Владельцы бизнеса часто уверены: лучше “свой” айтишник сотоварищи, чем люди со стороны. Он рядом, он свой, он под рукой, в офисе. Но так ли это надёжно, безопасно и выгодно, как кажется?
Разберёмся, где заканчивается контроль — и начинается самообман.
А, это лонгрид? мне сразу к выводам:
Безопасность — это не только файерволы и антивирусы. Это способность бизнеса не терять деньги и не останавливаться в самый неподходящий момент.
Кибератаки*: потеря данных и доступа к бухгалтерии, заказам, контрагентам и складу.
Компрометация ключей ЭП или доступов к ЭТП.
Утечка клиентских баз и персональных данных.
Хищения через банковские каналы.
Единая точка отказа — уязвимость всей инфраструктуры.
Потеря возможности восстановить инфраструктуру после сбоя.
Неквалифицированное использование ИИ.
Доступ с личных незащищённых устройств.
А в микробизнесе всё вообще часто строится на доверии и “авось не сломается”. Админов зовут тушить пожар, когда уже случилось ЧП, в режиме скорой помощи.
И если раньше за ИТ-беспорядок расплачивались только деньгами, временем и нервами, репутацией — теперь ещё и государство внимательно следит за нарушениями в области защиты персональных данных, использования электронной подписи и за доступом к информационным системам.
Штрафы, блокировки и уголовные дела — это уже не фантазия, а реальность.
Как будто мало последствий инцидентов, так теперь прилетает ещё и отсюда.
А теперь — то, о чём редко говорят.
Большинство угроз приходит не извне, а изнутри.
Не из “вражеских ботнетов”, а от обычных людей, которым дали слишком много прав.
Классика жанра:
Обидели админа — и он “ушёл, но не совсем”.
Закладка, старый пароль, открытый туннель, забытый доступ к облаку.
Вы этого не увидите, пока не станет поздно.
Бухгалтер забывает поделиться базой 1С в облаке, но находит, кому её показать. Теперь три шкафа первички ждут внесения в базу. Заново.
Менеджер по продажам получает клиентскую базу и секреты воронок, и уходит к конкуренту.
Интегратор оставляет себе удалённый доступ “на всякий случай”.
Неопытный админ удалил старые бэкапы баз 1с. Ну им же уже по три года, зачем они нужны, только место занимают!
Проверить и доказать потом почти невозможно, уж не говоря о компенсации. На практике журналов нет, никто не ограничил доступы и не проверял полномочия. Без процедур, без регламентов и без возможности предъявить претензию.
А как это проявляется на бизнес-платформах?
Маркетплейс — это не просто сайт. Это бизнес-платформа, где всё взаимодействие держится на стабильности и исправности.
И любая ошибка в управлении доступом может стоить месячной выручки.
1. Потеря доступа к кабинету.
Менеджер ушёл, логин на его личной почте, пароль приходит на личный номер.
Рейтинг падает, карточки “нет в наличии”, магазин теряет позиции.
Восстановление займёт изрядное время.
2. Массовое отключение логистики.
Утрачен или намеренно изменён UID API — системы перестают обмениваться заказами.
Сотни невыполненных заказов, блокировка аккаунта, минус рейтинг.
3. Подмена данных и утечка клиентов.
Кандидат в младшие администраторы на испытательном сроке имел доступ к CRM. Ваши клиенты получают рассылки конкурентов.
4. Тихий саботаж.
Бывший сотрудник меняет фото и описание карточек — и площадка отправляет всю тысячу товаров “на модерацию”. Продажи встают.
5. Диверсия.
Бывший сотрудник меняет в ЛК счета, на которые направляется оплата — и компания попадает в эпицентр расследования за финансирование терроризма.
Кто виноват? Никто. Просто “не подумали”.
💬 Безопасность ИТ в МСП — это не про “антивирус”, это в значительной мере про устойчивость к человеческим ошибкам и действиям.
Аутсорс команда подсвечивает и закрывает эти риски, направляя собственника и персонал по отшлифованным сотнями применений регламентам корректного взаимодействия.Когда админ в штате, кажется, что всё под контролем.
Но, когда речь идёт о микро и малом бизнесе — на деле это человек, которого некому контролировать.
Он единственный, кто знает, где хранятся пароли, как устроены резервные копии,
и что нужно нажать, чтобы "всё потухло", и “всё заработало обратно”.
Если он заболеет, уволится или “пропадёт”, бизнес остаётся без инфраструктуры. Документации и автоматизации нет, все процессы в голове одного человека.
У аутсорсеров сотни клиентов, для которых давно выработаны стандарты и решения.
Они работают по соглашениям об уровне обслуживания, фиксируют действия, ведут журналы доступа, заключают соглашения о неразглашении.
Всё прозрачно и воспроизводимо.
Клиент получает не просто специалиста, а систему, в которой предусмотрено всё — от резервирования до уведомлений.
Странно было бы полагать, что МСП нечего терять или нечего бояться. Данные ваших заказчиков, реквизиты доступа, ПДн партнеров и сотрудников – в любой момент доступ к этому может стать не только вашей монополией.
Веерные роботизированные атаки злоумышленников всенаправлены. Но если крупные компании могут выделить серьёзные бюджеты на инфобез, то МСП ограничен в ресурсах, и часто финансирует это важное направление по остаточной стоимости, к сожалению.Не стоит заблуждаться относительно того, что безопасной зоны можно достичь, как оазиса, один раз и навсегда. Эта задача комплексной непрерывной работы. В данном случае защита не сводится к модернизации оборудования или покупке последнего антивируса. Выбрать и внедрить антивирусы и подходящее железо — отлично, но недостаточно. Злоумышленники постоянно совершенствуется, и их методы весьма широки.
Известно, что основная масса штатных администраторов, работающих на малый бизнес, игнорирует задачи информационной безопасности, надеясь на удачу: производит ежедневное взаимодействие от имени привилегированной учётной записи даже там, где это не требуется: как с утра залогинился под самым главным админом, так и весь день бродил под ним по сети.
Справка:
Основной реализованной угрозой в последнее время является захват привилегированных учётных записей и полномочий без ограничений (админских прав) внутри периметра в результате автоматизированных фишинговых атак широкого посева, нацеленных не на конкретную организацию, методами не истинного взлома, но обмана пользователей. Аутсорсеры защищают от этого риска за счёт отказа от постоянного присутствия привилегированных пользователей в контролируемых системах и отсутствия прямого применения таких учётных записей в работе над задачами, которые ставит бизнес клиента.
Обычно также специализированные компании используют продвинутые механики безопасности для доступа к критической инфраструктуре клиента, например — журналы доступа, двухфакторную авторизацию, и прочие важные штуки, о которых директора МСП слышали краем уха, но которые оказывают важнейшее влияние на безопасность и продолжительность работы ИТ процессов без сбоев.
И это только один из штрихов.
Антивирусные программы не являются панацеей, а надёжные пароли – лишь малая часть работы. Мало кто из обычных штатных админов, например, отследил изменения в законах о защите информации и инициировал изменения в процессах.
Давайте посмотрим, как просто и недорого выстраивать систему информационной безопасности предприятия и меры по противодействию киберпреступности с помощью команды внешних специалистов
Аутсорсинговые компании — это не “фрилансеры с флешкой”. Это организации с десятками и сотнями клиентов, которые уже прошли через все типичные проблемы.
🟢 Регламенты, журналы, резервные копии, SLA, NDA, двухфакторная аутентификация.
🟢 Каждый инцидент фиксируется и разбирается.
🟢 Каждый доступ — по заявке и с журналом.
🟢 Отчёты, графики, рекомендации, лучшие практики — для всех клиентов.
Такой подход снижает риски человеческого фактора. Вы не зависите от одного человека — работает команда и процесс.
Особо воодушевленные клиенты могут получить разрешение проверять закрепленный за ними пул сотрудников через свою СБ.Аутсорс дисциплинирует и самого заказчика: владелец видит, сколько инцидентов создают его системы и пользователи, и в какие ресурсы это обходится. Процессы взаимодействия, которые выстраивает аутсорс по отлаженным схемам, не дают растить технический долг, сломя голову носясь от задачи к задаче. Но запараллелить то, что можно — аутсорс позволяет.
Важный плюс - если приоритезация выстроена разумно, аутсорс команда не склоняется под давлением менеджеров среднего звена клиента поставить их срочные, но не важные*** задачи на первое место просто потому, что руководству хочется почувствовать себя важным. Но важные задачи позволяет держать в приоритете. А важность сегментов определяет владелец, и это можно прописать.
Таким образом, ИТ аутсорс команда — это ещё и инструмент дополнительного контроля верного направления расхода ресурсов на поддержание работы систем и процессов. И, кстати, о ресурсах.
Мы знаем, что микробизнес не может позволить себе держать толкового, знающего дорогого специалиста “на всякий случай”. И малому бизнесу это не всегда по карману, учитывая, какие грозди технологий необходимо поддерживать там, где аудит ИТ процессов и систем - редкость и чудачество, и не убежать от главных болезней роста: адаптация происходит по факту, планирование крайне затруднено.
Ещё мы все знаем, что аутсорс ИТ отдела — это гибкость: вы платите только за то, что реально нужно.
Давайте посмотрим вместе: когда инфраструктура выстроена правильно, то процессы идут по регламенту и нет нужды держать полный комплект смен “дежурного администратора” в штате.
А если случается нештатная ситуация, у вас есть договор, согласованный план восстановления, SLA*****, и команда, которая отвечает за результат, а не за рабочее место. И мониторинг позволяет специалистам узнавать о назревающих сложностях заранее.
Будем откровенны: базовый уровень ИТ устойчивости к угрозам безопасности и техническим инцидентам возможен для любой организации. Сегодня это означает осознанность, внедрение принципов, готовность к изменениям и дисциплину, а не дорогие технологии, контракты и армию специалистов в штате.
А самый главный вопрос для всех звучит так: "Сколько стоит час простоя?"
Безопасность бизнеса — это не роскошь, а гигиена. И чем меньше бизнес, тем дороже обходятся ошибки. Безопасность — это не кнопка “вкл/выкл”.
Это культура управления доступом, ответственность и зрелость.
Аутсорсеры приносят в бизнес эту зрелость в готовом виде — с опытом, документацией и готовыми сценариями реагирования.
Признаем, что специалисты в штате МСП часто приносят ощущение контроля, но не всегда его обеспечивают.
Команда Administrators.ru не осуществляет "просто ремонт" — мы выстраиваем порядок, в котором риск превращается в управляемую переменную.
И это, пожалуй, лучший аргумент в пользу того, чтобы доверить ИТ-процессы тем, кто умеет делать правильно с самого начала.
Команда Administrators.ru помогает компаниям выстраивать инфраструктуру безопасно и надёжно, чтобы ваш бизнес не зависел от случайностей.
👉 Оставьте заявку — разберём, где слабые места и как сделать так, чтобы всё работало предсказуемо.
C выводами понятно, всё-таки прочитаю статью
* для сегмента МСП подготовленные таргетированные атаки нетипичны, обычно это автоматизированные широкоформатные попытки получения контроля над всеми системами в мире
** Самые большие угрозы и несчастья заключены в нас самих» (Туве Янссон)
*** Матрица Эйзенхауэра — инструмент тайм-менеджмента, который помогает расставлять приоритеты в задачах по их срочности и важности
***** SLA (Service Level Agreement) — Соглашение об уровне сервиса (дословно — «соглашение об уровне обслуживания»)
Подробнее о SLA в "вопросах и ответах" (ссылка)
**** Здравый смысл.
Юмористическая зарисовка
"Хакеры против директора столовой. 200-дневная война"
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"
День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?"
День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?".
День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.
День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно.
День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.
День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: "Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!" До этого непьющий директор читает письмо, идет домой и выпивает водки.
День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.
День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.
Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.
День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предъявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.(оригинал: ссылка на журнал хакер)
==
Мы не скрываем, что в написании статьи нам помогали нейросети.