28.11.2020
Як би не поширювалася глобалізація по всьому світу, малий та середній бізнес продовжують успішно існувати та забезпечувати усіма необхідними товарами та послугами споживачів.
Магазини, готелі, ресторани, автозаправки, турагентства – це представники малого та середнього бізнесу, які приймають платежі за товари та послуги за допомогою банківських карток.
За даними компаній Visa та MasterCard більше половини всіх світових транзакцій здійснюються саме у сфері малого та середнього бізнесу. Тому Visa та MasterCard так багато уваги приділяють інформаційній безпеці. З метою підвищення рівня інформаційної безпеки, ці платіжні системи розробляють навчальні курси, надають різноманітні інформаційні матеріали. Ці дії націлені на те, щоб малий та середній бізнес могли уникнути виникнення таких проблем:1. Злом чи проникнення в ІТ-інфраструктуру;2. Витік або крадіжка важливих даних про клієнтів та платежі.
Часто наслідки таких інцидентів недооцінюються власниками або керівниками малого та середнього бізнесу. Лише один злом ІТ-інфраструктури може поставити під серйозну загрозу існування всього бізнесу.
Відомі десятки випадків, коли готель чи магазин були змушені закритися і припинити своє існування лише через те, що дані клієнтів були викрадені хакерами.
Ця стаття призначена не для залякування представників малого та середнього бізнесу, а для того, щоб продемонструвати, наскільки важливим є захист інформації!
Ще трохи статистики. У 2017 році компанія Verizon опублікувала звіт Data Breach Investigations Report (DBIR), який надає результати розслідувань про факти зламування ІТ-інфраструктур різних компаній. Згідно з цим звітом 81% зломів відбувався через використання слабких паролів або через витік інформації про паролі через співробітників компанії.
Ще один цікавий факт із цього ж звіту говорить про те, що 4/5 всіх успішних атак хакерів можна було запобігти завдяки застосуванню суворої політики використання паролів і своєчасному оновленню програмного забезпечення.
Інші джерела доступні в інтернеті надають свою статистику. Найпоширеніший спосіб злому ІТ-інфраструктури невеликих та середніх підприємств – це проникнення хакерів через канали віддаленого доступу до мережі. Зазвичай, такі канали доступу створюються для адміністраторів чи зовнішніх сервісних підприємств.
Дивлячись на цю статистику, природно, виникає питання: яким чином можна захистити малий та середній бізнес від хакерських атак?
Важливо зазначити, що недостатня стурбованість кібербезпекою може призвести до проблем із платіжними системами Visa та MasterCard. Відповідно, високий рівень кібербезпеки ці проблеми виключає.
Експерти нашої компанії виділяють три основні кроки. Впровадивши кожен із них, малий та середній бізнес отримають значне підвищення рівня кібербезпеки.
Крок першийНеобхідно максимально обмежити віддалений доступ до мережі компанії. Якщо такий доступ є вкрай необхідним, то надаватися він повинен лише вузькому колу людей для виконання конкретних робіт і бути відкритим виключно на час цих робіт.
Для перевірки користувачів, які підключаються через віддалений доступ, важливо використовувати засоби двофакторної автентифікації. Таких засобів існує безліч: смарт-карти, USB-ключі або одноразові паролі, що генеруються за допомогою смартфона.
Крок другийВажливо вчасно встановлювати програмне оновлення на всі інформаційні системи. Це так звані латки. Під словом «своєчасно» ми маємо на увазі, що латка має бути встановлена протягом тижня після її випуску виробником програмного забезпечення.
Крок третійОбов'язково впровадити у компанії сувору політику використання паролів. Усі співробітники повинні знати та розуміти важливість вибору складних та унікальних паролів. Не можна використовувати пароль від особистої поштової скриньки. Не рекомендується в паролі використовувати рік народження, ім'я близького родича або кличку домашньої тварини. Довжина пароля повинна становити не менше 8 символів і включати не лише цифри, а ще літери і знаки пунктуації.
Ці три простих кроки дозволять компанії серйозно підвищити захищеність інформації, не лише пов'язаної з використанням платіжних банківських карток, а й інших, критичних для бізнесу, даних.
Кроків усього три, але їх впровадження в бізнес-процеси для дрібних компаній може виявитися складним і нелегко вирішуваним завданням.
Компанія IT Specialist має робочі підходи щодо впровадження цих кроків. Існують готові політики, створено навчальні курси для співробітників, які працюють у сфері малого та середнього бізнесу. Усе це спрямоване на підвищення рівня кібербезпеки різних компаній.
Підвищення кібербезпеки компанії за допомогою цих простих кроків – чудовий фундамент для майбутньої сертифікації за стандартом PCI DSS.
У цій статті ми описали три кроки, які збільшать рівень кібербезпеки невеликої компанії. Залишилося зробити головну справу – почати впроваджувати ці кроки.