Типичные ошибки стартапов в сфере кибербезопасности
Недочеты в организации системы кибербезопасности, характерные для молодых компаний.
В Интернете можно найти примерно миллион советов о том, как стартапу не прогореть в первый же год. Обычно советчики обращают внимание на вопросы планирования бизнеса и маркетинговой стратегии, привлечения внешних инвестиций. При этом в таких статьях крайне редко рассказывают о проблеме выстраивания системы цифровой безопасности. В то же время отсутствие четкого понимания угроз может стоить стартаперу потенциально успешного бизнеса. Мы решили рассказать о том, откуда ждать ударов и как их предотвратить.
Источники проблем
Типичная история появления стартапа: вам и вашему другу пришла в голову гениальная идея, вы обсудили ее со своим внутренним кругом, собрали группу загоревшихся идеей энтузиастов — команда мечты готова. Примерно таким образом начинались истории Airbnb, Pinterest, Twitter, Uber и множества других знаменитых проектов.
Проблемы наступают, когда стартап переходит от модели «все свои» к выстраиванию рабочих процессов и найму специалистов. В этот момент коллектив единомышленников расширяется и становится группой случайных людей, с разными взглядами на жизнь и жизненным опытом. В таком коллективе у сотрудников может быть очень разное понимание того, какая информация конфиденциальна и как сохранить ее безопасность.
Например, один сотрудник решает, что пароль от хранилища данных лучше всего написать на меловой доске — легко найти, все, кому надо, увидят. А другой выкладывает селфи на фоне этой самой стены в соцсети, рассуждая: «Ну разве кто-то догадается написать важную информацию на доске»? Подобного рода недопонимание — одна из причин провалов молодых стартапов. Проблема решается с помощью развития корпоративной культуры кибербезопасности.
При этом люди, которые приходят работать в стартапы, это часто энтузиасты и авантюристы. Они быстро влюбляются в идею, но так же часто меняют предмет своих интересов и уходят. Кроме того, нередко в современных стартапах изрядная часть сотрудников — IT-специалисты, которые вообще склонны менять работу.
Сочетание этих двух фактов создает интенсивную текучесть кадров. Из-за нее возникает атмосфера, в которой плодятся разнообразные ошибки — стратегические, маркетинговые и ошибки в кибербезопасности. На фоне борьбы за выживание и преуспевание собственного дела легко не увидеть массу потенциальных цифровых опасностей.
Типичные ошибки стартапов в ИБ
Представим ситуацию: вы так увлеклись работой, что и не заметили, как небольшой стартап стал бизнесом. Какие при этом можно совершить ошибки?
Лишние права
Часто при необходимости предоставить сотруднику доступ к кому-то ресурсу или сервису ему сразу выдают права администратора. Человек, который это делает, обычно думает, что проще сразу дать доступ ко всему, не разбираясь в реальных нуждах конкретного сотрудника и его обязанностях. Но чем больше у работника прав, тем больше пространства для ошибки и тем выше цена провала. По уму, каждый участник рабочего процесса должен иметь только те полномочия, которые необходимы для выполнения его обязанностей.
Отсутствие продуманной системы хранения информации
В целом это неполезно для любого бизнеса. Но в стартапе из-за той же текучести кадров вы однажды можете просто не найти контакты подрядчиков или описание каких-то характеристик программ. Скорее всего, оно где-то существует, но вот где именно – тайна за семью печатями. Быстро найти, когда понадобится, вероятно, не получится. Когда-то «тайной» владел первый разработчик, но на этой должности уже дважды сменялись люди.
Забытые пароли
Отдельная история — пароли от аккаунтов в социальных сетях и прочих сервисах. Человек, который заводит где-нибудь новый аккаунт для нужд компании, не задумывается о том, что со временем он уйдет из стартапа. В итоге сотрудник ушел в неизвестном направлении и забрал с собой важную информацию. А скорее — даже не забрал, а просто благополучно забыл, причем вместе с данными от почтового ящика, на который он был зарегистрирован.
Общие пароли
При высокой текучке привлекательно выглядит идея использовать общие аккаунты. Но чем больше людей знают пароль, тем больше шансов, что он утечет. Кроме того, это изрядно затрудняет расследование инцидента. Допустим, выясняется, что кто-то получил доступ к учетной записи. Надо проверить, не был ли пароль перехвачен вредоносной программой. Эксперт начинает выяснять, у кого был доступ к сервису, и тут понимает, что он был у всех!
Пароли в облачных сервисах
Еще одна ошибка, связанная с паролями, — хранить пароли от них в каком-нибудь файле в Google Docs, да еще и доступном по ссылке. Видимое преимущество — очень удобно передавать нужную информацию всем сотрудникам, достаточно закинуть все нужные пароли в один документ и высылать ссылку на него новым сотрудникам. Вот только документы в облаке Google, которые распространяются по ссылке, индексируются поисковиками. Иначе говоря, файл со всеми вашими паролями может попасть в чужие руки.
Отсутствие двухфакторной аутентификации
Часть проблем, связанных с паролями, была бы менее опасной, если бы стартапы не пренебрегали двухфакторной аутентификацией на рабочих аккаунтах. Это позволяет защитить важные данные от различных способов кражи мошенниками, например фишинга. В первую очередь двухэтапную защиту нужно ставить на все сервисы, связанные с финансами, такие как Upwork.
Универсальные советы по профилактике киберугроз
В этом посте мы постарались разобрать набор типичных ошибок молодых стартапов, допускаемых в сфере кибербезопасности. Чтобы их избежать, постарайтесь применить следующие советы в своей компании:
- Основной принцип, которым нужно руководствоваться в вопросе предоставления доступа к ресурсам, это принцип минимальных привилегий. То есть сотрудник должен иметь набор доступов, минимально необходимый для решения рабочих задач.
- Необходимо точно понимать, где и как хранится важная для вашей компании информация и кто имеет к ней доступ. Исходя из этого, нужно выработать общий алгоритм, по которому вы взаимодействуете с новыми сотрудниками, и четко прописать, какие учетные записи необходимо заводить каждому сотруднику, а какие нужны только для определенных ролей.
- Предотвратить опасность помогает развитие в корпоративной культуре понимания основ информационной безопасности. Можно, например, разработать инструкцию по цифровой безопасности для сотрудников, чтобы все правила были на одной странице. В нашем блоге есть пример инструкции по кибербезопасности для новых сотрудников.
- Все пароли необходимо хранить в надежном менеджере. Так сотрудники их не забудут и не потеряют, и меньше шансов, что доступ к ним получит посторонний. Разумно использовать механизмы двухфакторной аутентификации всюду, где только возможно.
- Необходимо приучить своих сотрудников блокировать технику, если они отходят от рабочего места. В маленьких компаниях, где «все свои», это делают крайне редко. Но ведь помимо работников в офисе могут находиться курьеры, клиенты, субподрядчики или соискатели.
- Компьютеры и другие технические ресурсы должны быть защищены от вирусов, троянов и прочих вредоносных программ.