Організаційна безпека – це комплексний процес, який враховує потреби, ризики та ресурси організації. У нашій статті ми не можемо врахувати усіх моментів та особливостей щодо захисту організаційних активів. Втім, експерти Лабораторії цифрової безпеки можуть підказати на речі, на які варто звернути увагу, щоб підвищити цифрову безпеку вашої організації.
До Міжнародного дня захисту інформації ми попросили експертку Цифролаби Марʼяну Яцишин підготувати поради, які допоможуть громадським організаціям захисти дані від зливу і налаштувати організаційну цифрову безпеку.
Якщо вашій організації потрібна допомога із захистом організаційних активів, ви стикнулися зі зламом чи блокуванням сервісу – ви можете звернутися за безоплатною допомогою до Лабораторії Цифрової безпеки.
Переважно конфіденційні документи та файли організацій зберігаються у хмарі або/та на пристроях працівників. Досить часто в організацій нема чіткого процесу роботи з документами, що призводить до витоків або втрати. Для того, аби підвищити безпеку даних організації, рекомендуємо визначити:
Де зберігаються важливі файли?
Через неконтрольоване поширення документів, до них можуть отримати доступ зловмисники. Це може призвести до витоку чутливих даних або до втрати документів, тож важливо визначити місце, де зберігаються організаційні файли.
Хто власник?
Якщо ми не знаємо, хто власник документів чи файлів, ми можемо їх втратити.
Хто має доступ?
Доступ до важливих файлів мають мати люди, які із ними працюють. Тоді ми краще зможемо подбати про захист цих файлів або ефективніше реагувати на інциденти із безпекою.
Хто відповідальний за доступи?
Найкраще, коли доступи надає та забирає керівництво організації або керівники відділів, в такому разі організація може забезпечувати контроль доступів.
Хто які права має?
Переважно це стосується документів у хмарних сховищах, де можна надавати різні права доступу. Наприклад, редагування, коментування чи перегляд. Найкращий варіант – це надавати доступ конкретним людям із правами, які їм потрібні для роботи.
<
Якщо організація використовує корпоративні сервіси на кшталт, Google Workspace, Microsoft Teams, Asana чи Slack – це має свої переваги з точки зору безпеки. В таких сервісів є адміністратор, який може створювати акаунти, надавати/забирати доступи, впроваджувати обовʼязкові налаштування – наприклад, обовʼязкова двофакторна автентифікація для усіх користувачів платформи або ж автоматичне вилогінювання щомісяця. Також корпоративні сервіси можуть використовуватися як для зберігання даних, так і для внутрішньої комунікації. Насамперед важливо визначити:
Хто адміністратор корпоративної платформи?
Адміністратор – основний обліковий запис із максимальним доступом до платформи, тому доступ адміністратора мають мати лише довірена людина/люди. Окрім цього, важливо мати додаткового адміністратора, на випадок якщо основний адмін недоступний.
Чи захищений акаунт адміністратора від зламу?
Якщо організація зберігає найважливішу інформацію на корпоративній платформі, важливо розпочати захист з облікового запису адміністратора.
Чи потрібні додаткові налаштування безпеки для користувачів?
Залежно від ризиків організації, важливо вирішити, чи потрібні додаткові налаштування безпеки для працівників чи достатньо захистити лише акаунт адміна або менеджменту.
Чи використовуються в роботі персональні пошти?
Використання особистих пошт додає більше проблем безпеки, адже особисті пошти важче контролювати.
На кого зареєстровано домен та хто його оплачує?
Доменне імʼя повинне бути зареєстроване на організацію. Важливо не забувати вчасно оплачувати домен, адже від нього залежить безперервність роботи організаційних сервісів.
Окрім документів та файлів, для організацій може бути конфіденційною також внутрішня комунікація. Перед тим як перейти до вибору платформи для спілкування насамперед визначаємо свої потреби – це обмін робочими файлами, організаційні чати про те, хто коли приходить в офіс, обговорення поточних завдань тощо.
Наступне на що ми звертаємо увагу – це наскільки чутливою інформацією ви обмінюєтесь із колегами. Наприклад, якщо це переписки із конфіденційною інформацією, розголошення якої матиме серйозні наслідки для організації чи інших людей, використовуйте месенджери із шифруванням із кінця в кінець
Для чатів із конфіденційною інформацією корисна функція автовидалення – переписка автоматично видалятиметься через обраний період (від доби до кількох місяців).
Якщо ви користуєтесь чатами для обговорення поточних завдань, спілкування з колегами та не вбачаєте серйозних наслідків, у випадку якщо хтось отримає до них доступ – ви можете використовувати платформи, які вам зручні.
І найголовніше – який би сервіс ви не обрали, важливо подбати про захист акаунтів від зламу. Особливо важливо налаштувати захист акаунтів адміністраторів групових чатів, адже вони можуть додавати чи забирати доступи, видаляти чати тощо.
Якщо організація активно наповнює сайт, публікує там важливу інформацію, то варто також подбати про безпеку сайту. На що звернути увагу при захисті сайту:
Визначте, хто відповідальний за сайт
Завжди важливо мати людину в організації, яка відповідальна за технічні процеси та доступи. До сайту входить також оплата за хостинг та доменне імʼя, адже це напряму повʼязано із доступністю до сайтів.
Домен та хостинг
Перш ніж запустити сайт, організації потрібно придумати назву домену та придбати її у доменного реєстратора. За домен потрібно регулярно сплачувати, щоб він продовжував працювати. Тут важливі декілька моментів:
- на кого в організації зареєстрований домен та хостинг?
- хто має доступ до панелі керування доменом та хостингом?
- хто і як часто оплачує послугу оренди домену та хостингу?
Чи потрібні резервні копії?
Якщо ваш сайт відіграє роль інформаційного архіву і потрібно будь-що зберегти всю опубліковану інформацію – вам потрібні офлайнові резервні копії. Частота резервного копіювання залежить від інтенсивності наповнення сайту новою інформацією.
Захист від DDoS-атак
Якщо вам важлива постійна доступність вашого сайту, рекомендуємо подбати про захист від DDoS. Такий захист також може налаштувати вебадміністратор.
Захист від зламу
Щоб убезпечити сайт від зламу слід розпочати з аудиту доступів. Окрім цього, акаунти мають бути захищеними надійними паролями – довгими та унікальними.
Оновлення
Сайт може бути скомпрометований через застарілі плагіни чи код. Тому не забувайте регулярно оновлювати сайт та плагіни.
Підтримка
Робота з сайтами вимагає специфічних технічних кваліфікацій. Якщо для вас важлива доступність та захищеність вашого сайту, рекомендуємо долучати технічних спеціалістів або компанії для обслуговування сайту. При виникненні проблем із сайтом технічна підтримка допоможе швидко їх вирішити.
Соцмережі не завжди входять у перелік важливих активів, адже переважно там публікується інформація та нема нічого чутливого. Втім, якщо організації вкладає багато ресурсів у розвиток своїх соцмереж та не хотіла б втратити доступ до них доступ, рекомендуємо подбати про їхній захист.
Визначте людину, яка відповідальна за акаунт/и
Контроль доступів складний процес і без відповідальної людини контролювати доступи складно, а сам процес стає хаотичним.
Доступи
Найкраще, коли доступ до сторінок мають лише люди, які із ними працюють.
Власник
Разом із тим права власності сторінки/каналу має мати хтось із керівництва організації або засновники – навіть якщо вони не займаються соцмережами, адже власники мають найбільше прав.
Адміністратор
Адміністраторами також не мають бути всі – такі права потрібно надавати керівнику чи керівниці комунікаційного відділу або людині, яка найбільше працює зі сторінкою.
Поширення паролів
Якщо йдеться про акаунти зі спільним доступом, постає питання поширення паролів. Насамперед подумайте про кілька варіантів та тестуйте їх. Якщо ви обрали якийсь спосіб і він вам не підходить – ви цілком можете його змінити та пробувати інші.
Налаштування безпеки
Просте правило: ваша сторінка захищена настільки, наскільки захищені акаунти людей, які мають до неї доступ.Пріоритетно захищати акаунти адміністраторів, адже якщо зловмисники отримають до них доступ, то зможуть видалити сторінку або забрати права доступу у решти учасників і додати себе. Якщо це акаунт зі спільним доступом (наприклад, Instagram чи X), варто захистити цей акаунт.
Якщо вашій організації потрібна допомога із захистом організаційних активів, ви стикнулися зі зламом чи блокуванням сервісу – ви можете звернутися за безоплатною допомогою до Лабораторії Цифрової безпеки.
***
Матеріал підготовлено експертами Лабораторії Цифрової безпеки на запит Міжнародного фонду “Відродження”
