«Да кому нужна моя организация!»: почему все НКО должны знать о мерах кибербезопасности

Мастер-класс про кибербезопасность «Защита данных и информационная безопасность в работе НКО: основные принципы и инструменты» прошел на площадке конференции о социальной ответственности технологических и IT-компаний Smart Social 17 июня. 

Инструкция: как НКО не стать жертвой мошенников

Подробнее

По словам Саркиса Шмавоняна, менеджера по работе с образовательными организациями компании «Киберпротект» и эксперта в области информационной безопасности, основная проблема заключается в том, что от потери и утечки данных не застрахован никто. 

«Я часто слышу: “Да кому нужна моя маленькая организация!” Но на самом деле все скрипты для взлома уже давно либо частично, либо полностью автоматизированы: система рассылает, например, письма по почте с зашитой мошенниками гиперссылкой по базам рассылок сразу многим организациям. То есть, зачастую, никто никого специально для атаки не выбирает. Разве что у вас есть какие-то недоброжелатели, которые делают адресный заказ», — объяснил Саркис Шмавонян.

Так, Россия находится в топ-5 стран по числу кибератак с использованием вирусов-шифровальщиков, а 25% россиян хотя бы раз сталкивались с потерей рабочих данных, говорит эксперт. 

Как обезопасить информационные активы организации и обрабатываемые персональные данные граждан

Организационные меры

1. Для начала — ознакомьтесь с требованиями приказа ФСТЭК от 18 февраля 2013 года №21 о составе и содержании организационных и технических мер по обеспечению безопасности персональных данных.
2. Внесите свою организацию в Реестр операторов персональных данных (ПД) Роскомнадзора.
3. Наймите двух сотрудников, которые будут ответственны за обработку и защиту персональных данных.
4. Утвердите перечень лиц, у которых будет допуск к ПД остальных сотрудников.
5. Обеспечьте безопасность помещений, в которых ведется обработка персональных данных.
6. Ознакомьте своих сотрудников с правилами информационной безопасности при работе с ПД. Желательно направьте их на профильные курсы по работе с персональными данными.

Технические меры

1. Используйте двухфакторную аутентификацию для доступа ко всем ресурсам вашей компании.

Уже сегодня обычная двухфакторная аутентификация считается не самым эффективным способом защиты. Дело в том, что злоумышленники научились подделывать сим-карты и обманом получать приходящие в СМС пароли. Попробуйте генерировать одноразовый код в специальных приложениях — например, freeOTP или «Яндекс Ключ». В зависимости от настроек в них каждые 30 или 60 секунд генерируется новый код. 

2. Незамедлительно блокируйте учетные записи уволенных работников со всех ресурсов. В идеале стоит блокировать сотрудников и на время их отпуска.
3. Используйте антивирусную защиту.

Бесплатные антивирусы бесполезны — зачастую ими не проводится постоянный мониторинг и сканирование всех запущенных на устройствах процессов, серфинга в сети и пр. Пользуйтесь только платными антивирусными решениями отечественного производства с расширенным функционалом.

4. Осуществляйте защиту каналов связи и сегментируйте сеть организации. 
5. Проводите резервное копирование физических и виртуальных машин, информационных систем, в которых хранятся и обрабатываются ПД.
6. Применяйте решения класса DLP, защищающие от внутреннего нарушителя, способные заблокировать утечку информации изнутри организации.
7. Убедитесь, что реализованные технические меры соответствуют требованиям к уровню защищенности персональных данных (см. вышеупомянутый приказ ФСТЭК).

DLP (Data Loss Prevention) — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации.

Главное правило: ставьте все под сомнение

Самый высокий уровень результативности демонстрируют атаки методами социальной инженерии совместно с фишинговыми ресурсами и вредоносными приложениями по той причине, что они нацелены на самое слабое звено в любой схеме по защите информации – на человека.

Социальная инженерия — это совокупность психологических методик и приемов для создания условий, при которых возможно манипулирование человеком и его поведением.

Три кита социальной инженерии, которыми пользуются мошенники

1. Достучаться до человека через почту, мессенджер, социальные сети.
2. Вызвать яркую эмоцию. Мошенники знают все наши «грехи»: страх потери, тревога за близких, любовь к призам и так далее.
3. Использовать текущий контекст жизни человека, давить на больное.

Не забывайте, что технологии искусственного интеллекта могут использовать и злоумышленники. Так, чаще всего они используют ИИ для того, чтобы подделать лицо и голос. Это называется дипфейк. При поступлении подозрительных просьб через звонки и аудиовизуальные сообщения в мессенджерах лучше перезвоните контрагенту и задайте уточняющие вопросы. 

Фото: Bermix Studio / Unsplash

Учитесь распознавать фишинговые письма. Вот несколько красных флажков.

1. У письма неизвестный отправитель.
2. В теме письма используется Caps Lock или агрессивный, повелительный тон.
3. Обезличенное обращение в начале письма и обезличенная подпись в конце.
4. Пишущий требует от вас немедленного действия.
5. Пишущий запрашивает ваши личные данные или банковские реквизиты.
6. Письмо содержит подозрительную ссылку или вложение.

Как НКО и жертвователям не попасться на уловки мошенников

Подробнее

Используйте VPN по назначению

Изначально VPN задумывался как средство защиты передаваемых по сети данных, а не для того, чтобы обходить блокировки Роскомнадзора. 

VPN-сервер работает как громоотвод: находится между устройством пользователя и нужным сетевым ресурсом (например, сервером корпоративного файлообмена), не позволяя хакерам добраться до зашифрованной информации. 

«Без VPN вся ваша коммуникация «открыта», а значит, она может быть перехвачена и, как следствие, легко скомпрометирована. При использовании VPN расшифровать ваш трафик будет очень проблематично. При этом категорически не рекомендуется пользоваться иностранными VPN системами, в этом случае ваши личные данные (логины, пароли, банковские данные, персональные данные) оседают на иностранных серверах. Данные системы блокируются Роскомнадзором для предотвращения нарушения отечественного законодательства, защиты чувствительных данных как граждан, так и организаций», — объяснил Саркис. 

О том, как обезопасить свой сайт, какие сервисы помогут выстроить работу и стоит ли опасаться полного отключения от сети, АСИ рассказывало тут.

Smart Social — крупнейшее мероприятие по теме социальной ответственности технологических и IT-компаний. Организаторы: «Мобиус Технологии», Общества с ограниченной ответственностью «Акселератор возможностей» и Инновационного научно-технического центра МГУ «Воробьевы горы».