Edasi peamenüüsse Edasi sisusse

Защищайте свою торговую марку

Общедоступные веб-сайты, учетные записи социальных сетей и адреса электронной почты связаны с товарным знаком компании. Поскольку они общедоступны, существует риск того, что злоумышленники захотят использовать их, чтобы нанести ущерб репутации компании, заработать деньги или по другим причинам. Поэтому важно, чтобы они были защищены.

Читайте подробнее о рекомендациях по безопасности:

Держите себя в курсе потенциальных опасностей

Государственные службы (веб-сайты, электронная почта) подвержены угрозам, которые могут нарушить работу организации и нанести ущерб репутации компании.

Связанные с общедоступным веб-сайтам риски могут быть следующие:

  • Злоумышленники могут сделать сайт компании недоступным Это, например, парализует работу компании, занимающейся электронной коммерцией, а также мешает работе многих других компаний, поскольку клиенты могут не получать необходимую им информацию с веб-сайта.
  • Злоумышленники могут получить доступ к управлению веб-сайтом и украсть информацию, например, о корпоративных клиентах, что может привести к ущербу для репутации и штрафам GDPR.
  • Злоумышленники могут сделать содержание сайта неуместным (например, оскорбительным), что опять-таки может подорвать работу организации и нанести ущерб её репутации.
  • Злоумышленники могут установить на веб-сайт программное обеспечение, которое будет заражать клиентов, посещающих веб-сайт, вредоносными программами. Это приводит к ситуации, когда клиенты компании начинают избегать этого сайта, даже когда он будет исправлен.

Если злоумышленники завладеют учетными записями в социальных сетях, это может испортить репутацию (неуместные публикации, оскорбление клиентов и т. д.), так и вызвать финансовые убытки компании, если эти учетные записи связаны с платежами (например, злоумышленники могут получить доступ к кредитной карте, которая привязана к покупкам рекламы на Facebook). Следует иметь в виду, что в дополнение к собственным учетным записям в социальных сетях необходимо защищать учетные записи руководства и ключевых сотрудников компании.

Если служба рабочей электронной почты не защищена, злоумышленники могут использовать адреса электронной почты компании для мошенничества или рассылки спама. Это может испортить репутацию, так и вызвать финансовые убытки компании.

Защитите себя от угроз

Первым шагом в защите от угроз является понимание того, что они существуют. Для защиты от угроз компании могут предпринять ряд мер по их предотвращению.

Выберите инструменты для обнаружения уязвимостей в безопасности

Для атаки на общедоступную службу обычно используются уязвимые места в защите программного обеспечения службы (например, веб-сайта или сервера электронной почты), слабые настройки безопасности, неизмененные пароли и т.д. Существуют различные инструменты для обнаружения уязвимостей, которые делают это автоматически. Такие инструменты сканируют публичные сервисы и генерируют исчерпывающие отчеты об обнаруженных уязвимостях. После обнаружения они должны быть удалены IT персоналом или поставщиком услуг. Затем следует выполнить новое сканирование, чтобы увидеть, были ли устранены ранее обнаруженные уязвимости в системе безопасности. Их необходимо регулярно проверять (например, раз в месяц), чтобы последовательно обнаруживать и устранять новые уязвимые места в безопасности.

Защитите ваши общественные услуги

Обнаруженные уязвимости безопасности необходимо устранить, чтобы защитить публичные сервисы. Также важно, чтобы программное обеспечение веб-сервера или почтового сервера было обновлено (см. 2.2 “Регулярно обновляйте программное обеспечение”). Обновлять надо как сервер службы так и само программное обеспечение службы.

Для защиты службы электронной почты, ваш IT персонал или поставщик услуг должен установить следующие параметры:

  • Чтобы запретить злоумышленникам свободно использовать корпоративные адреса электронной почты, необходимо в DNS создать запись SPF (Sender Policy Framework), которая сообщает, какие серверы электронной почты могут отправлять почту с вашего корпоративного почтового домена.
  • Также можно настроить DKIM (DomainKeys Identified Mail) для проверки правильности работы корпоративного почтового сервера. DKIM подписывает исходящие электронные письма с сервера, а другие почтовые серверы проверяют правильность подписи. Чтобы иметь возможность использовать DKIM, корпоративный почтовый сервер должен поддерживать эту услугу, или необходимо приобрести или установить дополнительное программное обеспечение
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) через DNS распространяет на серверы электронной почты политику, в которой говорится, что следует проверять в отправленных с этого домена сообщениях, и как сервер электронной почты должен обрабатывать это сообщение. DMARC использует SPF и DKIM для проверки соответствия своим политикам. DMARC может использоваться только с SPF, но более безопасный режим обеспечивается при использовании DKIM. С помощью DMARC можно получать отчет о том, пытался ли кто-либо отправлять почту из других мест, кроме тех, которые разрешены.
Защищайте свои учетные записи в социальных сетях

Корпоративные социальные сети, такие как Twitter, Facebook, Instagram и т. д., часто подвергаются атакам. Учетные записи руководства и ключевых сотрудников компании также подвергаются риску и должны быть защищены.

Для защиты учетных записей социальных сетей организации необходимы следующие шаги, которые совсем не сложны, но значительно повышают безопасность:

  • Создайте правило использования корпоративных социальных сетей (какой сотрудник может получить доступ к какой учетной записи, какие учетные записи используются, какой сотрудник ими управляет, как он ведет себя в социальных сетях и т. д.).
  • Используйте надежные пароли!
  • Регулярно меняйте свои пароли. Обязательно надо изменить пароли, когда сотрудник, который получал доступ к этой учетной записи, покидает компанию.
  • Обязательно включите многоэтапную аутентификацию.
  • Время от времени проверяйте существующие учетные записи в социальных сетях. Контролируйте, кто может получать доступ к аккаунтам и удаляйте его у людей, покинувших компанию, и у тех, кому он уже не нужен.
  • Кроме того, проверяйте настройки учетной записи, поскольку параметры конфиденциальности могут изменяться по мере обновления социальных сетей или может меняться закон (например, до этого личная информация теперь может быть доступна всем).
  • Если учетные записи не используются активно, их все равно следует отслеживать на предмет возможного захвата учетных записей.