после месяца простоя, когда ваш финансист по крупицам восстанавливал все данные. И вовремя настроенная двухфакторная авторизация защитила бы от кражи вашей почты. И таких примеров множество. Как говорится, гром не грянет, мужик не перекрестится.
Так с какого края лучше подступиться к ИТ-гигиене? Где та точка входа? Как уже было сказано, тема эта обширная и различных методик разработано немало. Но в последнее время на пути к кибербезопасности наметились пять основных ориентиров.
Относитесь к угрозам серьёзно. Если вы думаете, что ваша организация не представляет интереса для злоумышленников, то вы сильно заблуждаетесь. Это если мягко сформулировать. Если хотите пожёстче, то такое беспечное отношение вредит организации, а однажды даже может поставить крест на её существовании.
Часто мы слышим, что организация настолько “мимимишная”, что у атакующих просто не поднимется рука взять то, что плохо лежит. Поднимется. А может вы наивно полагаете, что деятельность вашей НКО настолько прозрачна, что и скрывать вам нечего, да и не от кого? Лукавство чистой воды. Пожалуйста, примите к сведению, что мир Интернета жесток и враждебен. Если вы что-то не спрятали, не защитили, отложили и забыли, то это возьмут, вопрос лишь во времени.
Однако одного лишь серьёзного отношения к рискам и угрозам недостаточно. Нужно начать убеждать в этом ваших коллег и команду, тренировать их, приглашать профессионалов для оценки уязвимости организации. К сожалению, в команде всегда найдётся пара-тройка нигилистов, которые будут считать ваши усилия напрасными, а беспокойство надуманным. Ваша задача — убедить их, что на дворе XXI век, и прежние способы коммуникации и общения остались в прошлом веке. В конце концов, безопасность — это двусторонняя ответственность, и своим нигилизмом коллеги подставляют партнёров.
По статистике, наиболее вероятной причиной утечки важной информации остаётся человеческая ошибка, человеческий фактор. Поэтому вкладывайтесь в апгрейд вашей команды.
Используйте облака. Везде и всюду. Платные и бесплатные. В настоящее время существует множество вариантов решений облачного хранения данных, выбор за вами и вашим айтишником. Не храните никаких важных данных на жёстких дисках. Во-первых, по сравнению с облачным решением это не так уж и дёшево (NAS, RAID массивы, SSD диски и так далее), а во-вторых, весьма уязвимо как в плане сохранности файлов, так и в плане их защиты от злоумышленников. К тому же, заботу об анализе работоспособности, бэкапировании ваших дисковых архивов вы берёте на себя, тогда как у любого облачного хранилища есть команда профессионалов, и вам останется лишь заниматься работой вашей организации, а не работой админа.
В идеале на ваших зашифрованных жёстких дисках должны быть только файлы, необходимые для текущей работы. Со всеми обычными офисными документами облака позволяют работать прямо в их среде без необходимости скачивания. Плюс это гораздо удобнее при совместной работе над документами.
Получили архив документов? Сканируйте — и в облако. Прислали фотографии с последнего мероприятия? В облако. Волонтёры принесли собранные документы? Сканер — облако. Если закон не требует хранить оригиналы, покормите шредер. Не откладывайте.
Но. Не забудьте защитить ваш облачных архив надёжным паролем, двухфакторной авторизацией и регулярно проводите аудит имеющихся разрешений на доступ к файлам вашей команды.
Используйте двухфакторную авторизацию. Этот незамысловатый способ защиты различных аккаунтов доказал свою необычайную эффективность. Многие модели атак на ваши данные и файлы просто не работают в случае установленной двухфакторной. Поэтому заведите себе привычку и доведите её до автоматизма — если почтовый аккаунт, ваш профиль в социальной сети или зубная щётка предлагают включить двухфакторную авторизацию, сделайте это. Вот прямо сейчас. И пусть теперь вам будут снится только бессильные хакеры, а их зубовный скрежет поставьте себе на рингтон.
Однако и тут есть нюансы. Вторым фактором авторизации сейчас может быть масса вариантов — USB-токены, SMS, Push-сообщения, скретч-карты, приложения-генераторы одноразовых паролей, распечатанные коды и т.д. Обратите внимание на SMS. К сожалению, в современных реалиях это является скорее фактором дополнительного риска, создавая иллюзию защищённости, а на деле делая вас уязвимее. Избегайте этого способа.
Пароли. Не ленитесь использовать длинные (от 8-10 символов) и надёжные (строчные, прописные, спецсимволы) пароли. Эта тема уже набила оскомину, но не перестаёт быть актуальной. Это было написано с сожалением. А вот с энтузиазмом можно написать, что вам всего лишь навсего следует запомнить один сильный пароль от вашего хранилища паролей, которое возьмёт на себя всю работу по созданию сильных и хранению надёжных связок логина и пароля.
Важно! Не забудьте сделать что? Правильно — настроить двухфакторную авторизацию для вашего хранилища.
Ну и переходим к последнему пункту.
План Б. Моделируйте форс-мажорные ситуации в стиле “Что, если…”. В жизни такие ситуации не редкость, но заранее проигрывая их с командой, вы выйдите из сложных положений с минимальными потерями, а возможно даже с приобретениями — с опытом, со сплочённой командой, с ощущением, что всё, что вы делали, чтобы предотвратить коварство Вселенной, было не напрасно.
Заранее решите, к кому можно обратиться в случае проблем. Как искать волонтёра Петю, который регистрировал сайт год назад и с тех пор не появлялся. Где тот Вася, который принёс роутер, и у кого осталась бумажка с доступом к админке.
Иметь своего админа не по карману большинству организаций, но выделить из команды наиболее продвинутого и толкового можно, поручив ему взять под свою ответственность ИТ вопросы за небольшое дополнительное вознаграждение. Поговорите с партнёрскими организациями, чтобы нанять одного постоянного айтишника на всех. Не оставайтесь один на один с проблемами, в которых не очень разбираетесь и не понимаете всех рисков.
Надеемся, что эти пять основных направлений ИТ-безопасности помогут вам начать выстраивать свою политику ИТ-гигиены в вашей организации. И помните, вы всегда моете руки перед едой, а не после.