Для третьего сектора

Первый шаг к надежной киберзащите – тщательный анализ данных, информационных систем и информационных потоков. Важно составить подробный план:

• каких данных касается ваша деятельность. для каждой организации данные уникальны – от контактных данных сотрудников или волонтеров организации до очень чувствительных персональных данных;
• какие информационные системы используются, и какие данные в них обрабатываются;
• с какими партнерами и поставщиками услуг происходит обмен информацией (например, финансовые сведения для бухгалтерии или медицинские данные для оказания социальной помощи), а также как технически организован этот обмен;
• каким киберугрозам может подвергаться ваша организация – фишинг, мошенничество со счетами, вредоносное ПО или эксплуатация уязвимостей в системах безопасности. Если ваша организация занимается политически или социально острыми темами, будьте готовы к тому, что вы можете стать мишенью целенаправленных атак со стороны государственных структур других стран или идеологически мотивированных групп (хактивистов).

Данными и информационными системами, обрабатываемыми в организации, необходимо управлять осознанно, храня только необходимые данные и используя только актуальные и обновленные информационные системы.

Продумайте, какие данные организация должна обрабатывать и как долго их хранить:

• Все ли собираемые и хранимые данные действительно необходимы? Если есть данные, которые на самом деле не нужно собирать и хранить, стоит их удалить, чтобы снизить риск утечки данных и уменьшить объем защищаемой информации.
• Важно также планировать регулярное удаление устаревших данных.

Используемые информационные системы и системы передачи данных необходимо регулярно пересматривать:

• Все ли информационные системы, в которых обрабатываются и хранятся данные, вам нужны? Если какая-то из них больше не нужна, разумно закрыть ее и перенести данные в используемую систему.
• Предоставляется ли производителем поддержка и обновления безопасности для всех используемых информационных систем? Если нет, следует дополнительно продумать риски использования такой информационной системы и при необходимости внедрить актуальную систему.

Установите правила передачи информации (например, требования о том, что документы, содержащие личные данные, можно передавать по электронной почте только в зашифрованном виде или что документы организации нельзя сохранять в личных облачных средах). Ознакомьте с этими правилами сотрудников и волонтеров, работающих с информацией.

Обсуждайте вопросы кибербезопасности также с партнерами. При необходимости требования к кибербезопасности должны быть закреплены в договоре.

О том, как безопасно заказывать ИТ-услуги со стороны, можно узнать, пройдя электронный курс, созданный RIA.

Спланируйте управление и обеспечение безопасности ИТ-инфраструктуры организации (сети и устройств):

• составьте карту и приведите в порядок устройства и сеть организации. Проверьте, чтобы были открыты только необходимые службы и использовались только нужные приложения. Убедитесь, что в интернете не открыты службы, которые не должны быть доступны (например, службы удаленного рабочего стола (remote desktop) или какой-нибудь старый забытый FTP-сервер);
• систематизируйте и осознанно управляйте тем, с каких личных устройств сотрудники получают доступ к информационным системам организации;
• поддерживайте программное обеспечение в ИТ-инфраструктуре и на устройствах пользователей в актуальном состоянии. Быстрая установка обновлений помогает предотвратить использование злоумышленниками уязвимостей для проникновения в системы.

Проводите обучение сотрудников и волонтеров по вопросам кибергигиены

• RIA предлагает всем организациям бесплатный Кибертест собственной разработки, который находится на знакомой многим платформе Moodle. Цель Кибертеста – повысить осведомленность сотрудников и волонтеров организации в вопросах кибербезопасности. 

Разработайте и внедрите планы реагирования на инциденты и восстановления после них:

• убедитесь, что планы восстановления включают как минимум восстановление критически важных и значимых для организации систем. Кроме того, планы должны содержать контактные данные лиц, к которым можно обратиться за помощью или которых следует уведомить о происшествии;
• в случае киберинцидента вы можете получить помощь в CERT-EE по адресу cert@cert.ee или по телефону +372 663 0299.

Важно иметь четкое представление о том, кто имеет доступ к системам и данным:

• регулярно просматривайте учетные записи в системах и удаляйте те, которые не используются или не являются абсолютно необходимыми. Это помогает уменьшить количество аккаунтов, которые нужно защищать и которые злоумышленники могут использовать для проникновения в систему;
• при уходе сотрудника или волонтера немедленно блокируйте его учетные записи и доступ к ресурсам организации;

при предоставлении доступа применяйте принцип минимальных прав: давайте пользователям как можно меньше прав и столько, сколько абсолютно необходимо;

• уделяйте особое внимание учетным записям с широкими или значительными правами (административный доступ). Сократите количество таких учетных записей в системе до минимально возможного, учитывая при этом потребность в резервном доступе (back-up);
• избегайте использования администраторских учетных записей для выполнения повседневных задач;
• создайте систему регулярного мониторинга использования администраторских учетных записей для обнаружения несанкционированной и злонамеренной деятельности.

Установите правила защиты учетных записей организации, которые распространяются также на волонтеров:

• используйте сильные уникальные пароли и многофакторную аутентификацию (подробнее об этом читайте здесь);
• если какая-либо система не поддерживает многофакторную аутентификацию, рассмотрите возможность использования альтернативного решения;
• используйте менеджер паролей для управления необходимыми паролями.

Если социальные сети играют важную роль в коммуникации организации, обратите внимание также на их безопасность:

• имейте представление о том, какие учетные записи используются организацией;
• защищайте аккаунты в социальных сетях (сильные пароли, многофакторная аутентификация, верификация);
• проводите дополнительное обучение администраторов социальных сетей по вопросам безопасности;
• Подробнее можно прочитать в блоге RIA.

Злоумышленники с государственными связями или идеологически мотивированные атакующие (хактивисты) могут также нацеливаться на частных лиц, связанных с организациями, например, на волонтеров. Такие атаки могут быть последовательными, хорошо скоординированными и проводиться одновременно как против организации, так и против частного лица. Важно осознавать, что атаки, направленные на частное лицо, например волонтера, могут также оказать влияние на организацию.

Ограничьте, по возможности, публично доступную информацию о себе, чтобы уменьшить сведения, необходимые для атаки:

• При использовании социальных сетей нужно учитывать, что распространенная информация или сведения, опубликованные о вас другими людьми, могут быть использованы для целенаправленной атаки;

Проверяйте свои контакты и будьте внимательны к социальным манипуляциям:

• убедитесь в реальности контактов, созданных в социальных сетях (какова истинная личность контакта);
• будьте бдительны в отношении попыток имитации (impersonation), например, посторонний человек может утверждать, что он журналист или играть какую-либо другую социальную роль;
• будьте осторожны при переходе по ссылкам или открытии вложений в электронных письмах, текстовых сообщениях или на других платформах общения, а также при сканировании QR-кодов;
• будьте осторожны при переходе по ссылкам или открытии вложений из неизвестных источников;
• по возможности избегайте использования съемных устройств памяти (например, USB-накопителей, флешек). Если все же возникает необходимость использовать внешний носитель данных, будьте крайне осторожны, чтобы избежать загрузки вредоносного ПО на устройство;
• обеспечьте безопасность своих устройств, веб-использования, сетевого трафика и передачи данных:
• при передаче конфиденциальных данных всегда используйте шифрование;
• следите за тем, чтобы используемые вами приложения для общения, социальные сети и другие приложения безопасно передавали данные (использовали зашифрованную связь) и проверяйте, где эти приложения хранят данные;
• если веб-браузер предупреждает, что нужная страница не использует безопасное соединение, по возможности откажитесь от использования этого сайта. Важно убедиться, что передача данных на веб-сайтах происходит через зашифрованный протокол https. На веб-сайтах, использующих нешифрованный http-протокол, злоумышленник может показывать пользователю свой контент или красть введенные данные. Поэтому следует избегать ввода личных данных на таких сайтах;
• в общественных местах используйте мобильное интернет-соединение, предоставляемое вашим оператором связи, которым можно также поделиться с компьютером. Избегайте публичных сетей WiFi;
• работая в общественном месте, будьте внимательны к окружающей обстановке, чтобы другие люди (включая камеры наблюдения) не могли видеть ваши действия на устройстве (в том числе ввод паролей) или подслушивать разговоры; следуйте общим рекомендациям по безопасной удаленной работе;

• Ознакомьтесь с кратким руководством по кибербезопасности для малых и средних предприятий и организаций – https://www.ria.ee/sites/default/files/documents/2025-05/Краткое-руководство-по-кибербезопасности-для-организаций-2025.pdf
• Требования к безопасности ИТ-систем собраны в Эстонском стандарте информационной безопасности (E-ITS). Это своего рода руководство по кибербезопасности, которое помогает организациям государственного сектора защититься от большинства киберугроз – EITS.
• Инструкции на английском языке для обеспечения кибербезопасности для сообществ с высоким риском и организаций третьего сектора в контексте США – Project Upskill