В период активных кибератак и утечки персональных данных информационная безопасность стала одной из важнейших задач любого бизнеса. Однако далеко не все компании сегодня могут защитить свои данные, оценить уязвимости и закрыть имеющиеся пробелы. Директор Управления информационных технологий ГК УГМК-Телеком Арсений Шустров рассказывает об основных ошибках кибербезопасности, на которые бизнесу стоит обратить внимание.
Слабая защищенность учетных систем и баз данных. Многие компании до сих пор не уделяют внимание защите персональной информации, несмотря на необходимость исполнения 152-ФЗ «О персональных данных» и интересах бизнеса. Многие, в угоду удобству и доступности из любой точки планеты, используют веб-доступ к учетным системам, таким как 1С, не осознавая масштабов возможного бедствия. Как исправить ситуацию? Обязательно использовать фильтрацию IP-адресов, а лучше – закрыть возможность подключения к ресурсам компании без использования VPN-соединения.
Отсутствие или минимальная антивирусная защита. Пренебрежение антивирусным ПО или обновлением вирусных баз чревато повышенным риском успешных атак, в том числе с использованием вирусов-шифровальщиков. Это вредоносное ПО способно заблокировать доступ многим сотрудникам, быстро распространившись по корпоративной сети. Чтобы не попасть в ловушку, компаниям стоит проверять, чтобы порты для шифровальщиков были всегда закрыты.
Отсутствие или истекший срок сертификата безопасности. SSL-сертификат необходим для корректной работы сайта по протоколу HTTPS. Он подтверждает подлинность ресурса, гарантирует целостность передаваемой информации и обеспечивает шифрование передаваемых данных. Некоторые компании пренебрегают необходимостью получения сертификата, а значит, подвергают риску обе стороны взаимодействия – себя и клиента, облегчая задачу организации атак типа «человек посередине», при котором злоумышленник, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию. Еще одна проблема – компании порой забывают обновить просроченный сертификат, и пользователи сайта видят, что он не защищен. Что делать? Не забывать о важности действующего SSL-сертификата.
Отсутствие верификации домена. Когда владелец доменного имени при покупке не подтвердил, что именно он является собственником. Таким образом, компания открывает путь мошенникам, которые могут в любой момент заявить, что сайт принадлежит им и получить все права, оставив реального владельца ни с чем. Что делать в таком случае? Сразу же обращаться к регистратору доменных имен.
