Информационная безопасность без бюджета

Информационная защита коммерческого предприятия — дорогое, но необходимое удовольствие. Однако малые и средние предприятия откладывают её создание на потом, полагая, что хакерам интереснее корпорации и банки. Однако статистика говорит об обратном: автоматизированные скрипты-сканеры не смотрят на оборот компании. Им всё равно, кого шифровать — транснациональный холдинг или локальную службу доставки.

Если у вас нет бюджета на дорогостоящие Next-Generation Firewalls, системы мониторинга или штатного офицера безопасности, это не значит, что вы беззащитны. Информационная безопасность — это не столько продукты, сколько процессы и дисциплина.

В этой статье мы разберем, как выстроить эшелонированную оборону, используя встроенные инструменты ОС, бесплатное ПО и организационные меры.

Инвентаризация: нельзя защитить то, чего не видишь

Первый шаг в ИБ без бюджета — это аудит. Вы должны точно знать, какие активы у вас есть. Большинство взломов происходит через «забытые» сервисы: старый тестовый поддомен с WordPress или заброшенный FTP-сервер.

Что сделать:

• Сканирование сети. Используйте Nmap (бесплатная утилита с открытым кодом). Просканируйте свои внешние IP-адреса на предмет открытых портов. Все, что не должно быть открыто наружу (БД, RDP без VPN, SMB), должно быть закрыто.
• Учет учетных записей. Составьте список всех сотрудников и их уровней доступа. Удалите «мертвые души» — аккаунты уволенных сотрудников.

Отнеситесь внимательно к собственной способности чётко выполнить этот процесс. Если есть сомнения в том, что всё получится сделать качественно, лучше обратитесь за аудитом. Например, наша заботливая техподдержка может ознакомиться с вашей системой и выявить слабые места.

Человеческий фактор

Социальная инженерия остается вектором атаки №1. Вы можете поставить самый дорогой файрвол, но секретарь сам введёт пароль от почты на фишинговом сайте.

Как внедрить культуру безопасности среди работников?

• Старое доброе обучение «на пальцах» — актуальное, если у вас не слишком много людей. Соберите коллектив и проведите 15-минутный инструктаж: объясните сотрудникам, что системный администратор никогда не просит пароль в Telegram, а вложения в письмах от «Налоговой» с расширением .exe или .js открывать нельзя.
• Политика чистого стола и экрана. Приучите сотрудников блокировать компьютер (Win+L) даже при выходе за кофе. Не стоит ни копейки, но защищает от внутренних угроз.
• Введите простейшие сервисы безопасности и обучите их безопасному использованию. Введите менеджеры паролей: запретите хранить их где-то ещё. Предложите использовать бесплатные версии Bitwarden или KeePassXC.

Управление доступом: принцип наименьших привилегий

Одна из главных ошибок — работа всех сотрудников под учетными записями администратора. В случае заражения одного компьютера вирусом-шифровальщиком, он получает права администратора и распространяется по всей сети.

• Права админа — только для админа. Обычный менеджер или бухгалтер не должен иметь прав на установку ПО, доступа по всей сети и т.д. Все рабочие задачи выполняются под «пользовательской» учеткой.
• Двухфакторная аутентификация (2FA). «Серебряная пуля» современной ИБ. Большинство сервисов (почта, CRM, облачные панели управления) поддерживают 2FA бесплатно. Используйте Google Authenticator, Microsoft Authenticator или FreeOTP. Даже если пароль украдут, без кода из приложения злоумышленник не войдет.

Защита периметра и операционных систем

Для Windows-инфраструктуры

• Windows Defender. Современный встроенный антивирус от Microsoft давно перестал быть «заглушкой». Для малого бизнеса его возможностей более чем достаточно, если он правильно настроен.
• AppLocker (или политики ограниченного использования программ). Запретите запуск исполняемых файлов из папок Temp и Downloads. Это остановит 90% простых вирусов.
• PowerShell Execution Policy. Ограничьте запуск неподписанных скриптов.

Для Linux-серверов

• SSH по ключам. Забудьте о доступе по паролю. Только SSH-ключи с парольной фразой (passphrase).
• Fail2Ban. Обязательная утилита, которая блокирует IP-адреса после нескольких неудачных попыток входа. Эффективно защищает от брутфорса.
• Настройка Firewall. Используйте встроенные iptables или более простой ufw (Uncomplicated Firewall). Принцип простой: закрыто всё, кроме того, что явно разрешено.

Бесплатный софт для ИБ (Open Source наше всё)

Когда бюджета нет, на помощь приходит сообщество Open Source. Существуют инструменты, которые по функционалу не уступают платным аналогам.

1. Сетевой экран и роутер. Если у вас есть старый компьютер с двумя сетевыми картами, установите pfSense или OPNsense. Это мощнейшие инструменты корпоративного уровня для фильтрации трафика, организации VPN и обнаружения вторжений.
2. VPN. Для безопасного удаленного доступа используйте WireGuard. Он быстрее и проще в настройке, чем OpenVPN.
3. Анализ уязвимостей: Greenbone Community Edition (ранее OpenVAS) — это полноценный сканер уязвимостей, который подскажет, какие патчи нужно установить в первую очередь.
4. DNS-фильтрация. Настройте корпоративные роутеры на использование NextDNS (есть бесплатный лимит) или Cloudflare 1.1.1.2/1.1.1.3 (фильтрация вредоносных сайтов и порнографии на уровне DNS).

Резервное копирование: последний рубеж обороны

Бэкап — это не совсем про ИБ, но это единственное, что спасет ваш бизнес, когда все остальные уровни защиты падут. В контексте «без бюджета» важно следовать правилу «3-2-1».

Как реализовать бесплатно:

• 3 копии: оригинал + 2 бэкапа.
• 2 разных носителя: например, на другой сервер и во внешнее облако.
• 1 копия вне офиса: автоматизируйте выгрузку зашифрованных резервных копий на удалённый сервер или любое внешнее хранилище, физически и логически отделённое от основной системы.
• Инструменты: для Linux идеально подходит Restic или BorgBackup (поддерживают дедупликацию и шифрование). Для Windows — встроенный «Архиватор Windows» или бесплатная версия Veeam Agent.

Важно: бэкапы должны храниться так, чтобы основной сервер не имел к ним доступа на удаление (режим Append-only). Иначе шифровальщик уничтожит и бэкапы тоже.

Обновления: «бесплатный» патч-менеджмент

Самый простой способ взломать систему — использовать известную уязвимость, для которой уже полгода как выпущен патч. Не стоит попадать под такие атаки.

• Автоматизируйте. Включите автоматическую установку обновлений безопасности для ОС.
• Стороннее ПО. Используйте бесплатную утилиту Patch My PC или пакетные менеджеры (типа winget в Windows или apt в Linux) для обновления браузеров, PDF-ридеров и других прикладных программ.

Мониторинг и логи: глаза администратора

Вы не узнаете, что вас взломали, если не смотрите в логи.

• Централизация. Для начала можно просто настроить пересылку критических логов на один выделенный сервер (syslog).
• Уведомления. Напишите простой bash/powershell скрипт, который мониторит логи на предмет слов «Failed password» или «Admin login» и присылает уведомление в Telegram-бота. Это делается за 30 минут и дает отличную видимость происходящего.

План действий: с чего начать завтра?

Если вы решили заняться ИБ «с понедельника» и без вложений, вот ваш чек-лист:

1. Понедельник. Включить 2FA везде, где это возможно (почта, админка сайта, личный кабинет провайдера).
2. Вторник. Проверить права пользователей. Забрать права администратора у всех, кому они не нужны для работы.
3. Среда. Настроить автоматическое обновление всех ОС.
4. Четверг. Проверить бэкапы. Не просто наличие файлов, а возможность из них восстановиться.
5. Пятница. Провести короткий ликбез для сотрудников по фишингу и паролям.

Заключение

Информационную безопасность невозможно настроить в один клик или купив её в одной коробке. Это процесс постоянного контроля и снижения рисков. Как показывает опыт, 80% угроз отсекаются базовой гигиеной: сложными паролями, наличием 2FA, отсутствием лишних прав и вовремя установленными обновлениями.

И, конечно, можно создать на предприятии систему ИБ даже и бесплатно, пусть даже это потребует сил, внимания и какой-никакой компетентности. Но проще будет воспользоваться для своего проекта облачными сервисами, в которых уже реализована защита неплохо уровня. Обратитесь к нашей заботливой техподдержке, и мы проведём аудит вашей системы, подскажем, где её можно улучшить, познакомим с услугами, которые усилят безопасность вашего проекта.