POS-термінали, сервіси електронного документообігу, платформи для управління бізнесом — усе це вже давно стало частиною щоденної роботи. Те, що колись здавалося інновацією, сьогодні базовий набір для будь-якої компанії. Але разом зі зручністю приходить інше: чим більше процесів переходять у цифровий формат, тим вразливішим стає бізнес.
Для компаній кібербезпека — це не лише захист даних. Це стабільність роботи, впевненість у ланцюжку постачань, збереження репутації й довіри клієнтів. Але що таке надійний сервіс? Як відрізнити захищене рішення від потенційно небезпечного?
Розглядаємо основні критерії, на які варто звернути увагу, обираючи ПЗ для бізнесу.
1. Відповідність стандартам
Безпечний сервіс починається з відповідності. Якщо платформа працює з фінансами, договорами чи персональними даними — вона має дотримуватися чітких правил. Частину з них встановлює українське законодавство, інші задають міжнародні стандарти.
У сфері електронного документообігу важливо, щоб система відповідала Закону України «Про електронні документи та електронний документообіг». Зокрема, забезпечувала правильне застосування електронного підпису. Якщо ж документи містять персональні дані, вступає в дію ще один закон — «Про захист персональних даних». Він вимагає надійного зберігання й передавання таких даних (зокрема, через шифрування).
Для сервісів, які працюють із великими обсягами інформації або мають міжнародних клієнтів, релевантним є сертифікат ISO 27001 — стандарт управління інформаційною безпекою. Якщо ж компанія обробляє або зберігає дані користувачів із ЄС, вона має враховувати вимоги GDPR (General Data Protection Regulation).
Також є PCI DSS — стандарт безпеки для роботи з даними, які передають, обробляють, зберігають дані платіжних карток або впливають на їхню безпеку. Він не є обов’язковим для сервісів ЕДО, але якщо платформа його має, це свідчить про високий рівень захисту.
Якщо сервіс має сертифікацію PCI DSS, це означає, що він проходить регулярний аудит незалежними експертами й відповідає суворим вимогам безпеки для роботи з платіжними даними, зокрема для обробки платежів через Visa й Mastercard.
2. Наявність мультифакторної (MFA) автентифікації
Додатковий рівень перевірки користувачів, щоб зменшити ймовірність несанкціонованого доступу.
MFA базується на трьох основних критеріях перевірки:
- Що ви знаєте (Something you know). Пароль або PIN-код, які підтверджує особистість користувача через інформацію, що відома лише йому.
- Що ви маєте (Something you have). Це фізичний об’єкт, яким володіє користувач, наприклад, мобільний телефон, апаратний токен (USB ключ) або однократний код, надісланий через SMS чи згенерований мобільним застосунком (наприклад, Google Authenticator).
- Що ви є (Something you are). Це біометричні дані, такі як відбиток пальця, розпізнавання обличчя, що підтверджують вашу особистість через фізичні характеристики.
Хоча MFA дещо ускладнює користувацький досвід, важливо пам’ятати, що її застосування знижує ризик крадіжки даних. Навіть якщо зловмисник отримав доступ до пароля користувача, він усе одно не зможе виконати вхід без наступного етапу.
Для тих, хто працює з чутливою інформацією, MFA — це не рекомендація, а вимога. У платіжних системах (PCI DSS), охороні медичних даних (HIPAA) та багатьох інших сферах вона є частиною обов’язкових політик захисту.
Якщо сервіс вимагає MFA за замовчуванням — це гарний знак. Якщо MFA присутня як опція — її варто активувати.
3. Шифрування даних
Захист інформації під час зберігання і передавання, що мінімізує ризики витоків.
Один із найсильніших і найпоширеніших алгоритмів для шифрування даних — AES-256 (Advanced Encryption Standard). Його ще у 2001 році затвердили для використання в урядових структурах США. Відтоді він став золотим стандартом, зокрема в медицині, фінансах і держсекторі в усьому світі, які вимагають найвищого рівня захисту персональних даних.
Щоб захистити дані під час передавання через інтернет, сервіси мають використовувати протокол TLS (Transport Layer Security). Версія — не нижче 1.2.
Використання TLS також є важливим для відповідності міжнародним стандартам GDPR (General Data Protection Regulation) і PCI DSS (Payment Card Industry Data Security Standard), який регулює захист карткових даних при їх обміні через інтернет.
Для підвищеного рівня захисту також варто використовувати VPN — захищене з'єднання, яке шифрує весь трафік між пристроєм користувача й сервером. Це особливо важливо, якщо доступ до системи здійснюється з публічних або ненадійних мереж.
4. Резервне копіювання
Регулярне збереження даних у різних географічних локаціях для захисту від втрати інформації.
Дані, як і фінанси, зберігати в одному місці небезпечно. Саме тому резервне копіювання — один з основних елементів кібербезпеки. Йдеться не лише про копію на випадок якщо щось. Ідеться про гарантію, що бізнес не зупиниться після збою, атаки чи форс-мажору.
Стратегія резервного копіювання включає частоту копіювання (щодня, щотижня, раз на місяць), типи копій (повні, інкрементні, диференціальні) та вибір технологій для резервування. Як правило, спочатку створюється повна копія всіх критичних даних — файлів, баз, налаштувань, в надалі лише ті зміни, що відбулися після останнього збереження.
Щоб резерв справді працював, його варто зберігати в різних географічних локаціях. Це захищає від локальних ризиків: від перебоїв з електрикою до обстрілів.
Важливим елементом резервного копіювання є план аварійного відновлення (DRP — Disaster Recovery Plan), що визначає, як швидко й ефективно відновити дані в разі збою. Для цього зазвичай створюють окремі сервери, до яких жорстко обмежують доступ. Бо в резерві головне не просто мати копію, а вміти її захистити й швидко розгорнути, коли потрібно. Без DRP навіть хороша копія може виявитися даремною.
5. Моніторинг доступу й аудит змін
У сучасній IT-інфраструктурі недостатньо просто мати захист — потрібно мати підтвердження, що він працює. Саме тому аудити змін і постійний моніторинг доступу є невід’ємною частиною кіберзахисту.
Для підтримання безпеки та відповідності політикам необхідно відслідковувати всі дії, які виконуються на сервері. Моніторинг доступу виконується за допомогою відповідних моніторингових систем (SIEM-системи — Security Information and Event Management), які відстежують вхід і вихід користувачів, а також усі зміни в системах. Це дає можливість оперативно реагувати на можливі загрози.
Інциденти, виявлені моніторинговими системами, обробляє Security Operation Center, і вписує до журналу подій — так відбувається логування. Це важлива умова для забезпечення достовірності інформації під час розслідування інцидентів. У разі виявлення підозрілої активності система надсилає сповіщення відповідальній особі.
6. Тип рішення: хмарне або локальне
Від типу рішення залежить спосіб виконання оновлень системи та резервного копіювання, а також рівень контролю над даними й безпекою.
Інфраструктура хмарних (Saas) сервісів перебуває під контролем провайдера: постачальник оновлює систему, виправляє вразливості, моніторить трафік. Це означає, що всі користувачі сервісу отримують останні виправлення без потреби вручну запускати процес оновлення, що скорочує час, коли система залишається вразливою до нових викликів.
Локальні ж системи часто залежать від внутрішніх процесів компанії, що може призвести до затримок в оновленнях безпеки. Щоб мінімізувати ризики при використанні локальних систем, має бути регламентована політика компанії: протягом якого часу після виходу оновлення воно має бути встановлене і хто за це відповідає. Чим довше система залишається без оновлень, тим вищі ризики для безпеки.
Крім того, дані у локальних системах можуть зберігатися без шифрування та інших методів захисту, що робить їх вразливими до несанкціонованого доступу або втрати в разі фізичного пошкодження сервера. На відміну від хмарних систем, які виконують моніторинг 24/7, безпека у більшості локальних систем залежить від системного адміністратора.
За словами фахівчині з кібербезпеки, доцента Київського столичного університету ім. Бориса Грінченка Зореслави Бржевської, поширена проблема українських компаній — це використання неліцензійного та застарілого ПЗ.
«Неліцензійне ПЗ зазвичай не оновлюється, тому залишається відкритим для атак. Використання неліцензійного ПЗ також несе за собою репутаційні ризики, таке ПЗ можуть передавати ваші особисті дані третім особам тощо, воно не підтримується вендором, настає так званий end-of-support — момент, коли виробник припиняє технічну підтримку для програмного продукту. Програма все ще може працювати, але вона більше не отримує офіційної підтримки від розробника і критичних оновлень безпеки. Продукт, що досягнув EOS, стає вразливим до нових загроз», — пояснила експертка.
Кібербезпека часто сприймається як щось, що лежить поза контролем користувача. Але насправді кожен бізнес впливає на свою захищеність — вибором рішень, налаштуваннями MFA, політикою резервного копіювання. Повного доступу до внутрішньої архітектури сервісу користувач не має, але він може оцінити інше: як платформа говорить про безпеку, наскільки чітко описані механізми захисту, які стандарти задекларовані й чи задекларовані взагалі.
Якщо сервіс не приховує ці речі, надає прозору технічну інформацію, це ознака професійного підходу. І навпаки — якщо сервіс оминає тему кібербезпеки або не надає чіткої інформації про захист даних, це може бути тривожним сигналом, що ставить під сумнів надійність сервісу для бізнесу.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
