Киберриски, которые не видят собственники: взгляд эксперта и рекомендации для исправления

Современные компании всё чаще используют внешние сервисы и платформы:

• облачные системы;
• SaaS-приложения;
• услуги подрядчиков по разработке и поддержке систем.

Каждый такой партнёр становится частью технологической среды компании. При этом уровень безопасности у разных поставщиков может существенно различаться. В результате атака на одного из подрядчиков может привести к компрометации данных или сервисов компании.

Рекомендации по управлению безопасностью подрядчиков.

Составьте реестр всех подрядчиков, имеющих доступ к вашим данным или системам. Для каждого укажите: тип доступа, критичность, наличие договора о конфиденциальности.

Внедрите принцип минимального доступа для подрядчиков: только на время проекта, только к конкретным ресурсам, с обязательной двухфакторной аутентификацией.

Периодически пересматривайте необходимость доступа подрядчиков — многие сохраняются годами после завершения работ.

Ещё один распространённый риск связан с управлением доступом к системам и данным. Со временем в организациях накапливаются:

• устаревшие учётные записи;
• избыточные права доступа;
• временные доступы, которые не были закрыты.

В таких условиях даже обычная ошибка пользователя может привести к серьёзным последствиям. Поэтому я рекомендую следующие механизмы.

Ежеквартальный аудит учётных записей с удалением неиспользуемых. Автоматизируйте сверку с HR-системой: при увольнении доступ отключается в течение суток.

Внедрите принцип минимальных привилегий. Сотрудник не должен иметь прав администратора на рабочей станции. Используйте Just-in-Time доступ для высокопривилегированных операций.

Контролируйте временные доступы (подрядчикам, на время отпуска, на время проекта). Заводите их с автоматическим истечением срока.

Используйте PAM-решения (Privileged Access Management) для учёток с расширенными правами — хотя бы на критических системах.

Самая частая проблема малого бизнеса. В начале «старта» кажется все очень временным, не существенным и не имеющим особой ценности. Но, если бизнес случился и все стало хорошо, то все начальные временные решения забываются и вот уже данные распределены между множеством систем, а контроль над ними усложняется.

Компания может не иметь точного понимания:

• где хранятся критические данные;
• кто имеет к ним доступ;
• как они используются.

Это увеличивает вероятность утечек и несанкционированного использования информации. Поэтому помним и делаем простые вещи:

• классификация данных (публичные, внутренние, конфиденциальные, критичные);
• инвентаризация хранилищ: раз в полгода проводите сканирование сетевых папок, облачных сервисов и ПК на предмет чувствительных данных (DLP-системы, даже простые скрипты поиска по ключевым словам вроде «паспорт», «ИНН», «конфиденциально»);
• назначьте владельцев данных для каждой критичной информационной системы (Data Owner) и теперь он отвечает за классификацию, доступы и периодический аудит;
• регулярно проводите «чистку»: удаление устаревших копий, неиспользуемых файлов, обесценившихся данных.

Даже если компания инвестирует в средства защиты, она может оказаться не готовой к реальному инциденту.

Часто отсутствуют:

• чёткие сценарии реагирования;
• распределение ролей при кризисе;
• планы восстановления операций.

В результате время реагирования увеличивается, а последствия инцидента становятся более серьёзными.

Киберриски не ограничиваются внешними атаками. Они формируются внутри технологической и организационной структуры компании.

Поэтому эффективное управление безопасностью требует не только внедрения инструментов защиты, но и системного анализа архитектуры процессов, данных и систем.

Только в этом случае компания может понимать, где действительно находятся её основные уязвимости.

Запишитесь на консультацию — и давайте сделаем ваш бизнес надежным и безопасным.

Переходите на сайт агентства — там вас ждут кейсы, которые уже работают, и стратегии, которые выстроят ваш путь к росту.