В предыдущей части статьи я описал важность резервного копирования данных и отключения доступа к корпоративным системам для уволенных сотрудников. Однако многие руководители осознают лишь видимые проблемы, возникающие из-за сбоев в IT-системах, не замечая коренные причины. В этой статье мы рассмотрим четыре критически важных риска, которые CEO должен контролировать, чтобы эффективно управлять бизнес-угрозами.
Первый риск связан с ненадежным хранением критически важных паролей, таких как доступ к серверам, сетевым устройствам и основным бизнес-системам (например, «1С» и «CRM»). Эти пароли часто могут храниться в открытых документах на облачных сервисах, таких как «Google Диск» или «OneDrive», доступ к которым недостаточно защищен. Это создает опасность для бизнеса, так как любой злоумышленник — будь то недовольный сотрудник или случайный гость — может легко получить доступ к чувствительной информации.
Возможные последствия этого халатного отношения к безопасности весьма серьезны. Злоумышленник может похитить данные, уничтожить или зашифровать информацию, отключить сервисы или даже установить шпионские программы. Если атака произойдет, восстановление контроля над системами может занять много времени и потребовать значительных финансовых затрат.
Такой доступ к финансам, клиентским базам и персональным данным сотрудников может привести к утечке информации конкурентам или нарушителям. За это бизнес может столкнуться с штрафами от регуляторов, как, например, по закону 152-ФЗ, а также понести значительные репутационные потери. Кроме того, злоумышленники могут оставаться незамеченными слишком долго, постепенно выкачивая данные или подготавливая масштабные атаки, которые могут серьезно повредить бизнесу. С учетом этих угроз крайне важно принимать меры предосторожности и контролировать безопасность доступа к корпоративным данным.
Генеральные директора должны осознавать, что админские пароли представляют собой главный элемент цифровой безопасности компании, и их необходимо хранить с максимальной осторожностью. Важно внедрять и строго следовать политике использования специализированных защищенных хранилищ паролей (менеджеров паролей), таких как «Passwork», «1Password» или «Bitwarden». Контроль доступа к этим хранилищам надо регламентировать, включая обязательное ведение журнала аудита, фиксирующего, кто, когда и к какому паролю получил доступ.
Руководители должны выяснить у IT-отдела, как и где хранятся пароли от критически важных систем — доменов, серверов, облачной инфраструктуры или бухгалтерских программ. Если в ответе звучат слова «файл», «Excel» или «стикер», это сигнализирует о высоком уровне риска.
Также стоит отметить, что сотрудники, не относящиеся к IT-подразделению, зачастую получают административные права на свои рабочие места. Это может происходить по разным причинам — для установки программ или из-за удобства в работе. Однако такая практика существенно увеличивает уязвимость. Вредоносные программы, запущенные под учетной записью с админскими правами, могут беспрепятственно атаковать систему, отключать защиту и заражать другие компьютеры и серверы. Одна такая станция в состоянии парализовать работу компании за считанные минуты. Шифровальщики особенно активны в подобных сценариях. Кроме того, сотрудники могут случайно установить нелицензионный софт, что приводит к юридическим последствиям, или ПО с уязвимостями, создавая дополнительные риски безопасности.
Важнейшим принципом, который должны следовать руководители, является принцип минимальных привилегий, который служит основой для обеспечения IT-безопасности.
Правила доступа к ресурсам компании должны быть строго регламентированы — у сотрудников должно быть только то количество прав, которое необходимо для выполнения их задач. Административные права должны быть закреплены исключительно за IT-специалистами, которые используют их для настройки и обслуживания систем под своими учетными записями. Обычным пользователям достаточно иметь права стандартного пользователя или, в редких случаях, опытного пользователя, с соблюдением осторожности.
Это не просто мера предосторожности, а основа цифровой безопасности, уменьшающая риски. Необходимо провести проверку: сколько сотрудников, не являющихся частью IT-отдела, имеют права администраторов на своих компьютерах? Если большинство или почти все отвечают на этот вопрос утвердительно, это сигнализирует о высоких рисках для бизнеса.
Одной из основных проблем является отсутствие эффективной системы мониторинга ключевых компонентов IT-инфраструктуры, таких как серверы, дисковые массивы, сетевое оборудование и важные сервисы, например, «1С» или почтовые системы. Даже если такая система существует, она может быть неправильно настроена и не отслеживать критичные метрики, предоставляя слишком много ложных срабатываний.
Также может оказаться, что сотрудники игнорируют предупреждения мониторинга, что приводит к отсутствию реакции на возникающие проблемы. Например, если жесткий диск сервера «1С» заполняется на 100% в период закрытия квартала или при массовых отгрузках, это может вызвать падение сервиса, что, в свою очередь, приводит к остановке всех бизнес-процессов — бухгалтерии, продаж и складского учета.
Простой в такие «горячие» периоды влечет за собой значительные финансовые потери. Аналогичная ситуация происходит, когда диск начинает выдавать ошибки, однако предупреждения остаются без внимания месяцами. В результате такой подход может закончиться полной остановкой работы и потерей данных, что приводит к еще более длительным простоям и убыткам.
Перегрузка серверов баз данных и падение их производительности зачастую приводят к серьезным проблемам в компании. Пользователи испытывают трудности в работе, возникают ситуации, когда сделки срываются из-за недоступности ресурсов. Кроме того, критическое сетевое оборудование может перегреваться или терять свое подключение, что оставляет офис или филиал без доступа к интернету и внутренним системам.
Не менее тревожной является ситуация, когда сервер резервного копирования прекращает свою работу, и это обнаруживается только во время восстановления после аварии. В такой ситуации CEO фирмы должны осознать важность мониторинга IT-инфраструктуры как ключевого элемента управления бизнесом. Отсутствие эффективной системы мониторинга приводит к ситуации, когда проблемы обнаруживаются уже после того, как они вызывают серьезные последствия.
Рекомендуется внедрение и корректная настройка систем мониторинга, таких как «Zabbix», «Prometheus» с «Grafana», «PRTG» или облачные решения. Важно также определить критически важные метрики: загрузку CPU и RAM, свободное место на дисках, статус сервисов и сетевую доступность. Настройка своевременных уведомлений для IT-специалистов, а также эскалации случаев бездействия также крайне важна.
Задайте своим сотрудникам вопрос о том, как быстро они оповестят об ошибках. Если на сервере «1С» закончится место на диске или выйдет из строя сетевой коммутатор, как быстро об этом узнают ответственные лица? Если ответ будет «не сразу» или «не знаем», то значит, у вас нет эффективного мониторинга.
Кроме того, важно обратить внимание на защиту корпоративной сети Wi-Fi: она не должна быть открытой для всех или использовать слишком слабые пароли.
Основная проблема возникает из-за отсутствия сетевой сегментации, когда устройства, такие как рабочие станции бухгалтерии, сервера (например, «1С») и файловые хранилища, находятся в одной сети с внешними пользователями. Это создает идеальные условия для злоумышленников. Люди, находящиеся в диапазоне Wi-Fi, от сотрудников соседних компаний до случайных прохожих, могут подключиться к внутренней сети без необходимости взлома.
С такой открытой сетью злоумышленник может: сканировать устройства на наличие уязвимостей (старые принтеры, незащищенные ПК), перехватывать незашифрованный трафик, получая доступ к конфиденциальным данным, заражать сети вирусами и шифровальщиками, а также пытаться атаковать критические системы (например, «1С», CRM).
Если злоумышленник получает доступ через уязвимое устройство, он может перемещаться по сети в поисках административного доступа ко всей инфраструктуре. Поэтому важнейшим шагом в защите данных является обеспечение безопасного доступа Wi-Fi с использованием сложных паролей (рекомендуется WPA2/WPA3 Enterprise) и строгая сетевая сегментация.
Это включает создание изолированной гостевой сети, которая предоставляет доступ только к интернету, а также изоляцию критичных систем в защищенных сегментах сети (VLAN). Задача бизнеса — не только обеспечить легкость доступа для пользователей, но и принять все меры для защиты корпоративного периметра.
Для быстрой проверки доступности корпоративного Wi-Fi откройте настройки беспроводной сети на телефоне рядом с офисом. Если вы видите открытую сеть с названием вашей компании, это представляет собой серьезную уязвимость. Описанные риски не являются вымышленными; они представляют собой реальные угрозы для бизнеса, включая потенциальное исчезновение компании в случае катастрофы, например, пожара без резервных копий.
Не требуется глубокого понимания RAID-массивов или настройки VLAN, но важно осознавать размер угроз и их влияние на бизнес. Часто IT-служба успокаивает, утверждая, что все в порядке, однако многие уязвимости становятся видимыми только при возникновении аварий.
Решение заключается в проведении стратегического IT-аудита, который акцентирует внимание на бизнес-рисках. Это не просто технический осмотр, а прикладной аудит, говорящий на языке бизнеса. Его главная цель — выявление «горячих точек» и их оценка с точки зрения угроз для вашей компании.
Регулярный IT-аудит (не реже, чем раз в 1-2 года) — это необходимая стратегическая инвестиция в безопасность и устойчивость бизнеса, а не просто статья расходов. Это инструмент, который помогает управлять IT-рисками, переводя технические угрозы в понятные бизнес-параметры и позволяя принимать взвешенные решения, защищающие ценности вашей компании, такие как данные и репутация.
Дизайн и поддержка играют ключевую роль в успешной реализации крупных проектов для крупных корпораций, о чем свидетельствует опыт Redis Agency с такими компаниями, как «Яндекс», «Купер» и «Самокат». Часто организации располагают надежной командой дизайна, которая успешно справляется с обычными задачами. Однако, когда возникает нестандартная задача, команда может столкнуться с трудностями. Результаты могут оказаться неудачными, и это приводит к повторяющимся итерациям без успешного исхода.
Важно отметить, что IT-инфраструктура является жизненно важной частью любого бизнеса, часто недооцененной СЕО. Многие руководители полагаются на специалистов по технологиям, не принимая участия в их работе, что может привести к различным проблемам, таким как утечки данных или сбои в работе системы. Ошибки в управлении IT могут обернуться серьезными последствиями для бизнеса.
Чтобы избежать рисков и сохранить контроль над бизнес-процессами, необходима внимательность к деталям в управлении дизайн-процессами и техподдержкой. Корпорациям следует выходить за рамки привычного и прислушиваться к сигналам, которые могут указывать на проблему.
Руководители часто видят только результаты – сбои и неполадки, в то время как жизненно важные причины остаются скрытыми. Незнание о критически опасных уязвимостях может стать фатальным для бизнеса, если не предпринимать активных мер по их предотвращению. Как показал исторический опыт, игнорирование технологий может обернуться массовыми волнениями. В современном контексте важно не допускать повторения таких ошибок, обеспечивая активное участие в управлении как дизайн-процессами, так и IT-инфраструктурой.
В современном бизнесе процесс цифровизации и автоматизации стал необходимостью, однако сотрудники зачастую сопротивляются изменениям, fearing за свою занятость. Рассмотрим ситуацию аналогично кораблю, где капитан (руководитель) считает, что все под контролем, в то время как команда продолжает выполнять рутинные задачи, игнорируя потенциальные опасности, такие как производственные аварии. За многими предприятиями скрываются проблемы, о которых не принято говорить.
Мой опыт работы в сфере IT-аутсорсинга показал, что кибератаки не ограничиваются крупными корпорациями. В последние годы малый бизнес стал частой мишенью для взломов, утечек данных и DDoS атак. Это происходит в крупных городах, между ресторанами, магазинами и стартапами. Успех в бизнесе требует от руководителей более проактивного подхода к безопасности и защите данных.
Как показывает исследование консалтинговой компании «Arthur D. Little», телеком-операторы могут сократить свои IT-затраты на 20% без ущерба для качества услуг. Данный факт побуждает к поиску эффективных решений в условиях жесткой конкуренции.
Конкретные шаги и инструменты для достижения этого могут быть разными, включая поддержку и дизайн проектов. Например, у компаний, как «Redis Agency», есть практический опыт работы с крупными заказчиками, такими как «Яндекс», что помогает наладить успешное выполнение нестандартных задач.
Основной проблемой в сфере кибербезопасности становится доступ сотрудников к данным. Часто уязвимость обусловлена человеческим фактором: недостатком знаний, халатностью или невнимательностью. Поэтому одной из задач руководителей и IT-специалистов является минимизация рисков, связанными с доступом к информации. Обеспечение надлежащей безопасности данных — это не просто защита от внешних угроз, но и работа с внутренними процессами и обучением персонала для построения более безопасного и эффективного бизнеса.
