Посібник із безпеки електронної пошти для малого бізнесу

Більшість підприємців знає, що найчастіше зловмисники отримують доступ до конфіденційної корпоративної інформації та даних саме через електронну пошту. Але наступний факт може вас стривожити: особливо вразливий до атак саме малий бізнес. Зокрема, кількість кібератак на компанії з кількістю співробітників до 250 зросла вдвічі за перші шість місяців минулого року, а збитки в розрахунку на одну атаку склали понад 188 000 доларів США. Загальний вплив кібератак на американську економіку характеризується збитками в 100 мільярдів доларів на рік за оцінками Центру стратегічних і міжнародних досліджень.

Саме тому великий злам корпорації Sony у 2014 році підняв такий шум: кожна організація почала думати, як не попасти в таку саму ситуацію. Здається, очевидно, що якщо така велика компанія з такою кількістю шарів захисту вразлива до кібератаки, то малим організаціям зі значно меншою кількістю ресурсів годі й очікувати чогось хорошого?

Це не зовсім вірно. Існує багато способів захистити свій бізнес за допомогою безпечної електронної пошти. Надійність вашої системи безпеки визначається найслабшою її ланкою, тому секрет полягає в тому, щоб стимулювати співробітників дотримуватися всіх заходів захисту. Ось сім порад, які допоможуть почати впроваджувати захист.

  1. Створення та впровадження плану кібербезпеки має стати пріоритетом номер 1. Звичайно, план зводиться не лише до вибору захищеної служби електронної пошти. Він має також включати стратегії із захисту веб-сайту, платіжних відомостей та іншої інформації, але саме безпека електронної пошти має залишатися ключовою. Федеральна комісія США зі зв’язку створила зручний інструмент – Small Biz Cyber Planner 2.0 – щоб допомогти вам розробити власний план.
  2. Шифрування електронної пошти. Ця можливість допомагає захистити особисті відомості від хакерів, надавши доступ до ваших електронних листів лише певним користувачам. Існує кілька способів шифрування, які відрізняються за рівнем безпеки та зручності. Наприклад, можна завантажити або придбати додаткове програмне забезпечення, яке підключається до наявного клієнта електронної пошти. Також можна інсталювати сертифікат електронної пошти, наприклад PGP (Pretty Good Privacy), за допомогою якого ваші працівники матимуть змогу поділитися відкритим ключем із тими, хто хоче надсилати їм електронні листи, і розшифровувати всі отримані повідомлення за допомогою закритого ключа. Інше просте рішення – це стороння служба електронної пошти з можливістю шифрування.
  1. Використання безпечних паролів. Усі працівники мають використовувати пароль для робочих комп’ютерів і електронної пошти. Такі паролі мають скидатися раз на три місяці. Також на випадок зміни пароля радимо скористатися багатофакторною автентифікацією. Найнадійніші паролі містять принаймні 12 символів, серед яких цифри, знаки пунктуації та малі й великі літери. У якості паролів не слід використовувати щось очевидне (дні народження, імена дітей тощо), але їх має бути легко запам’ятати. Іншими словами, не слід використовувати два найпопулярніші та найгірші паролі 2014 року: "password" і "123456". Також не слід використовувати один і той самий пароль для різних облікових записів або веб-сайтів. Радимо звернути увагу на менеджери паролів або функцію єдиного входу. Серед чудових рішень для малого бізнесу, які дають змогу зберігати коди, банківські рахунки, облікові записи електронної пошти, PIN-коди та інші облікові відомості в єдиному розташуванні, зверніть увагу на CommonKey, LastPass і Password Genie. Як визначити, що ваш пароль дізнався хтось інший? Підпишіться на контрольні служби, наприклад PwnedList або Breach Alarm, які відстежують викрадені паролі та автоматично вас повідомлять, якщо якась із ваших адрес електронної пошти вразлива.
  2. Розумна політика збереження електронної пошти. Попросіть працівників видаляти електронні листи, не пов’язані з роботою, і впровадьте політику забезпечення відповідності. Багато організацій дотримуються 60-90-денного стандарту та автоматично архівують чи остаточно вилучають електронні листи через певний проміжок часу. Іноді люди забувають видаляти електронні листи, які не відповідають цьому стандарту, тому, можливо, доведеться впровадити часті нагадування.
  3. Навчання працівників принципам безпеки електронної пошти. Працівники відіграють ключову роль у захисті даних електронної пошти. Їх слід навчити уникати певної поведінки з електронною поштою та не взаємодіяти з електронними листами певних типів. На жаль, за даними InfoSight практично половина компаній витрачають менше 1 відсотка свого бюджету безпеки на навчальні програми для працівників, які ознайомили б людей із можливими загрозами. Водночас 64 відсотки організацій несли фінансові збитки через порушення умов комп’ютерної безпеки, а 85 відсотків організацій стикалися з комп’ютерними вірусами. Чи не було б розумно інвестувати невелику суму в навчання та попередити значні потенційні збитки через злам системи безпеки?

    Зокрема слід навчити працівників дотримуватися таких правил:

    • не відкривати посилання та вкладення від невідомих відправників;
    • не відповідати на електронні листи, які вимагають змінити пароль та розкрити персональні відомості, яким би офіційним не виглядало джерело листа;
    • постійно оновлювати антивірусні програми та програми для захисту від шпигунського програмного забезпечення на комп’ютерах;
    • шифрувати всі електронні листи з конфіденційними даними, перш ніж надіслати їх;
    • не використовувати корпоративну адресу електронної пошти для особистого листування;
    • не пересилати автоматично корпоративні електронні листи стороннім системам електронної пошти.

    Також деякі організації перевіряють працівників, проводячи спеціальні фішингові кампанії, розсилаючи цільові фішингові листи й імітуючи інші кіберзагрози за допомогою спеціальних програм, а потім винагороджують тих, хто пройшов перевірку.

  4. Суворі вимоги до корпоративного використання мобільних пристроїв. Працюючи з корпоративними мобільними пристроями або користуючись корпоративною електронною поштою на особистих пристроях, працівники мають шифрувати дані, захищати пристрій паролем та інсталювати схвалені програми безпеки, щоб зловмисники не могли отримати неавторизований доступ через загальнодоступні мережі Wi-Fi. Слід використовувати рішення, які мають вбудовані функції для керування мобільними пристроями, наприклад умовний доступ, керування пристроями та вибіркове очищення корпоративних даних.
  5. Уникання стандартних пасток при впровадженні захисту електронної пошти. Окрім усіх уже зазначених моментів із безпекою електронної пошти може виникнути ще багато проблем. Обов’язково врахуйте таке:
    • Шифрування має використовуватися на всіх комп’ютерах, а не на кількох вибраних. Немає жодного сенсу шифрувати електронні листи лише в частині організації.
    • У жодному разі не можна залишати розблоковані комп’ютери без нагляду. Усі комп’ютери мають бути захищені за допомогою пароля, і перш ніж встати з робочого місця, кожен працівник має заблокувати комп’ютер. Це має бути корпоративною політикою. Цілеспрямоване створення політик щодо електронної пошти у вашій організації допоможе уникнути великих проблем. Проводьте для працівників заняття та винагороджуйте їхні внески в розвиток захищеного середовища. Сьогодні ключ до безпеки даних ваших працівників, клієнтів і організації лежить в електронній пошті.

Про автора

Команда Growth Center прагне допомогти вам почати, вести свій бізнес й управляти ним.

Початок роботи з Microsoft 365

Це знайомий вам пакет Office, але з додатковими засобами, які полегшують співпрацю, тож ви встигатимете більше будь-де й будь-коли.

Придбати зараз
Пов’язаний вміст
Business Tech

Що станеться, якщо компанії не захищатимуть свою інтелектуальну власність належним чином

Докладніше
Business Tech

Клієнтські дані: тонка межа між корисною інновацією та порушенням конфіденційності

Докладніше
Business Tech

6 ідеальних для хмари завдань: сховище та багато іншого

Докладніше

Центр знань не є ресурсом, де надаються професійні поради в галузі оподаткування або фінансів. Зв’яжіться зі своїм консультантом, щоб обговорити конкретну ситуацію.