Шановні користувачі, 2 січня гаряча лінія Nadiyno працює з 11:00 до 17:00. З 3 січня лінія працює у звичайному режимі.
Назад
Зміст
  1. Як подолати кіберзагрози та керувати ризиками: цифрова безпека для держслужбовців
  2. Кібербезпека: основи захисту
  3. Втрата даних співробітників та інші небезпеки: оцінюємо ситуацію
  4. Складаємо план і керуємо ризиками
Оновлено: 07 гру 2024 Акаунт

Як подолати кіберзагрози та керувати ризиками: цифрова безпека для держслужбовців

З чого починається цифрова безпека? Як налаштувати пристрої й провести оцінювання ризиків? В умовах швидкої диджиталізації та дедалі більших кіберзагроз ці питання стають особливо актуальними. Зокрема для працівників органів публічної влади, які мають приділяти значну увагу захисту своїх даних, пристроїв та інфоресурсів. Наші експерти підготували прості поради, які допоможуть покращити навички цифрової безпеки й захистити важливі дані.

Ця стаття видана завдяки програмі «Український фонд швидкого реагування», що втілює IREX за підтримки Державного департаменту США. Вміст є виключною відповідальністю громадської організації «Інтерньюз-Україна» і не обов’язково відображає погляди IREX та Державного департаменту США. 

Кібербезпека: основи захисту

Кібербезпека, як й інформаційна безпека, ґрунтується на забезпечені конфіденційності, цілісності та доступності інформації. Саме тому більшість заходів цифрової безпеки спрямовані на захист цих основних аспектів. Проте спершу розберімось, що таке кібербезпека?

Кібербезпека — це комплекс процесів, порад і рішень, які допомагають захищати важливі системи та мережі від кібератак.

Кіберзагроза — це будь-які обставини або події, що можуть спричинити порушення політики безпеки інформації та/або завдати збитків автоматизованій системі.

Як захистити інформаційну систему? Для початку варто з’ясувати, які загрози можуть виникнути, і які саме ресурси потрібно захищати. Це важливо робити системно. Процес називається «оцінювання ризиків».

Спершу варто провести інвентаризацію цифрових активів — створити список усього обладнання, ПЗ, інформаційних систем і даних, що використовуються в роботі. Це можуть бути різні списки. Головне — наявність актуальних та цінних елементів.

Приклад списку цифрових активів: 

  1. Робочий комп’ютер, телефон, роутер, планшет.
  2. Робоча пошта, WhatsApp, Signal.
  3. Google Диск (або OneDrive), онлайн-банкінг, підписка на робочі сервіси.
  4. Проскановані документи, які зберігаються на деяких комп’ютерах.

Втрата даних співробітників та інші небезпеки: оцінюємо ситуацію

На цьому етапі варто визначити, наскільки важливі ці активи? Які проблеми можуть виникнути із кожним із них? Як вони вплинуть на роботу? Так ми виокремимо активи, які потрібно захищати.

Наприклад, втрата просканованих даних громадян може бути критичною. Бо це порушення Закону України «Про захист персональних даних». Ця ситуація може суттєво нашкодити людям, чиї дані оприлюднять. Також у документах на Google Диску часто зберігається чутлива інформація з даними від різних відділів. Тому важливо, щоби треті особи не отримали до них доступу.

Третій етап — зрозуміти, від чого ці активи потрібно захищати, і яким чином можуть проявитися негативні наслідки. Наприклад, працівник, який зберігає документи мешканців громади, завантажить на комп’ютер вірус, і зловмисник отримає доступ до даних. Або ж Google Docs побачить стороння людина, якщо доступ до файлу відкритий для всіх користувачів за посиланням. Таких сценаріїв може бути декілька для кожного активу.

Складаємо план і керуємо ризиками

Четвертий етап — розробити стратегію управління ризиками з огляду на сценарії небезпечних ситуацій, які можуть статися з важливою інформацією.

Що можна робити з ризиками:

  1. Зменшити — зробити певні кроки, щоби покращити стан цифрової системи організації.
  2. Уникнути — відмовитися від використання активу.
  3. Передати — домовитися з ІТ-компанією, яка контролюватиме стан системи.
  4. Прийняти — знати, що ризик є, але активно нічого не змінювати.

Наприклад, міська рада вирішить зменшити ризики, пов’язані з документами. Для цього треба відповісти на кілька запитань: «На якому пристрої файли зберігаються?», «Чи встановлена на ньому ліцензійна операційна система?», «Чи зашифрований жорсткий диск?», «Чи є пароль на вхід у систему та антивірус?», «Чи має стороння людина доступ до комп’ютера?».

Ще один сценарій — міська влада ухвалить рішення не використовувати Google Docs для роботи з важливими файлами. Для цього наявні онлайн-документи треба завантажити на комп’ютери та видалити із хмарного сховища. Тоді у працівників не буде можливості випадково поширити важливий документ із доступом за покликанням. Якщо зловмисники зламають Google Акаунт, не зможуть отримати доступ до файлів.

Завдяки оцінюванню ризиків видно, що варто зробити насамперед, аби підвищити цифрову безпеку. Наприклад, оновити програмне забезпечення, впровадити додаткові засоби захисту чи провести навчання для співробітників щодо правильного поводження з інформаційними системами. Оцінювати ризики можна як для всієї команди, так і для окремого працівника.

Звертайтесь до наших операторів за безоплатною консультацією ↓


    Суміжні матеріали: