Кібергігієна для бізнесу — це базова цифрова безпека: як Ви захищаєте пошту, паролі, соцмережі, файли, дані клієнтів і доступи команди. Модуль 6 програми "Фінансова грамотність підприємців" прямо підкреслює, що для мікро- та малого бізнесу критично захищати пошту, телефон і ноутбук, соцмережі й месенджери, документи, клієнтські контакти та репутацію бренду. Ми зібрали найкориснішу інформацію, із практичними інструментами, якими може користуватися кожен.

З чого почати? Крок №1

Перший крок: зрозуміти, що саме у Вашому бізнесі є цифровим активом.

*Цифрові активи — це все, без чого бізнес не зможе нормально працювати: корпоративна пошта, Instagram або Facebook-сторінка, банкінг, CRM, Google Drive, месенджери, база клієнтів, шаблони договорів, фото товарів, рекламні кабінети.

Простими словами, Ви можете розпочати із того, що створите "карту цифрових активів”: потрібно зафіксувати, які сервіси критичні, хто має до них доступ і як відновлюється доступ у разі проблеми.

Дайте відповідь на 4 ключові питання:

1. Що Ви захищаєте

2. Хто має доступ

3. Як Ви це відновите після зламу чи втрати

4. Що Ви зробите в перші години після інциденту

Крок №2. Сильний пароль

Сильний пароль — це пароль, який:

• Унікальний для кожного сервісу

• Довгий

• Не пов’язаний із Вашим ім’ям, брендом, датою народження чи номером телефону

Важливо!

Один сервіс — один пароль, а повторення паролів є однією з найпоширеніших помилок бізнесу. Також рекомендовано використовувати від 12 символів і комбінацію великих та малих літер, цифр і символів.

Чому це важливо: якщо один і той самий пароль стоїть і на пошті, і в Instagram, і в банкінгу, то злам одного сервісу автоматично ставить під ризик усі інші.

Сервіс Have I Been Pwned дозволяє користувачам перевірити, чи були їхні особисті дані (електронна пошта, паролі, номери телефонів) скомпрометовані внаслідок витоків інформації з різних сайтів та сервісів. Таким чином повторне використання паролів є дуже поширеним і саме воно дозволяє зловмисникам використовувати комбінації email+пароль з витоків для доступу до інших акаунтів.

Крок №3. Менеджер паролів

Менеджер паролів — це програма, яка безпечно зберігає Ваші логіни, паролі, нотатки, інколи коди 2FA (подвійної аутентифікації), а також може автоматично підставляти їх у браузері. Його головна користь у тому, що Вам не потрібно пам’ятати десятки паролів або записувати їх у нотатки, Excel чи в чат із собою. Це інструмент, що дозволяє зберігати унікальні паролі, швидко бачити, хто має доступ і де пароль уже пора змінити.

Які менеджери паролів варто розглянути?

Bitwarden Підійде, якщо Вам потрібен зрозумілий і популярний варіант для особистого використання або малого бізнесу. На офіційному сайті Bitwarden зазначено, що сервіс дозволяє генерувати, зберігати та автозаповнювати сильні унікальні паролі, працює на різних пристроях і позиціонується як open-source рішення. (Платний)

1Password Хороший варіант для команди, якщо Вам важливі спільні сховища, керування доступами й зручний інтерфейс. 1Password описує себе як сервіс для безпечного керування паролями, обліковими даними й доступом, а також окремо пропонує рішення для бізнесу та команд. (Платний)

KeePassXC Підійде тим, хто хоче більш автономний, локальний підхід. KeePassXC — це open-source менеджер паролів, який зберігає дані в зашифрованому офлайн-файлі. На офіційному сайті наголошується, що він працює на Windows, macOS і Linux і підходить користувачам, яким важливий контроль над зберіганням даних без хмари. (Безкоштовний)

Proton Pass Підійде, якщо Вам важливі сучасний інтерфейс, синхронізація між пристроями та акцент на приватності. Офіційний сайт Proton Pass зазначає, що це open-source менеджер паролів із end-to-end encryption, підтримкою паролів, passkeys, email aliases і роботи на різних пристроях.(Безкоштовний)

Як обрати менеджер паролів?

Для мікро- та малого бізнесу логіка проста:

• Якщо потрібен простий старт і безкоштовна база — дивіться на Bitwarden

• Якщо потрібна командна робота і зручне керування доступами — 1Password

• Якщо хочете офлайн-контроль і мінімум залежності від хмар — KeePassXC

• Якщо важлива приватність і сучасна екосистема — Proton Pass

Проте вибір за Вами, можливо функціональність одного менеджера для Вас буде вигравати перед другою, тож орієнтуйтесь на свої потреби.

Крок №4. 2FA / MFA (двофакторна автентифікація, багатофакторна автентифікація)

2FA — це двофакторна автентифікація. Простими словами, це другий крок перевірки після пароля. Наприклад: Ви вводите пароль, а потім ще підтверджуєте вхід кодом із застосунку або push-повідомленням.

MFA — це багатофакторна автентифікація. Тобто факторів може бути більше двох: пароль, код, біометрія, ключ безпеки тощо.

Рекомендовано вмикати 2FA насамперед на пошті, у соцмережах, банкінгу, хмарному диску та месенджерах. Найкращий варіант — застосунок-аутентифікатор або ключ безпеки; SMS краще, ніж нічого, але слабший варіант.

Чому це важливо: навіть якщо пароль десь витік, другого бар’єра може вистачити, щоб зловмисник не зайшов у Ваш акаунт. Але 2FA не скасовує уважності: код теж можуть виманити через шахрайський дзвінок, фішинговий лист чи повідомлення.

Крок №5. Резервний email, коди відновлення, активні сесії

Резервний email — це запасна пошта, через яку Ви зможете повернути доступ до акаунта. Коди відновлення — це одноразові запасні коди, які сервіс дає на випадок, якщо Ви втратите телефон або доступ до 2FA. Активні сесії — це список пристроїв і браузерів, де Ваш акаунт уже відкритий.

Раз на місяць варто перевіряти, які пристрої, браузери й додатки вже авторизовані, а після звільнення підрядника чи зміни номера телефону одразу оновлювати ці налаштування.

Крок №6. Backup (резервна копія)

Backup або резервна копія — це дубль Ваших важливих файлів і даних, який зберігається окремо від основного пристрою. Якщо ноутбук зламається, хмара заблокується або файли зашифрує шкідлива програма, Ви зможете відновити бізнес-дані.

Використовуйте правило 3-2-1:

• 3 копії важливих даних

• 2 різні носії або середовища

• 1 копія — окремо від основного пристрою

Що саме варто "бекапити" в бізнесі:

• Договори

• Фінансові файли

• Фото товарів

• Шаблони документів

• Базу клієнтів

• Доступи й інструкції для команди

*Перелік може бути довшим, у залежності від Вашого бізнесу.

Крок №7. Фішинг

Фішинг (спроба спіймати Вас на гачок) — це шахрайська спроба змусити Вас самостійно віддати пароль, код, реквізити чи іншу чутливу інформацію. Зазвичай це роблять через підроблені листи, повідомлення, сайти або фейкові “термінові” запити.

Підозріле фішингове повідомлення може мати такі характеристики: терміновість, дивний домен або відправник, запит на код чи пароль, незвичний файл або нетипову вимогу щодо платежу. Також є правило другого каналу: якщо змінюються реквізити, картка чи отримувач — перевіряти це треба окремо, телефоном або через звичний канал, а не через той самий лист чи чат.

Для тренування фішингової уважності можна пройти Google / Jigsaw Phishing Quiz. Офіційна сторінка прямо пропонує перевірити, чи вмієте Ви розпізнавати фішинг.

Посилання: https://phishingquiz.withgoogle.com/

Крок №8. Гігієна: практичні інструменти для перевірок

1. VirusTotal

VirusTotal — це сервіс для перевірки файлів і URL на віруси, шкідливі програми та підозрілу активність. У його “light” версії прямо зазначено, що це безкоштовний онлайн-сервіс для перевірки вірусів, шкідливого ПЗ та URL-адрес. Тобто це спосіб перевіряти підозрілі посилання.

Посилання: https://www.virustotal.com/gui/home/url

Коли використовувати:

• Вам прийшло дивне посилання

• Постачальник раптом надіслав файл з незрозумілою назвою

• Ви не впевнені, чи безпечно відкривати вкладення

2. Have I Been Pwned

Have I Been Pwned — сервіс, який дозволяє перевірити, чи з’являлася Ваша email-адреса у відомих витоках даних. Є також функція сповіщень про майбутні витоки.

Посилання: https://haveibeenpwned.com/

Сповіщення: https://haveibeenpwned.com/NotifyMe

Коли використовувати:

• Щоб перевірити корпоративну пошту

• Щоб зрозуміти, які акаунти варто терміново перепаролити

• Щоб підключити сповіщення для ключових email

3. Pwned Passwords

Це окрема функція Have I Been Pwned для перевірки, чи зустрічався Ваш пароль у відомих витоках. У FAQ сервісу пояснюється, що Pwned Passwords дозволяє перевірити, чи пароль уже був скомпрометований у витоках.

Посилання: https://haveibeenpwned.com/Passwords

Коли використовувати:

• Якщо у Вас старі паролі

• Якщо команда роками користується схожими комбінаціями

• Якщо хочете почистити найризикованіші доступи

4. Exodus Privacy

Exodus Privacy — інструмент для аналізу Android-додатків на наявність трекерів і надмірних дозволів.

Посилання: https://exodus-privacy.eu.org/en/

Звіти: https://reports.exodus-privacy.eu.org/

Коли використовувати:

• Перед встановленням нового застосунку для бізнесу

• Якщо команда працює з Android

• Коли хочете зрозуміти, чи не збирає додаток зайві дані

Мінімальний план кібергігієни для бізнесу

За 24 години

1. Увімкнути 2FA на пошті, у соцмережах і месенджерах

2. Змінити паролі на пошті та інших критичних сервісах

3. Перевірити резервний email, коди відновлення та активні сесії

4. Визначити 5 критичних сервісів і 5 критичних наборів даних

5. Записати, хто має доступ до чого прямо зараз

За 30 днів

1. Впровадити менеджер паролів хоча б для 10–15 ключових акаунтів

2. Налаштувати зрозумілу структуру папок у хмарі

3. Зробити резервну копію критичних документів

4. Зафіксувати перелік адміністраторів, підрядників і ролей доступу

5. Створити простий алгоритм перевірки платежів і змін реквізитів

6. Описати короткий план реагування на інцидент для себе й команди

Що таке “план реагування на інцидент”

Це не складний документ приблизно 20 сторінок.

Малому бізнесу потрібно буде детально прописати відповіді на такі питання:

• Кого Ви повідомляєте?

• Які доступи змінюєте першими?

• Куди звертаєтесь?

• Як комунікуєте з клієнтами?

Серед точок звернення можуть бути: банк, сам сервіс через офіційні канали, кіберполіція, команда та клієнти, якщо інцидент зачіпає їхні дані чи взаємодію з бізнесом.

Кібергігієна — це важлива частина управління бізнесом. Вона починається з плану: окрема робоча пошта, унікальні паролі, 2FA, резервні копії, контроль доступів, уважність до посилань і зрозумілий порядок дій у кризовій ситуації.

Публікація розроблена в межах програми "Фінансова грамотність підприємців". Блок 1. Модуль 6: Практикум з цифрових навичок та кібергігієни для мікро- та малого бізнесу.