Захищаємо стартапи: які правила кібербезпеки важливо налагодити під час створення проєктів
- Автор Нікітченко Іван
- 05.11.2024
- 430 Views
Кібербезпека (cybersecurity) — це політики та комплекс заходів з захисту комп’ютерів, мереж і даних від несанкціонованого доступу, атак або пошкодження.
Завданням є не дозволити зловмисникам отримати доступ до захищених даних (наприклад, персональні дані ваших користувачів, внутрішні документи компанії) або заподіяти шкоди таким даним (видозмінити їх або знищити).
Яку шкоду злочинці можуть нанести стартапам
Шкода, яка може статися через це – не потрібно описувати додатково. Інколи, злом може бути відносно нешкідливий, або ж таке проникнення робить зовнішній програміст для демонстрації вразливостей системи. Коли це недружня атака – це може призвести і до закриття бізнесу і навіть отримання позовів від користувачів за те, що ви допустили розголошення їх даних.
Лазівок, як проникнути до ваших даних чи коду – багато. В залежності від рівня технологічності вашого рішення (це простий веб-сайт, чи додатково CRM та email-service, чи багаторівневий SaaS-продукт, де юзери зберігають чутливу інформацію, платіжні дані та документи і від одного клієнта може бути декілька користувачів) залежить як кількість «входів» до системи, так і сила бажання інших отримати такий доступ.
Як стартапи мають захищатися від соціальної інженерії
Основним методом злому лишається соціальна інженерія. Коли шахраї маскуються під сервіс підтримки, клієнта, родича, надсилається електронний лист з файлом, що містить шкідливий код для того, щоб користувач сам передав йому ключі доступу.
Відповідно, компанія повинна проводити навчання та періодичні повторення того, як треба поводитися співробітникам, щоб не стати жертвами шахраїв. Якщо продукт компанії розрахований на користування ним клієнтами, то відповідні політики мають бути донесені і до зовнішніх користувачів. Як мінімум, компанія повинна прописувати відповідні положення у Terms of use або договорах з користувачами, що компанія не несе відповідальності за втрачені чи пошкоджені дані користувача, якщо це сталося з вини самого користувача. Наприклад, переважна більшість з нас є користувачами банківських карток, і банки давно прописують, що якщо передача Пін-коду до карти сталася з вини власника картки, то банк не несе відповідальність за вкрадені кошти.
Також, компаніям з такими продуктами треба мати на увазі, що профіль користувача може стати «бічними дверями» для доступу до коду самого продукту. Відповідно, треба уважно обмежувати права користувачів та дії, які можуть робити користувачі.
Чому треба проводити аудит систем у стартапі
Необхідно періодично проводити аудит вашої системи. Що було змінено з часу останнього аудиту (наприклад, система отримала нові тули для юзерів), чи були спроби несанкціонованого проникнення і які були наслідки.
Виділяти найбільш важливі елементи системи і приділяти особливу увагу їх захисту. Проводити аудит, як відбувається взаємодія з зовнішніми мережами, програмами чи додатками інших організацій – чи можуть зловмисники отримати доступ до вашої системи через них і як це попередити.
Топ рекомендацій по кібербезпеці для стартапів
Базові речі, з яких потрібно починати захист:
1. Політики про захист даних та мереж для співробітників та користувачів. Проводити регулярне навчання, адже один раз донесена інформація втрачається у пам’яті будь-якої людини з часом.
2. Вимоги щодо паролів співробітників та користувачів. Якщо не прописувати вимоги, то більшість буде використовувати паролі «QWERTY» чи «123456», і зловмисникам навіть не доведеться особливо напружуватися.
3. Використовувати двофакторну автентифікацію (2FA) – під час кожного сеансу, або періодично запитувати введення коду надісланого на телефон чи email. Якщо зловмисники змогли зламати пароль до профілю, вірогідність того, що вони отримали доступ і до телефону чи email є меншою (але не виключеною).
4. Обмеження прав користувачів у доступі до різних даних (Use role-based access control, RBAC). Співробітник, підрядник чи користувач повинні мати доступ лише до даних, необхідних для виконання їх роботи.
5. Використовуйте брандмауери, системи виявлення/попередження вторгнень (IDS/IPS) і віртуальні приватні мережі (VPN) для захисту мережевого трафіку. Сегментуйте свою мережу, щоб ізолювати чутливі системи та зменшити збитки від можливих несанкціонованих проникнень.
6. Шифруйте конфіденційні дані, як ті, що зберігаються, так і ті, що є в стані передачі.
7. Робіть періодичні резервні копії (бекапи) важливої інформації та всієї системи.
8. Розробіть політики та плани дій у разі виявлення несанкціонованого доступу.
9. Проводьте періодичні власні тести для виявлення вразливостей та програми баг-баунті (bug bounty) – імітації атак, що проводяться зовнішніми підрядниками.
10. Проводьте аудит переліку користувачів та їх доступів.
Насправді, це розповсюджена помилка – співробітник перейшов на іншу посаду чи покинув компанію, а його профіль лишився активним чи доступи не були змінені. Так само і з профілями користувачів – періодично «чистіть» дані неактивних користувачів.

