Что нужно знать, чтобы информация о ваших активах не стала достоянием общественности
Последние недели новостные ленты мира сотрясают детали очередной утечки данных из офшорных компаний, раскрывающей счета, богатства, суммы переводов и имена владельцев
Увы, талантливые люди талантливы далеко не во всем, и, если кто-то умеет хорошо управлять деньгами, не факт, что он сумеет защитить конфиденциальность ваших активов. Причина тому – сфокусированность на основной задаче, возрастная специфика (хорошим юристам, финансистам, как правило, за пятьдесят, и в ИТ они часто не разбираются), делегирование непрофильных задач и наем на исполнительский уровень не осведомленного о данных проблемах персонала. В лучшем же случае – набор не практических, а формальных требований к защите.
Поэтому вам придется позаботиться об этом самим, а лучше всего – поручить контроль за кибербезопасностью партнеров собственной службе безопасности. Сделайте такой подход к ИБ стандартом, выполнять который для компании, управляющей вашими активами, будет так же обязательно, как и соблюдать норму прибыли.
Какие ошибки с высокой степенью вероятности совершат ваши партнеры и как вы можете это предотвратить?
1. Установят простые пароли к информационным системам и устройствам.
Задайте жесткие правила к парольной политике ваших трасти. Должны быть сложные пароли, содержащие 10–16 символов, заглавные и строчные буквы, специальные символы (то, что расположено вторым регистром на цифровой клавиатуре). Пароли необходимо менять регулярно (не реже раза в месяц), ни в коем случае не сохранять на устройствах, не хранить записанными в электронном виде.
2. Выкачают резервные копии в icloud или другие облака производителей устройств.
Активная маркетинговая и экосистемная политика вендоров привела к тому, что облако данных производителя мобильного устройства – самое простое место, куда бездумно копируются файлы, данные переписок, скриншоты, фото и т. д. Но именно эти источники легче всего взломать (пароль к icloud часто делают очень простым) и получить их содержимое. Запретите вашим партнерам синхронизировать устройства в облака производителя, как и в принципе делать резервные копии куда-то, кроме защищенного ЦОД через корпоративную сеть.
3. Перешлют важные данные через обычные мессенджеры.
Установите стандартом использования для партнеров платные шифрованные мессенджеры (например, threema), уберите синхронизацию контактов, не сохраняйте в адресной книге имена клиентов впрямую, не кодированно, не разрешайте открывать мобильные мессенджеры на рабочих компьютерах вне мобильных устройств.
4. Откроют секретные документы или данные об активах в незащищенных публичных сетях.
Установите стандартом для мобильных устройств ваших партнеров включение технологий VPN (платных) по умолчанию со стартом устройства, запретите им использовать публичный wi-fi (только интернет мобильного оператора).
5. Позволят сотрудникам иметь с их персональных устройств доступ к вашим данным и перепискам.
Не экономьте на оснащении ваших партнеров, сделайте так, чтобы каждый сотрудник, имеющий доступ к данным о ваших активах, имел бы корпоративное рабочее устройство (ноутбук и смартфон) – зашифрованное, с установленным антивирусом (платным, регулярно обновляющимся), системой DLP (защита от утечек данных), VPN, а также средствами MDM, позволяющими оперативно найти и удалить данные с устройства.
О чем еще вам следует позаботиться вместе с вашим партнером?
- Регулярная проверка персонала на благонадежность (полиграф), лояльность (тайный покупатель данных якобы от имени СМИ, мониторинг социальных сетей).
- Постоянное повышение киберграмотности персонала без исключений, от управляющих вашими финансами старших партнеров до секретарей и ассистентов компании.
- Мониторинг службой ИБ или вашими корпоративными ИБ-поставщиками темных сегментов сети на предмет потенциальных утечек от ваших партнеров.
