Обновена на 07.09.2022 от Questo
Големите компании инвестират все повече пари в киберсигурност. Малките бизнеси и техните изтънели бюджети често нямат такава възможност.
Не не обходимо да хвърляте купища пари, за да предпазите бизнеса си от киберзаплахи. В тази статия ще разгледаме няколко решения за киберсигурност за малка фирма, които ще ви струват точно нула лева.
Те ще ви помогнат да положите основите на вашата стратегия за киберзащита.
Над 95% от малките предприятия в България (с до 50 служители) използват интернет според данните на НСИ. Всички те са застрашени от кибератаки. Но за разлика от големите компании, малките бизнеси все още неглижират опасността от компютърни атаки.
Киберсигурност за малка фирма: поставяне на основите
Киберсигурността е засичане на заплахи с изкуствен интелект и сложни алгоритми за криптиране на информацията. Но тя е и простички неща като чести ъпдейти или подробен отчет за наличните устройства в офиса.
Съветите в тази статия са съгласувани с инструкциите на Global Cyber Alliance, неправителствена органзиация, която се бори със заплахите в интернет. Всички посочени инструменти са безплатни. Разбира се, ще трябва да отделите времеви ресурс, за да ги използвате, както и да натрупате експертиза, за да научите как да ги използвате правилно.
Да започваме.
1. Опишете всички устройства и софтуер
Това включва персонални компютри, смартфони, рутери, сървъри: всичко, което е свързано към корпотативната мрежа.
Опишете наличния софтуер: каква операционна система използват устройствата, какви програми са инсталирани на тях, версиите на софтуера, номера на лицензи, кога са купени… Не е необходимо да инвестирате в софтуер за това, може да го направите и в екселска таблица.
Използвайте безплатната версия на Fing: софтуер, който анализира офисната мрежа, открива всички свързани към нея устройства, следи скоростта на интернет и за необичайни явления в мрежата. Fing ви известява, когато засече съмнителни събития във вътрешната мрежа.
2. Криптирайте данните си
Ще ви трябват софтуер за криптиране и VPN.
Софтуерът за криптиране прави информацията, с която работите, нечетима за външни лица. Това се оказва полезно, когато някой открадне тази информация и се опита да я разчете.
VPN (частна виртуална мрежа) криптира интернет трафика ви и го скрива от останалите, включително и от интернет доставчика ви. Иначе казано: софтуерът за криптиране криптира данните ви докато са на устройството, а VPN: докато пътуват от едно устройство към друго.
Твърдите дискове на компютрите в офиса може да криптирате с BitLocker, който е включен в новите версии на Windows. Ако сте с Mac, използвайте FileVault.
С BitLocker може да криптирате и други физически носители като флашки, които имат неприятното свойство да се губят по най-различни публични места и така да създадат риск за фирмените данни.
Повечето софтуери за виртуална частна мрежа са платени, но ProtonVPN е прилично безплатно решение.
3. Проверете сигурността на уебсайта
Ако имате уебсайт, тествайте сигурността му с Immuniweb. Тестът е уеб базиран, отнема около десет минути и не е необходима регистрация.
С него ще проверите дали сайтът ви има уязвимости, през които могат да изтекат данни. Ако е направен с WordPress, каквито са много сайтове на малки бизнеси, тестът ще провери и за уязвими плъгини. Случва се платформата, с която е изграден сайта, да е отлично конфигурирана, но някой от плъгините да издъни всичко.
Тестът прави и GDPR проверка: доколко сайтът ви е съобразен с европейската директива за защита на личните данни.
Ако още нямате HTTPS на сайта, сложете си. Можете да го направите безплатно с Let’s Encrypt.
HTTPS ви защитава от “подслушване” на трафика към сайта. Най-простият пример: ако сайтът ви използва система за достъп с потребителски имена и пароли, злонамерено лице, което е вързано към вашата WiFi мрежа, може да види какви пароли въвеждате.
По-подробно обяснение за проблемите, произхождащи от липсата на HTTPS, може да прочетете в тази стара, но златна статия за сайта на Висшия съдебен съвет.
HTTPS решава и друг проблем: браузърите вече няма да маркират сайта ви като опасен. Лепването на подобен етикет не е добре за репутацията, нали?
4. Правете редовни ъпдейти на софтуера
За малките бизнес потребители това в повечето случаи означава да не пропускат досадните ъпдейти на Windows. Да, неприятно е и временно забавя ежедневната ви работа пред монитора. Но е важно, за да разполагате с най-новата(и сигурна) версия на операционната система, която използвате.
5. Използвайте силни пароли и двуфакторна автентикация
Добрите пароли са тези, които се отгатват трудно, помнят се лесно и се използват само за един акаунт.
Пример за добра парола: K0smonavtjonglir@sdiNi
Пример за не толкова добра парола: htistova123
Започнете с избора на трудни за отгатване пароли. Ето ви няколко насоки.
Следващата стъпка е да проверите дали паролите, които сте използвали досега, са били хакнати. Ето как да го направите.
Важно е да използвате различни пароли, а не една и съща за много акаунти. Ако ви е трудно да помните всички пароли, може да използвате мениджър за пароли. Това е софтуер, който помни вместо вас всичките ви пароли, а вие трябва да запомните само паролата, с която отключвате мениджъра за пароли.
Bitwarden има безплатна версия за индивидуални потребители, която е подходяща и за малки фирми. Имайте предвид, че мениджърите на пароли понякога ги хакват, а това носи рискове със себе си.
Двуфакторната автентикация предпазва данните ви дори ако някой вече е намерил паролата, с която може да ги достъпи. Може да мислите за двуфакторната автентикация като за втора парола, с която удостоверявате самоличността си.
Има много продукти, които предлагат двуфакторна автентикация, включително и т.нар. донгъли. Но за малка фирма е напълно достатъчно да използвате и Google Authenticator: безплатно мобилно приложение, което защитава акаунтите ви с втора парола, която получавате на телефона си.
А на този адрес може да проверите дали онлайн платформите, които използвате(поща, социални мрежи, платформи за имейл маркетинг и т.н.), предлагат двуфакторна автентикация.
6. Използвайте антивирусен софтуер
Новите версии на Windows са с вградена антивирусна програма Defender. Макар да отнася доста псувни, тя се справя сравнително добре със засичането на вируси.
Други безплатна алтернатива е Avast, за която ще чуете почти толкова много лоши неща, колкото и за Defender. Avast осигурява базова защита от съмнителни файлове, криптовируси и дори предупреждава, ако засече, че данните ви са изтекли в интернет. И двата продукта са нискобюджетно решение, с което да навлезете в сферата на фирмената киберсигурност; но не очаквайте чудеса.
7. Използвайте адблокери
Онлайн рекламите не само забавят интернет скоростта и са досадни. Те могат и да са опасни и да качат зловреден код на компютъра ви.
Адблокерите блокират интернет рекламите. Но не всички адблокери са еднакви. Ето един своеобразен тест драйв на някои от най-добрите адблокери в света.
8. Използвайте софтуер за бекъп
Софтуерът за бекъп регулярно прави копия на данните ви. Това се оказва особено полезно, ако данните ви изчезнат и трябва да ги възстановите.
Новите версии на Windows имат функция за автоматичен бекъп, с която може да възстановите унищожени данни. За съжаление тя не е особено полезна, ако се заразите с криптовирус.
Като алтернатива може да разгледате този списък с безплатни бекъп програми.
9. Защитете имейла си от фалшифициране
Ако общувате с клиентите си чрез имейл адрес от типа moeto-ime@moiat-domain.com, трябва да се предпазите от фалшиви имейли. Зонамерени лица могат да изпращат спам с подател вашия имейл адрес, без дори да влизат в пощенската ви кутия.
DMARC е безплатен протокол за верификация на имейл корекспонденцията. Когато е активиран, той може да отсява спама, идващ от ваше име: така че той никога не достига до пощенските кутии на клиентите ви или който и да е друг.
Ето една история от България, която показва какво може да ви се случи, ако нямате DMARC.
За да проверите дали протоколът е настроен, отворете тази страница и въведете адреса на вашия уебсайт. Ако ви се появи надпис No DMARC record published, сайтът ви няма DMARC.
Повечето хостинг доставчици предлагат безплатен инструмент, с който лесно може да настроите DMARC за вашия сайт. Като алтернатива може да използвате този онлайн инструмент. Той генерира код, който задава DMARC политиката за вашия сайт. Следвайте инструкциите и където не разбирате, оставете избраната по подразбиране опция.
Горепосочените са само отправни точки за изграждане на киберсигурност на малка фирма. Не забравяйте, че експертите инвестират години в обучение и практика, за да се сдобият с някои от ключовите сертификати в индустрията като CISSP. Докато намерите бюджета да плащате на такъв специалист, нищо не ви пречи да започнете да направите пърите стъпки към една по-сигурна киберсреда.