© 2020 Студія Ravlyk

Школа безпеки Online-бізнесу

Для Вас:

Ефективні поради для захисту вашого online капіталу

Зробіть це сьогодні! Нудні, але дієві, поради з безпеки онлайн-бізнесу

Незважаючи на вражаючу статистику кіберзлочинів за 2019 рік, ми й надалі довіряємо мережі найцінніші і найтаємніші свої дані, в обмін на результати тесту “Якої б породи ти був, якби був котом”. Погодьтесь, що історія переглядів у Google здатна розповісти про вас значно більше, аніж на момент прочитання цього тексту, знають найближчі люди – родичі, друзі, партнери по бізнесу.

Ми не будемо тягнути кота за хвіст, і одразу перейдемо до чеклиста. Рекомендуємо не просто переглянути його, а виконувати поради вже під час прочитання тексту. Приступімо!

Сховайте доступи до усіх аккаунтів в надійне місце

Зберігайте список усіх ваших аккаунтів і паролі до них на своєму Google диску в спеціально виділеній папці, доступ до якої матимете лише ви. Створіть у ній документ такого зразка.

Якщо ви лише починаєте свою справу, рекомендуємо створити окрему пошту для реєстрації на неї усіх бізнес-аккаунтів (facebook, Instagram…).

Сформуйте незламний пароль, який:

  • Складається з не менше як 8 символів;
  • Містить великі і малі букви латинського алфавіту, цифри та спеціальні символи (дужки, лапки, знак оклику тощо)
  • Не містить існуючих слів чи дат народження

На ключові акаунти, а саме: для електронної пошти, Facebook-сторінки, хостинга, домена, підключіть двофакторну авторизацію. Це, з одного боку, забезпечить надійний захист ваших аккаунтів. З іншого, у разі втрати паролю, дозволить легко відновити доступ до них.

Двофакторна авторизація – це подвійне підтвердження при вході в аккаунт, наприклад, за допомогою введення коду, отриманого через SMS.

Купіть доменне ім’я самостійно або контролюйте процес

Якщо у вас є сайт і ви уже купили для себе домен у Вас обов’яково має бути до нього доступ. Не довіряйте покупку домену веб-студіям, фрілансерам чи іншим третім людям.

Якщо ж домен купували не ви, обов’язково візьміть доступ до кабінету та змініть контактну інформацію (електронна пошта, номер телефону, пароль) на свою. Також не забувайте про двофакторну авторизацію. Оскільки в кабінет з доменним ім’я ви максимум будете заходити раз в рік для продовження терміну його дії, то двофакторна авторизація не надто псуватиме вам життя.

Дуже важливо, щоб до аккаунту з доменним ім’ям була прив’язана актуальна електронна скринька, оскільки нагадування про закінчення терміну дії домену будуть приходити саме на неї. Якщо ви вкажете пошту, якою не користуєтесь, то з великою ймовірністю пропустите ці нагадування і протермінуєте оплату за хостинг.

Лише починаєте власну справу? Вам слід придбати доменне ім’я у перевірених реєстраторів. Якщо йдеться про домен із локальної зони (наприклад, com.ua) використовуйте реєстратора https://www.imena.ua/ якщо ж домен із світової сітки (наприклад com), рекомендуємо використовувати реєстратора доменних імен https://godaddy.com/.

Заплатіть за хостинг самостійно або контролюйте процес

Ви обов’язково повинні мати доступ до хостинг аккаунту! А по завершенні процесу розробки сайту, змінити пароль та обмежити доступ третіх осіб до нього. І, звісно, не забути про двофакторну авторизацію.

Лише приступаєте до створення власного сайту? При виборі хостингу, перш за все, орієнтуйтесь на технічні вимоги до нього з боку розробників сайту, врахуйте, яким буде навантаження користувачів на сайт, назвіть плановану кількість відвідувачів у день своїм технічним фахівцям. Лише так вони зможуть врахувати ці фактори при формуванні технічниг вимог.

Якщо ви плануєте використовувати корпоративну пошту для свого бізнесу, і розмістити її там же, де й сайт, подбайте, щоб у хостинг аккаунті було достатньо місця для листів та файлів, які Вам присилають – як правило, 2 гігабайтів в рік достатньо (звісно, якщо ви не поліграфічна компанія або не займаєтесь виготовленням графічної продукції тощо, бо у такому разі вам пересилатимуть велику кількість файлів).

Подбайте про безпеку сайту

Інформація буде актуальна і власникам сайтів, і тим, хто планує от-от створити власний ресурс.

Доступ до адміністративної панелі

У вас, як у власника ресурсу, має бути доступ найвищого рівня (адміністратора, а не простого редактора) до сайту, щоб, у разі необхідності, ви змогли швидко відреагувати, і мали повний контроль над власним сайтом. Якщо розробник сайту ще не надав вам такого доступу, негайно отримайте його і запишіть отримані дані для входу у свій документ такого типу.

Якщо, для внесення контенту або виконання певних робіт, доступ до сайту надавався третім особам, а заплановані роботи вже закінчені, – обов’язково заберіть у них цей доступ. Якщо ви створювали з цією метою спеціального користувача на сайті, видаліть його. Якщо надавали доступ адміністратора (ваш власний), обов’язково змініть пароль.

Які вимоги до входу в адміністративну панель ви повинні ставити до розробників:

  1. Вхід в адмін-панель не повинен генеруватись таким чином: <назва сайту>/admin або <назва сайту>/login;
  2. Має бути обмежена кількість спроб некоректного введення паролю, після чого слід блокувати можливість входу в адмін-панель. Рекомендуємо дозволяти до 5 спроб входу, після чого блокувати можливість увійти в панель протягом 1-2 годин.

Безпека користувачів

Вимогою №1 є наявність ssl-сертифікату (відомого як HTTPS версія сайту).

Він гарантує безпеку передачі даних користувача (наприклад, при надсиланні форми із вашого сайту), враховується при ранжуванні сайтів в пошуковій видачі.

Крім того, браузери позначають сайти без ssl-сертифікату як небезпечні.

Якщо у вас наявна реєстрація на сайті, то:

  1. Обов’язково підтверджуйте реєстрацію користувача поштою або телефоном;
  2. Не дозволяйте використовувати слабкі паролі;
  3. Використовуйте капчу при вводі даних (вході на сайт та реєстрації).

Подбайте про безпеку сторінок в соціальних мережах

  • Отримайте доступ до усіх ваших сторінок, не лише facebook чи instagram, а також Google my business аккаунтів, торгових майданчиків, таких як prom.ua та ін.
  • Якщо хтось, хто адміністрував вашу сторінку, припинив це робити, не відкладайте на завтра, позбавляйте цю особу доступу
  • До усіх соцмереж підв’язуйте лише ваш номер телефону

Обмежте доступ до бази даних клієнтів

База даних ваших клієнтів є дуже цнною інформацію, тому доступ до неї повинен бути у дуже обмеженого кола людей – у вас і в осіб, які безпосередньо комунікують з ними.

Халатне ставлення до інформації про клієнтів загрожує:

  • Використанням працівниками чи третіми особами інформації про клієнтів у власних цілях;
  • Продажем бази клієнтів конкуренту або відкриття працівником власної справи на основі вашої бази;
  • Репутаційними втратами, у зв’язку зі злиттям вашої бази у вільний доступ;
  • Судовими позовами клієнтів щодо недотримання політики конфіденційності, у разі передачі інформації третім особам.

Ваша інтелектуальна власність і контроль її використання

Як правило, у малому та часто навіть у середньому бізнесі не ведеться контроль за використанням та коректним зберіганням з обмеженням доступу матеріалів, які належать компанії.

Захистіть дані про:

  1. Фінанси
    1. Виписані клієнтам рахунки
    2. Чеки та облік Ваших витрат
    3. Інформацію про ваші доходи
    4. Зарплатну відомість
  2. Кадри
    1. Резюме кандидатів та ваших працівників
    2. Угоди з працівниками
    3. Пропозиції працівникам щодо початку співпраці та документ, що регулює розвиток працівників в компанії
  3. Клієнтів
    1. Установчі документи
    2. Угоди
    3. Внутрішні документи, прайси та інше
  4. Виготовлений вами контент
    1. Лого та елементи фірмового стилю
    2. Тексти (для блогу, постів у соціальних мережах)
    3. Графічні матеріали
    4. Резервні копії сайту та поштових скриньок
    5. Архіви та фіди вашої продукції
    6. Базу даних електронних скриньок клієнтів

Організуйте перераховані вище файли таким чином, щоб доступ до них був лише у тих працівників компанії, хто безпосередньо з нею працює.

Багато підприємців організовують свій бізнес на основі документів Google Drive чи схожої системи, проте забувають контролювати рівні доступів до файлів і папок. Рекомендуємо регулярно, раз на 2 місяці перевіряти, кому і які доступи надані, щоб уникнути витоків та незаконного використання вашої інтелектуальної власності.

Якщо ви дочитали до кінця і при цьому ще виконали хоча б частину із запропонованих заходів (залишивши втілення решти максимум до завтрашнього ранку!), то можете сьогодні заснути спокійно.

До речі, з метою безпеки, команда Ravlyk studio забороняє вам проходити тести типу “Якої б породи ти був, якби був котом” з бізнес-пошти. Бо котом вам усе одно не стати. 🙂

123

Залишились питання? Обговоримо їх!