Стартапы и информационная безопасность

16 апреля 2019

Как правило, стартапы создают люди, горящие идеей и желанием поскорее воплотить ее в жизнь. При этом средства на реализацию проекта, как правило, ограничены, а расходов на первых порах немало: это и разработка нового продукта, и его продвижение, и много что еще. Расставляя приоритеты, начинающие бизнесмены часто оставляют за бортом вопросы, связанные с информационной безопасностью. Рассказываем, почему не стоит так поступать.

Что кибервзломщику хорошо, то стартапу — смерть

Многие стартаперы экономят на безопасности, потому что уверены, что небольшая компания с ограниченными ресурсами не представляет интереса для киберпреступников. На самом деле жертвой злоумышленников может стать каждый. Во-первых, потому что многие киберугрозы носят массовый характер — их авторы не выбирают цели, а стараются заразить максимальное количество жертв в надежде, что хоть на ком-то можно будет нажиться. Во-вторых, не стоит забывать, что слабая защита стартапов делает их привлекательной мишенью.

Если корпорации порой месяцами восстанавливаются после кибератаки, то маленькая компания может просто ее не пережить. Так, в 2014 году из-за действий злоумышленников закрылся стартап Code Spaces — хостинг-провайдер, предоставлявший инструменты для совместного управления проектами. Злоумышленники получили доступ к облачным ресурсам компании и уничтожили значительную часть клиентских данных. Владельцы сервиса восстановили, что смогли, но вернуться к нормальной работе им уже не удалось.

Ошибки, которые могут стоить бизнеса

Чтобы в условиях ограниченного бюджета максимально обезопасить свой стартап, имеет смысл еще до его запуска построить модель угроз — оценить, какие риски актуальны конкретно для вашего бизнеса. А мы попытаемся помочь вам, рассказав об ошибках, которые допускают очень многие начинающие предприниматели.

Незнание законодательства о хранении и обработке персональных данных

Правительства многих стран заботятся о безопасности данных своих граждан. В России этот вопрос регулирует 152-ФЗ, в Европе — регламент GDPR, в США — множество отраслевых и региональных актов. Все эти законы действуют вне зависимости от того, читали вы их или нет.

Наказание за нарушение тех или иных требований законодательства может варьироваться, однако чаще всего небрежность влетит вам в копеечку. В лучшем случае вам грозит штраф — как правило, немаленький. В худшем придется приостановить работу до устранения нарушений.

Еще одна важная деталь: иногда зона действия закона шире, чем вы ожидаете. Например, GDPR распространяется на все компании, работающие с данными европейских граждан, даже если сами они родом из России или США. Поэтому изучить лучше не только «свои» нормативы, но и те, которым подчиняются ваши клиенты и партнеры.

Слабая защита облачных ресурсов

Многие стартапы для тех или иных нужд используют публичные облачные сервисы, такие как Amazon AWS или Google Cloud. При этом далеко не все грамотно выставляют настройки безопасности для своих хранилищ. Часто, например, контейнеры с информацией о клиентах или кодом веб-приложения оказываются защищены символическим паролем, а внутренние документы компании доступны по ссылке и видны поисковикам.

Иногда для упрощения своей жизни стартаперы пользуются Google-документами — и просто забывают ограничить доступ к ним. В результате критически важные данные может заполучить кто угодно.

Неготовность к DDoS-атакам

DDoS — эффективный способ вывести из строя интернет-сервис. В даркнете подобные услуги продаются сравнительно дешево, и их могут приобрести и конкуренты, и злоумышленники, которым нужно прикрытие для более серьезного вторжения.

В 2016 году сервис криптовалютных веб-кошельков Coinkite вынужден был закрыться из-за постоянных DDoS-атак. По словам разработчиков, им не давали покоя с момента запуска услуги. Продержавшись несколько лет, компания сдалась и решила сосредоточиться на аппаратных кошельках.

Неосведомленность сотрудников

Часто слабым звеном в компании оказываются люди, которые в ней работают. Злоумышленники хорошо это знают и используют приемы социальной инженерии, чтобы проникнуть в корпоративную сеть или выудить конфиденциальные сведения.

Недостаточная осведомленность особенно опасна в тех компаниях, которые пользуются услугами фрилансеров — контролировать, с какого устройства и из какой сети они работают, может оказаться непросто. Поэтому очень важно мотивировать штатных и внештатных сотрудников интересоваться безопасностью.

Как стартапу удержаться на плаву?

Чтобы не стать жертвой киберпреступников и сохранить свой бизнес, рекомендуем вам при составлении бизнес-плана уделить внимание кибербезопасности:

  • Определите, какие ресурсы вам необходимо защищать в первую очередь и какие инструменты обеспечения безопасности вы можете себе позволить на начальном этапе. На самом деле многие меры защиты не требуют серьезных затрат.
  • Защищайте рабочие устройства и аккаунты надежными паролями. В состав нашего решения Kaspersky Small Office Security входит утилита Kaspersky Password Manager, которая позволяет генерировать надежные пароли и хранить их в зашифрованном контейнере. И не пренебрегайте двухфакторной аутентификацией, она сейчас есть почти везде и действительно работает.
  • Ознакомьтесь с законодательством в сфере хранения данных в тех странах, на рынки которых вы планируете выйти. Убедитесь, что условия хранения и обработки персональной информации в вашей компании соответствуют этому законодательству. По возможности проконсультируйтесь с юристами, которые знают подводные камни каждого рынка.
  • Следите за безопасностью сторонних сервисов и программ, которыми вы пользуетесь. Насколько хорошо защищена ваша система совместной разработки? Является ли надежным хостинг? Нет ли известных уязвимостей в применяемых библиотеках с открытым кодом? Подобные вопросы должны беспокоить вас не меньше, чем потребительские свойства конечного продукта.
  • Повышайте осведомленность сотрудников в сфере кибербезопасности и мотивируйте их интересоваться этой темой самостоятельно. Если специалистов по безопасности в вашей компании нет (а откуда бы им взяться в стартапе), то оптимальный вариант — найти человека, которому это хоть немного интересно, и попросить его мониторить хотя бы наш блог.
  • Не забудьте и о защите компьютерной инфраструктуры. Например, у нас есть решение, рассчитанное на молодые компании с ограниченным бюджетом. Оно поможет вам автоматизировать контроль за безопасностью ваших рабочих станций и серверов, а также безопасно совершать платежи через Интернет. При этом оно не требует навыков администрирования.