Новости
Новости
20.12.2024
19.12.2024
18.12.2024
18+
Статьи

«Да кому нужна моя организация!»: почему все НКО должны знать о мерах кибербезопасности

Как на самом деле правильно защищать персональные данные, не допускать утечек и пользоваться VPN.

кибербезопасность НКО
Фото: HackerNoon / Unsplash

Мастер-класс про кибербезопасность «Защита данных и информационная безопасность в работе НКО: основные принципы и инструменты» прошел на площадке конференции о социальной ответственности технологических и IT-компаний Smart Social 17 июня. 

По словам Саркиса Шмавоняна, менеджера по работе с образовательными организациями компании «Киберпротект» и эксперта в области информационной безопасности, основная проблема заключается в том, что от потери и утечки данных не застрахован никто. 

«Я часто слышу: “Да кому нужна моя маленькая организация!” Но на самом деле все скрипты для взлома уже давно либо частично, либо полностью автоматизированы: система рассылает, например, письма по почте с зашитой мошенниками гиперссылкой по базам рассылок сразу многим организациям. То есть, зачастую, никто никого специально для атаки не выбирает. Разве что у вас есть какие-то недоброжелатели, которые делают адресный заказ», — объяснил Саркис Шмавонян.

Так, Россия находится в топ-5 стран по числу кибератак с использованием вирусов-шифровальщиков, а 25% россиян хотя бы раз сталкивались с потерей рабочих данных, говорит эксперт. 

Как обезопасить информационные активы организации и обрабатываемые персональные данные граждан

Организационные меры

> 300
млн записей персональных данных выложено в открытый доступ в результате утечек в 2023 году — данные Роскомнадзора
  1. Для начала — ознакомьтесь с требованиями приказа ФСТЭК от 18 февраля 2013 года №21 о составе и содержании организационных и технических мер по обеспечению безопасности персональных данных.
  2. Внесите свою организацию в Реестр операторов персональных данных (ПД) Роскомнадзора.
  3. Наймите двух сотрудников, которые будут ответственны за обработку и защиту персональных данных.
  4. Утвердите перечень лиц, у которых будет допуск к ПД остальных сотрудников.
  5. Обеспечьте безопасность помещений, в которых ведется обработка персональных данных.
  6. Ознакомьте своих сотрудников с правилами информационной безопасности при работе с ПД. Желательно направьте их на профильные курсы по работе с персональными данными.

Технические меры

  1. Используйте двухфакторную аутентификацию для доступа ко всем ресурсам вашей компании.

Уже сегодня обычная двухфакторная аутентификация считается не самым эффективным способом защиты. Дело в том, что злоумышленники научились подделывать сим-карты и обманом получать приходящие в СМС пароли. Попробуйте генерировать одноразовый код в специальных приложениях — например, freeOTP или «Яндекс Ключ». В зависимости от настроек в них каждые 30 или 60 секунд генерируется новый код. 

  1. Незамедлительно блокируйте учетные записи уволенных работников со всех ресурсов. В идеале стоит блокировать сотрудников и на время их отпуска.
  2. Используйте антивирусную защиту.

Бесплатные антивирусы бесполезны — зачастую ими не проводится постоянный мониторинг и сканирование всех запущенных на устройствах процессов, серфинга в сети и пр. Пользуйтесь только платными антивирусными решениями отечественного производства с расширенным функционалом.

  1. Осуществляйте защиту каналов связи и сегментируйте сеть организации. 
  2. Проводите резервное копирование физических и виртуальных машин, информационных систем, в которых хранятся и обрабатываются ПД.
  3. Применяйте решения класса DLP, защищающие от внутреннего нарушителя, способные заблокировать утечку информации изнутри организации.
  4. Убедитесь, что реализованные технические меры соответствуют требованиям к уровню защищенности персональных данных (см. вышеупомянутый приказ ФСТЭК).

DLP (Data Loss Prevention) — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации.

Главное правило: ставьте все под сомнение

Самый высокий уровень результативности демонстрируют атаки методами социальной инженерии совместно с фишинговыми ресурсами и вредоносными приложениями по той причине, что они нацелены на самое слабое звено в любой схеме по защите информации – на человека.

Социальная инженерия — это совокупность психологических методик и приемов для создания условий, при которых возможно манипулирование человеком и его поведением.

Три кита социальной инженерии, которыми пользуются мошенники

  1. Достучаться до человека через почту, мессенджер, социальные сети.
  2. Вызвать яркую эмоцию. Мошенники знают все наши «грехи»: страх потери, тревога за близких, любовь к призам и так далее.
  3. Использовать текущий контекст жизни человека, давить на больное.

Не забывайте, что технологии искусственного интеллекта могут использовать и злоумышленники. Так, чаще всего они используют ИИ для того, чтобы подделать лицо и голос. Это называется дипфейк. При поступлении подозрительных просьб через звонки и аудиовизуальные сообщения в мессенджерах лучше перезвоните контрагенту и задайте уточняющие вопросы. 

Фото: Bermix Studio / Unsplash

Учитесь распознавать фишинговые письма. Вот несколько красных флажков.

  1. У письма неизвестный отправитель.
  2. В теме письма используется Caps Lock или агрессивный, повелительный тон.
  3. Обезличенное обращение в начале письма и обезличенная подпись в конце.
  4. Пишущий требует от вас немедленного действия.
  5. Пишущий запрашивает ваши личные данные или банковские реквизиты.
  6. Письмо содержит подозрительную ссылку или вложение.

Используйте VPN по назначению

Изначально VPN задумывался как средство защиты передаваемых по сети данных, а не для того, чтобы обходить блокировки Роскомнадзора. 

VPN-сервер работает как громоотвод: находится между устройством пользователя и нужным сетевым ресурсом (например, сервером корпоративного файлообмена), не позволяя хакерам добраться до зашифрованной информации. 

«Без VPN вся ваша коммуникация «открыта», а значит, она может быть перехвачена и, как следствие, легко скомпрометирована. При использовании VPN расшифровать ваш трафик будет очень проблематично. При этом категорически не рекомендуется пользоваться иностранными VPN системами, в этом случае ваши личные данные (логины, пароли, банковские данные, персональные данные) оседают на иностранных серверах. Данные системы блокируются Роскомнадзором для предотвращения нарушения отечественного законодательства, защиты чувствительных данных как граждан, так и организаций», — объяснил Саркис. 

О том, как обезопасить свой сайт, какие сервисы помогут выстроить работу и стоит ли опасаться полного отключения от сети, АСИ рассказывало тут.

Smart Social — крупнейшее мероприятие по теме социальной ответственности технологических и IT-компаний. Организаторы: «Мобиус Технологии», Общества с ограниченной ответственностью «Акселератор возможностей» и Инновационного научно-технического центра МГУ «Воробьевы горы».

18+
АСИ

Экспертная организация и информационное агентство некоммерческого сектора

Попасть в ленту

Как попасть в новости АСИ? Пришлите материал о вашей организации, новость, пресс-релиз, анонс события.

Рассылка

Cамые свежие новости, лучшие материалы в вашем почтовом ящике