Сегодня многие компании, столкнувшись с экономическими сложностями, сокращают свои затраты, в том числе и на информационную безопасность. Тем не менее обостряющаяся конкурентная борьба и низкая лояльность сотрудников ведут к увеличению рисков информационной безопасности.
Небезопасная конфигурация беспроводной сети
Большинство российских компаний сейчас только формирует процессы управления информационной безопасностью и на этом этапе имеет типовые проблемы, вытекающие из неэффективности существующих процессов. Какие проблемы наиболее актуальны? Использование каких технологий требует повышенного внимания к вопросам информационной безопасности? Какие меры по защите данных должны быть приняты в первую очередь?
Современный склад не может обойтись без такой удобной технологии, как беспроводная сеть. Складские решения с ее применением позволяют улучшить производительность работников склада, максимально автоматизировать учет и уменьшить число ошибок ручного ввода. Однако ошибки, совершенные при развертывании и настройке сети, могут позволить беспрепятственно проникать в нее внешним злоумышленникам. Наиболее серьезной ошибкой является использование уязвимого протокола безопасности.
Для защиты беспроводной сети используются специальные протоколы, которые должны обеспечивать доступ к сети только тем, кому он действительно необходим, а также обеспечивать передачу данных только в зашифрованном виде. Одним из первых протоколов безопасности беспроводной сети был протокол WEP, который широко используется сейчас как во всем мире, так и в России. Еще в 2001 году в протоколе были обнаружены серьезные недостатки, позволяющие злоумышленникам легко получить пароль для доступа к сети. Причиной широкого использования этого небезопасного протокола является то, что он поддерживается практически всеми беспроводными устройствами и легко настраивается.
Пример. Для получения доступа к сети, защищенной протоколом WEP, злоумышленнику достаточно лишь набрать несколько команд. Незащищенная беспроводная сеть позволит злоумышленникам незаметно осуществлять проникновение в корпоративную сеть компании, разместившись в припаркованном рядом со складом автомобиле. Оказавшись в корпоративной сети, злоумышленники смогут атаковать серверы критичных информационных систем. Получив доступ к корпоративным системам, хакеры имеют возможность сделать все, что угодно: украсть финансовую информацию, данные клиентов, внести изменения в данные о товарных остатках, сроках годности товара, внедрить компьютерный вирус. Так, американская сеть оптовых супермаркетов BJ Warehouse Club подверглась ряду атак хакеров, проникавших в ее сеть, используя уязвимости в беспроводной сети. Результатом взлома стало осуществление мошеннических покупок с помощью данных кредитных карт покупателей BJ Warehouse Club на сумму свыше $10 млн.
Настройки по умолчанию
Самой распространенной серьезной уязвимостью является использование паролей, установленных по умолчанию. Эта очень часто встречающееся явление, обусловленное тем, что установщики программного и аппаратного обеспечения в большой степени обеспокоены тем, чтобы заставить работать систему так, как положено, и очень часто при этом игнорируют информационную безопасность. Они просто забывают сменить пароли для системных учетных записей, обладающих наиболее полными привилегиями в системе, оставляя их такими, как они были заданы производителем.
Важно иметь возможность проводить расследования. Защититься от атак злоумышленников на 100% никогда не получится, поэтому необходимо всегда помнить о возможности возникновения инцидента информационной безопасности, который нужно будет расследовать. Иногда IТ-специалисты полностью отключают регистрацию действий пользователей, так как она создает дополнительную нагрузку на систему и требует внимания. В подобном случае компания может даже не узнать о том, что ее сеть была взломана, и конкуренты получают данные о ее деятельности более оперативно, чем руководство самой компании.
Как управлять информационной безопасностью
Существование недостатков в системе обеспечения информационной безопасности связано в первую очередь с отсутствием процессов управления в ней. Как создать эффективную систему управления?
Во-первых, необходимо заручиться поддержкой руководства компании, которое должно осознать возможные последствия игнорирования вопросов информационной безопасности склада и выделить необходимые ресурсы. Последствиями могут быть финансовые потери, ущерб имиджу компании, проблемы с регулирующими органами. Представьте себе, что будет устроена атака «Отказ в обслуживании» на беспроводную сеть компании, систему управления складом, вследствие чего склад не сможет функционировать на прежнем уровне? Каков ущерб, допустим, от мошеннических операций, осуществляемых с помощью складских систем? Есть ли у руководства компании желание нести гражданскую, уголовную, административную, дисциплинарную ответственность за нарушение Федерального закона «О персональных данных»?
Во-вторых, необходимо провести классификацию информации и понять, какие данные являются наиболее критичными и в каких системах они обрабатываются. Для каждого вида информации определяется ее критичность – как минимум по степени конфиденциальности. Обычно компании используют такие категории, как «Общедоступная информация», «Персональные данные», «Коммерческая тайна». Руководитель склада как владелец бизнес-процесс
Наверняка у вас есть товары или услуги, продажа которых приносит вам максимальную прибыль. Для быстрого старта в сети вам необходимо создание посадочной страницы (одностраничного сайта), на которой будет размещена информация о маржинальных товарах/услугах интернет магазина. За 8 лет опыта разработки конверсионных страниц мы выработали оптимальную структуру, которая позволит привлекать через landing page больше продаж. На такую структуру «одевается» ваш контент — фирменный стиль, тексты, фотографии, уникальные торговые предложения, после чего страница выходит в свет. Разработка лендинга и запуск в сети — до 7 рабочих дней. Стоит отметить, что в разработку самой посадочной страницы входит и написание копирайтером продающих текстов для вашего бизнеса, чтобы каждый посетитель страницы захотел совершить покупку именно у вас. Результат: качественно разработаная продающая посадочная страница, которая готова приносить вам новых клиентов.