Профессиональное IT-сопровождение +7 (4012) 99-48-28

Информационная безопасность

Информационная безопасность для бизнеса — это контроль доступов, удалённого доступа, резервного копирования, учётных записей и технических уязвимостей, которые могут привести к утечке данных, простою или внешнему проникновению. В реальной работе критичные инциденты чаще возникают из-за организационных и технических недочётов: избыточных прав доступа, отсутствия контроля за выносом данных, несвоевременного отключения учётных записей, открытых наружу сервисов и неправильно выстроенного резервного копирования.

Ключевые риски, которые мы видим на практике

  • Вынос данных на USB-носители. Клиентские базы, переписки, коммерческие документы и архивы почты могут быть скопированы на флешку или внешний диск за несколько минут, если на рабочих местах нет контроля носителей и организационных ограничений.
  • Несвоевременно отключённые сотрудники. После увольнения у человека нередко остаются доступы к почте, VPN, CRM, сетевым папкам, сервис-деску и внутренним системам. Это создаёт прямой риск утечки данных и несанкционированных действий.
  • Несистемно выстроенная матрица доступов к общим папкам. Общие папки и сервисы годами открываются «на всякий случай», права накапливаются, и в итоге сотрудники видят больше, чем требуется для их функций. Это упрощает как случайный, так и умышленный вынос информации.
  • Избыточные административные права на пользовательских компьютерах. Когда сотрудник может отключать защиту, ставить стороннее или пиратское ПО и менять системные настройки, риск заражения, утечки и юридических проблем резко возрастает.
  • Несвоевременная смена паролей. Старые пароли уволенных сотрудников или общих учётных записей нередко продолжают работать месяцами и сохраняют несанкционированный доступ к почте, облакам, VPN и внутренним системам.
  • Отсутствие резервного копирования. Если почта, файлы, базы и серверы не резервируются регулярно, один отказ диска или ошибка администратора может привести к потере критичных данных за годы.
  • Отсутствие контроля состояния критичных камер и оборудования. Если видеонаблюдение, регистраторы и критичные устройства никто не мониторит, отказ может выясниться только после инцидента, когда запись уже требуется, а её нет.
  • Физически и морально устаревшая инфраструктура. Старые серверы и сервисы без мониторинга, обслуживания и плана замены создают риск простоя и безвозвратной потери информации.

Что входит в аудит информационной безопасности

  • проверка текущих прав доступа к сетевым папкам, сервисам, почте и удалённым подключениям;
  • анализ увольнения и перевода сотрудников: как отключаются учётные записи, доступы и устройства;
  • оценка политики использования USB-носителей, внешних дисков и личных устройств;
  • проверка резервного копирования: что именно копируется, как часто, куда и можно ли реально восстановить данные;
  • оценка защищённости почты, рабочих станций, серверов и критичных сервисов;
  • проверка схемы прав на пользовательских ПК: где выданы админские права и чем это грозит;
  • оценка политики смены паролей и актуальности доступов у сотрудников, подрядчиков и общих учётных записей;
  • проверка мониторинга критичных камер, регистраторов и других важных узлов инфраструктуры;
  • подготовка приоритетных рекомендаций: что нужно закрыть срочно, что надо навести в порядок организационно, а что требует технического проекта.

Ниже приведены типовые ситуации, с которыми бизнес сталкивается на практике. Они показательны тем, что причиной инцидента чаще становится не «сложная кибератака», а сочетание неверных настроек, отсутствия контроля и несвоевременно принятых организационных решений.

Кейс 1. Сотрудник уволился и забрал клиентскую базу через почтовый архив

В одной из компаний сотрудник перед увольнением создал локальную резервную копию всей почты из Thunderbird и без препятствий скопировал её на внешний USB-диск, просто подключив его к рабочему компьютеру. После увольнения выяснилось, что он открыл организацию с аналогичными услугами. Имея на руках переписку и контакты клиентов, он фактически увёл часть клиентской базы и начал использовать её в интересах нового бизнеса.

Такой сценарий обычно возможен не из-за «хакерской атаки», а из-за отсутствия базового контроля носителей, слабой организации прав доступа и отсутствия правил по локальному хранению корпоративной переписки.

Кейс 2. Компания потеряла переписку за несколько лет из-за старого почтового сервера

В другой организации почта работала на собственном очень старом физическом сервере. Резервное копирование не выполнялось ни вручную, ни автоматически. Когда вышел из строя жёсткий диск, компания лишилась переписки и писем за несколько лет. Для бизнеса это означало потерю истории договорённостей, документов, клиентских коммуникаций и важных рабочих деталей, которые невозможно было восстановить.

Подобные истории происходят там, где безопасность воспринимается как второстепенная нагрузка, а не как защита денег, отношений с клиентами и накопленных данных.

Кейс 3. Шифровальщик зашифровал общий файловый сервер и базу 1С

В одной компании на общем файловом сервере всем сотрудникам был выдан полный доступ почти ко всем папкам. На этом же сервере находилась файловая база 1С, также с максимально широкими правами. Одна из машин в локальной сети была заражена шифровальщиком, после чего были зашифрованы примерно 4 ТБ файлов: промышленные чертежи, важные расчёты, рабочие документы и сама база 1С.

Автоматическое резервное копирование не было настроено. Штатный администратор из-за постоянной загрузки выполнял резервное копирование вручную примерно раз в месяц. В результате организация потеряла почти месяц работы. Это тот случай, где даже антивирус не гарантирует спасение: ключевыми проблемами были не только вредоносное ПО, но и неправильные права доступа, а также отсутствие корректно выстроенной схемы резервного копирования.

Кейс 4. Пропажа оборудования на складе, которую нельзя было подтвердить по видео

На складе промышленного оборудования одна из камер видеонаблюдения была отключена. Систему просматривали только по заявке или уже после инцидента, а постоянного контроля работоспособности не было. Видеорегистратор находился в подвальном помещении и сигнализировал о проблеме, однако это осталось без реакции.

Когда вскрылась пропажа дорогого оборудования, попытались поднять запись с нужной камеры. Оказалось, что она не работала уже около полутора месяцев. Не было ни сигнализации, ни уведомления хотя бы на почту руководителю. Такие ситуации показывают, зачем нужен мониторинг: он должен сообщать не только о серверах, но и о критичных камерах, регистраторах и других узлах, отказ которых становится проблемой только постфактум.

Кейс 5. Админские права на пользовательском компьютере привели к заражению

На одном из пользовательских компьютеров сотруднику были оставлены полноценные административные права. Он самостоятельно устанавливал стороннее и пиратское ПО, отключал антивирус и менял системные настройки. В какой-то момент при установке такого программного обеспечения машина была заражена вредоносным ПО. Хорошо, что инцидент заметили вовремя и начали разбираться до того, как заражение успело распространиться дальше.

В процессе выяснилось и использование пиратского программного обеспечения. Если бы в этот момент пришла проверка со стороны правоохранительных или контролирующих органов, последствия были бы неприятными и для руководства, и для самого сотрудника. Вывод здесь простой: пользователю нужны права пользователя, а не администратора, а контроль учётных записей и политики установки ПО должны быть настроены заранее.

Кейс 6. После увольнения сотрудник продолжал писать клиентам от лица компании

В одной компании после увольнения сотрудника никто не заблокировал его учётную запись и не сменил пароль от корпоративной почты. Формально человек уже не работал в организации, но доступ к ящику у него сохранялся. Через некоторое время выяснилось, что он уже работает у конкурента и продолжает переписываться с клиентами от лица прежней компании, используя старую почту и накопленную историю общения.

Такой сценарий опасен не только утечкой контактов и коммерческой информации. Он бьёт по репутации, вводит клиентов в заблуждение и позволяет бывшему сотруднику использовать доверие к бренду уже в интересах другой компании. Проблема здесь не в сложной атаке, а в элементарной дисциплине: учётные записи уволенных сотрудников должны блокироваться сразу, а пароли и связанные доступы — меняться без задержек.

Кейс 7. Проброшенный порт RDP открыл доступ не только сотруднику, но и хакерам

В одной компании сотруднику на удалённой работе требовалось подключаться к своему рабочему компьютеру. Штатный системный администратор, не имея корректно выстроенной схемы удалённого доступа, открыл наружу порт RDP на маршрутизаторе, чтобы удалённый рабочий стол был доступен через интернет напрямую. Формально задача сотрудника была решена, но вместе с ним доступ к этому порту получили и все, кто сканирует интернет в поисках открытого RDP.

Такие настройки быстро попадают в поле зрения злоумышленников: начинаются переборы паролей, попытки входа, эксплуатация старых уязвимостей и дальнейшее движение внутрь сети. В итоге бизнес рискует не только конкретным компьютером, но и всей внутренней инфраструктурой. Корректный удалённый доступ строится не через открытый RDP-порт в интернет, а через защищённую схему: VPN, шлюз, сегментацию, ограничения по доступу и мониторинг попыток подключения.

Что получает руководитель по итогам

  • понятную картину слабых мест без технического тумана и формальных отчётов ради отчёта;
  • список реальных рисков с объяснением, как они могут повлиять на деньги, данные, процессы и репутацию компании;
  • приоритетный план действий: что необходимо закрыть немедленно, а что можно реализовывать поэтапно;
  • основу для наведения порядка в доступах, резервном копировании, увольнении сотрудников, защите рабочих мест и организации удалённого доступа.

Практически это направление тесно связано с услугами IT-аутсорсинг, Резервное копирование и восстановление и со страницей Как мы работаем, где раскрыт порядок сопровождения, эскалации и контроля изменений.

Для камер, резервного копирования и других критичных узлов инфраструктуры мы также используем Мониторинг 24/7, чтобы проблемы не выяснялись только после инцидента.