Digital-безопасность для НКО

Культура цифровой безопасности – одна из тех нематериальных ценностей, которая может принести пользу любой организации. Разберемся, как позаботиться о цифровой безопасности электронных ресурсов.

Для начала стоит провести «инвентаризацию»: разобраться, какие сервисы используются в работе, где они находятся географически, как оплачиваются.

Проведя предварительную работу и составив план действий, приступите к переносу данных. Разделите этот процесс на две части:

✔️ Данные для повседневной работы

Почта. Документы. Архивы в облаках. Где хранятся эти данные, какой у них объем, кто имеет доступ к файлам, можно ли сделать бэкап?

Оценивайте риски по каждой позиции, выписывайте возможные альтернативы используемых сейчас ресурсов, создавайте план перехода на них и работайте по этому плану.

Для архивов советуем использовать отечественные сервисы: вместо Google-диска перейти на Яндекс-диск или облако mail. Для важного обязательно сделать бэкап: все важные данные должны храниться хотя бы в двух разных местах.

✔️ Сложная IT-инфраструктура

Сервера и сайты. Где они расположены, достаточно ли хорошо защищены? Сложные облачные сервисы. От чего вы зависите здесь, какие процессы завязаны на этих сервисах? API. Какие вы используете, какие есть альтернативы?

Подумайте, что может сломаться и пойти не так, оцените риски по этим позициям.

Если у вас есть сайт, очень важно не оставить его без техподдержки. Сайт будет продолжать работу, но будет уязвимым, так что старайтесь не терять связь с разработчиком.

Не будет лишним перевести коммуникацию в сервисы, которые продолжают работу в России и не планируют вводить санкции по отношению к российским пользователям. Самый популярный вариант – Telegram.

Небольшой чек-лист, по которому НКО могут проверить себя:

1. Привязать аккаунты к телефону и email. Если одно из средств связи будет недоступным, восстановить доступ можно будет при помощи другого.
2. Проверить доступы: все ли пароли известны, привязаны ли аккаунты к активным почтовым ящикам и т.д.
3. Сделать резервную копию сайта, которую можно будет восстановить.
4. Подписаться на информационные ресурсы провайдеров.
5. Подготовиться и скачать необходимые данные заранее.
6. Тестировать альтернативы.

Базовые правила, полезные для любого пользователя

✔️ Пароль — базовый способ защиты данных.

Управление паролями и создание сложных паролей. К выбору пароля стоит подходить аккуратно:

Примитивные наборы цифр, слова, в том числе изменённые, какие-либо из ваших личных данных, заключённые в вашем пароле, заинтересованными во взломе лицами подбираются достаточно быстро с помощью специального софта.

Для того чтобы повысить цифровую безопасность в Сети, для сайтов и социальных сетей необходимо использовать сложные пароли, которые имеют более 8 символов и включают специальные символы (кавычки, запятые, двоеточия и т.д.), а также буквы разного регистра.

Создать сложный пароль можно как самостоятельно (статья: как создать безопасный пароль и проверить его надежность), так и использовать специальные сервисы – менеджеры паролей (статья про менеджеров паролей).

✔️ Запомнить все сложные пароли от десятков аккаунтов довольно трудно. Поэтому можно использовать хранилище паролей вроде KeePass или LastPass. Они также выступают в качестве генераторов паролей.

Ещё один вариант — не выдумывать пароли самостоятельно, а использовать сервисы наподобие GenPas. Они генерируют надёжные пароли из случайного набора знаков.

Проверить надежность пароля можно с помощью сервиса How Secure Is My Password.

❗ Пароли от наиболее важных аккаунтов — часто используемых соцсетей и почты — придётся запомнить. Кроме того, рекомендуется отключать сохранение паролей в браузерах.

• Периодически меняйте пароли. Не следует вводить логины и пароли в общественных местах, где установлено видеонаблюдение. Не рекомендуется использовать один и тот же пароль для разных аккаунтов.
• Установите дополнительную защиту от несанкционированного входа в ваши аккаунты.

Для этого понадобится включить — там, где это возможно — двухфакторную аутентификацию. Это дополнительная защита аккаунтов в соцсетях, мессенджерах, электронной почте, Apple, Google и т.п.

Если вы включили эту функцию, то при входе в ваш аккаунт вам нужно будет ввести не только пароль, но и одноразовый код. Его вы или получаете по SMS или берёте из установленного на ваш смартфон приложения-генератора кодов.

Антивирус

Существует мнение пользователей, что если не заходить на сомнительные сайты, то ничего страшного не произойдет, поэтому устанавливать антивирус не обязательно. Но нужно понимать, что вредоносные программы могут попасть на ваш компьютер разными способами.

Существуют три основных типа угроз – вредоносные программы, фишинг и мобильные угрозы, от которых вас могут защитить антивирусы.

✔️ Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям. Мошенники массово рассылают письма от лица администрации популярных сайтов или банков, а также личные сообщения внутри сервисов или социальных сетей. В письме содержится ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом. Попадая на такую страницу (проверка фишинговых ссылок и файлов), пользователь вводит свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить контроль над аккаунтом или банковским счетом жертвы.

Внимательно проверяйте с какой почты вам пришло сообщение. Участились случаи мошенничества в сфере предоставления грантовой поддержки: в адрес НКО приходят письма «от известных грантооператоров» с информацией о конкурсах и просьбой заполнить заявку и предоставить персональные данные.

Для заявки ваши личные данные не нужны и подобный запрос должен вас насторожить. Всегда проверяйте источник самостоятельно или обращайтесь к нам, в Ресурсный центр поддержки НКО.

Следите за тем, кто и когда заходил в ваш аккаунт

Соцсети, почтовые сервисы и мессенджеры умеют сообщать пользователям о всех фактах входа в их аккаунты. Например, если у вас есть приложение «ВКонтакте» или «Телеграм» на смартфоне, то сообщения о входе в ваш аккаунт будут приходить автоматически.

Если автоматических оповещений нет, то обычно в настройках своего аккаунта можно посмотреть список последних сессий (входов в ваш аккаунт) и завершить их, если есть подозрительные.

Основной сетью многих НКО стал Телеграм-канал. Единственным способом его защиты, будет защита вашего аккаунта: включите двухфакторную аутентификацию.

Кроме того, для передачи важных данных в телеграмме можно создать секретный чат. Подробно о том, как это сделать и использовать – здесь.

Соблюдайте правила информационной гигиены

Не следует подключать к вашему устройству неизвестные носители (флешки, SD-карты, смартфоны), даже для подзарядки. Не стоит подключать любые неизвестные USB-устройства к вашему компьютеру. Даже у работающего от USB-порта фонарика может быть носитель памяти, содержащий вредоносный софт.

Следует отключить автозапуск для внешних устройств. Это поможет избежать автоматического запуска содержащихся на них вредоносных программ.

Не стоит заряжать свои телефоны и планшеты где попало. Вы можете подключить устройство к заражённому компьютеру, который получит доступ к данным на вашем устройстве или загрузит на него вредоносные программы.

Когда НКО надо начинать беспокоиться о безопасности?

Лучше всего задуматься о безопасности НКО в момент создания организации. А также стоит специально думать об этом при всяких переменах в деятельности НКО. Например, при смене юридического адреса НКО, возможно, произойдет смена налоговой инспекции, документы НКО попадут в другую районную налоговую и, вероятно, пройдет камеральная проверка. В этом случае, перед тем как менять адрес организации, приведите бухгалтерские документы/договоры/ первичные документы в порядок, возьмите в налоговой справку об отсутствии задолженности перед бюджетом.

✔️ В начале построения системы безопасности добейтесь четкого понимания того, что, где и когда может угрожать вашей организации. Для этого необходимо:

1. Понять, в чем потенциальные опасности для вашей организации и
как их можно избежать.

Потенциальные опасности могут быть связаны с потерей или нанесением ущерба вашим ресурсам:

• человеческим (волонтеры, сотрудники, члены организации и т. п.);
• финансовым (пожертвования, гранты, прибыль от коммерческой деятельности и т. п.);
• материальным (помещение, оборудование, материалы и т. п.);
• информационно-технологическим (базы данных, технологии, информация и т. п.).

2. Сформулировать, какие риски актуальны сейчас и в ближайшее
время именно для вашей организации.

Сформулировать, какие меры по повышению безопасности необходимо предпринять. Для того чтобы это сделать, необходимо продумать следующие аспекты:

• сформировать список рисков, которые могут возникнуть в вашей организации;
• узнать, по каким рискам для вашей организации уже создана политика безопасности. Найти эти документы;
• проанализировать текущую ситуацию внешнюю и внутреннюю и понять, какие из возможных рисков могут возникнуть в ближайшее время;
• сформировать план, что с ними делать, как преодолевать;
• понять, имеются ли риски, о которых уже в вашей организации превентивно позаботились, оценить эти действия.

3. Внедрить и отслеживать эти меры. Попутно проводить текущий
мониторинг на предмет новых рисков.

После того как вы сформулируете все возможные риски для своей организации и поймете, что с ними делать, необходимо закрепить это в соответствующих документах (приказах, должностных инструкциях и т. п.), чтобы это имело юридическую силу.

С другой стороны, важно не забыть про коммуникационную составляющую и донести на собраниях, встречах и т. п. до сознания сотрудников и волонтеров все те меры, которые вы планируете внедрить, чтобы они взяли на себя ответственность за исполнение данных вами поручений.

Далее важно постоянно отслеживать, насколько эти меры выполняются, а также мониторить возможное возникновение новых рисков. Это могут быть риски, о которых вы или не подумали, или они не были актуальны для вашей организации в момент разработки профилактических мер, или те риски, которые внезапно могут возникнуть в связи с изменениями во внешней или внутренней среде.

Подводя итоги, хочется отметить, что проблема обеспечения безопасности организации нуждается в постоянном внимании руководителя, так как в любой момент могут возникать новые риски для деятельности НКО. Кроме того, важно подходить к проблеме обеспечения безопасности комплексно, обращая внимание на разные ее аспекты — законодательный, финансовый и информационный и минимизировать риск.