-
31 совет по кибербезопасности Относитесь внимательно к информации, которую вы публикуете о себе в сети. Эта информация может быть использована для социальной инженерии, шантажа и взлома.
- Держите на контроле способы сбора и хранения информации для вас и вашего бизнеса. Если эта информация недостаточно защищена, она может быть использована против вас.
- Используйте комбинацию проверки подлинности как в своих системах, так и на сторонних сайтах. Почта + телефон + QR код + специальный код безопасности + цифровой сертификат + сканер отпечатка пальца и так далее. Желательно не менее 2 способов проверки личности (multi-factor authentification, MFA).
- Не доверяйте сайтам, использующим HTTP протокол. Если у вас есть сайт, обеспечьте его сертификатом SSL для работы по HTTPS (кстати, Let’s Encrypt объявили о поддержке wildcard сертификатов).
- Используйте сложные пароли. Для разных сервисов используйте разные пароли. Как вариант, можно пользоваться мнемоническими техниками для запоминания паролей.
- Постоянно следите за обновлениями вашей операционной системы (никогда не отключайте обновление), обновляйте драйвера маршрутизаторов и ваше программное обеспечение.
- Делайте резервные копии ваших данных, можно использовать резервное хранение данных в защищенном облаке.
- Обеспечьте наличие сетевого щита (брандмауэра) на физическом или программном уровне.
- Не разрешайте сотрудникам использовать личные телефоны для ведения бизнеса. Только служебные телефоны, с политикой безопасности.
- Создайте стратегию реагирования на киберинциденты. Это снизит влияние на вас киберрисков.
- Нужны четкие правила хранения паролей для себя и сотрудников. Не писать пароли так, чтобы их мог увидеть кто-то еще. Не передавать пароли другим пользователям. Пользоваться правилом 5 для создания паролей.
- Всегда проверяйте адресную строку браузера, чтобы не стать жертвой фишинговой атаки.
- Используйте решения для безопасной почты, например PDD от Яндекса. Это позволит пропускать вашу почту через более качественные сервисы проверки Yandex-а.
- Постоянно проходите тренинги по кибербезопасности.
- Для своей компании проводите тестовые фишинговые атаки, путем отправки фишинговых писем. Это приучит сотрудников к более тщательной проверке почты.
- Создайте группу реагирования на киберинцидент, которая будет действовать согласно пункта 10 и назначьте ответственных лиц.
- Постоянно проводите анализ возможных киберрисков. Кибераудит позволит выявить возможные инсайдерские проблемы.
- Обеспечьте план реагирования на кибератаку, например DDoS.
- Если в законодательстве или регламенте вашей отрасли существует порядок действий, на случай успешного кибиринцидента, отработайте порядок уведомления соответствующих органов.
- Информируйте сотрудников о произошедших киберинцидентах и проводите подробный анализ произошедшего, что надо сделать чтобы подобного не происходило.
- Учитесь на ошибках, не только своих, но и чужих. Постоянно мониторьте специализированные порталы, чтобы узнать о новой уязвимости или утечке и предупредить ее у себя.
- Никогда не думайте что вы в безопасности на 100%. Это иллюзия. Всегда существует вероятность киберриска!
- Застрахуйтесь от киберрисков. Обычное страхование не покроет ваших убытков, используйте киберстрахование. Киберстраховка уже стала появляться у отечественных страховых компаний.
- Идентифицируйте каждое устройство в вашей сети. С распространением IoT (интернета вещей), это могут быть и наручные смарт часы и система управления умным домом.
- Убедитесь что вся ваша инфраструктура защищена согласна пункта 3.
- Используется труд «белых хакеров» и программы Bug Bounty (деньги за найденные уязвимости).
- Знайте какие данные, куда и в каком виде вы отправляете и принимаете. Данных становится все больше, управлять ими все сложнее, лучше иметь четко расписанную структуру.
- Используйте защищенные облака как для хранения данных, так и для вашей инфраструктуры.
- Убедитесь что ваша сеть достаточно сегментирована, чтобы киберинцидент на одном ее узле не стал фатальным для всей структуры.
- Используйте базовые принципы для кибербезопасности в вашей отрасли. Например NIST для энергетического сектора.
- Помните и используйте все перечисленные правила и не ленитесь добавлять новые, если это будет необходимо!