Информационная безопасность компании — комплекс мер организационного и технического характера, который направлен на сохранение и защиту информации и ее ключевых элементов, а также оборудование и системы, которые используются для работы с информацией, ее хранения и передачи.

Лишь системный и комплексный подход к защите может обеспечить информационную безопасность.

В этой статье рассказываем о мерах, которые необходимо предпринять для сохранения своего аккаунта в безопасности. Вы можете ответить на простые вопросы теста и получить дополнительные рекомендации.

«Ты не пройдешь»

Двухфакторная аутентификация справедливо считается одним из самых надежных инструментов защиты аккаунта на сегодняшний день. Это система доступа, которая основана на двух ключах: привычный вам пароль + специальный уникальный код, который регулярно обновляется.

Доступ к коду при этом есть только у владельца площадки через специальное приложение.

 

Подключена ли для вашего личного кабинета двухфакторная аутентификация?

 

 
 
 
 

После подключения двухфакторной аутентификации на LeadVertex при каждой попытке входа в ваш аккаунт вам нужно будет ввести 6-значный код, генерируемый приложением Google Authentificator.
Для подключения откройте в вашем личном кабинете ваш профиль и выберите команду “Активация 2FA”. Следуйте подсказкам.

Для подключения вам необходимо:

  1. Скачать приложение Google Authentificator
  2. Отсканировать QR-код для подключения учетной записи LeadVertex

Ссылки для скачивания есть на странице подключения, поэтому вам не нужно ничего искать.

«Кто хозяин кабинета?»

Представьте, вы — владелец предприятия и все сотрудники знают вас в лицо. На предприятии произошла кадровая замена, у вас новый охранник. Вы забыли дома пропуск и новый сотрудник не пропускает вас. У сотрудника есть регламент и он четко ему следует. Как, вероятнее всего, вы поступите с таким сотрудником? Накажете за то, что не узнает руководителя в лицо или поблагодарите за ответственный подход к выполнению своей работы?

На практике специалистам службы поддержки приходится быть упрямым охранником, который не допускает владельца в его ЛК без подтверждения данных. В этом мы преследуем только одну цель — защитить ваш личный кабинет и уберечь данные от утечки.
Случаи, когда предприниматели теряли доступ к своим аккаунтам и не могли его восстановить из-за недостоверных данных, указанных при соглашении, уже случались.

 

 

Ваш аккаунт подтвержден на

 

 
 
 
 

Аккаунт предпринимателя должен быть подтвержден на имя и номер телефона реального владельца площадки. Если вы пренебрегаете этим и подтверждаете аккаунт на данные, например, системного администратора, то именно ваш сисадмин будет восприниматься системой и агентами поддержки как владелец площадки.

Мы не рекомендуем вам приобретать чужие аккаунты.
Если все же по какой-то причине вы становитесь новым владельцем старого аккаунта, вам нужно заново пройти пользовательское соглашение, предварительно договорившись с владельцем площадки о том, что он подтвердит передачу аккаунта по телефону.

«Не звени ключами от тайн ©Ежи Лец»

Согласно опросу Avast, 55% российских пользователей используют одинаковые пароли для разных аккаунтов, хотя 94% знают, что это опасно.

Самые популярные способы хранить пароли:

  • запомнить
  • записать на бумаге
  • хранить на внешнем накопителе (флешке) и носить с собой
  • файл в облаке или в чате с собой в мессенджере или соц сетях
  • в браузере
  • в специальном менеджере паролей

Пароль должен быть сложным и состоять не менее чем из 8 символов.

Создавать множество сложных паролей и хранить их все в памяти очень сложно. Хранить пароли на бумаге небезопасно как минимум по двум причинам: бумажный носитель может быть утерян или использован злоумышленником. Аналогично с электронными носителями. Также небезопасно хранить пароли в мессенджерах или облаке из-за угрозы взлома. Функция сохранения пароля в браузере упрощает процесс авторизации, но пароль может быть удален при обновлении или очистке кэша, к тому же такой вариант не исключает доступа третьих лиц к аккаунту или взлом из-за вируса на вашем устройстве.

Мы рекомендуем использовать менеджеры паролей, например Keepass. Все пароли будут храниться в зашифрованной базе данных, которая закрывается уникальным мастер-паролем. Таким образом, вам нужно придумать только один сложный надежный пароль и хранить его в голове.

Вы храните пароль от личного кабинета

 

 
 
 
 

Создавайте сложные пароли, которые не связаны с именами родственников, датой рождения или кличкой домашнего питомца. Проще всего использовать генераторы паролей.

Не храните пароли в памяти браузера, личных переписках, в документах на ПК или флеш-накопителях, записных книжках или стикерах. Лучше всего держать пароли в голове, проще — в специальном софте, вроде KeePass.

Регулярно меняйте пароль от почты, на которую зарегистрирован аккаунт.

«— Как ты его заставил?
— Я угрожал раскрыть его тайну.
— Какую?
— Я без понятия, я блефовал. Но, должно быть, что-то ужасное. © Менталист»

Социальная инженерия – способ получения необходимого доступа к информации.

Метод основан на особенностях психологии людей. Целью является получение доступа к конфиденциальной информации, паролям и другим защищенным системам, в том числе для несанкционированного доступа к компьютеру жертвы для установки на него вредоносного ПО. Мошенники часто прибегают к подобной практике, ведь таким образом значительно проще добыть учетные данные, нежели получить их путем взлома системы безопасности.

Пользователи – самое слабое звено с точки зрения защиты любой системы. Социальная инженерия направлена на использование присущих людям слабостей, таких как торопливость, страх перед официальным учреждением, желанием помочь каждому или получить дополнительных доход, для получения конфиденциальной информации и доступа в систему.

Самый эффективный способ не стать жертвой подобных действий — сохранять бдительность и не позволять злоумышленникам себя обмануть. Помните, что методы социальной инженерии разработаны профессионалами своего дела, распознать обман порой не под силу даже специалистам.  Основным отличием социальной инженерии является использование человека, а не системы компьютера, для выполнения атаки.

Например, есть такой метод как «претекстинг».  По сути это выдача себя за другого человека с целью получения желаемых данных. Получить информацию о человеке можно через источники с открытым доступом, в основном — из социальных сетей. Одной из техник социальной инженерии является «плечевой серфинг», который применяется в транспорте, в кафе и других общественных местах, позволяющих через плечо жертвы наблюдать за компьютерными устройствами и телефонами. Бывают ситуации, в которых пользователь сам предлагает мошеннику необходимую информацию, будучи уверенным в порядочности человека.

Выше в этой статье рассказывается о необходимости подтверждать свой аккаунт LeadVertex на достоверные данные реального владельца аккаунта. Ведь в случае утраты доступа к аккаунту и почте, ваш паспорт и телефон могут стать последним ключиком на пути к восстановлению аккаунта. Сотрудники LeadVertex не поверят никаким даже самым убедительным доказательствам посетителя в том, что именно он владелец площадки, будь то хоть платежные поручения, хоть данные отправителя в настройках почтовых бланков, так как мы знаем механизмы работы социальной инженерии.

Как вы видите, для защиты компании от мошенничества необходимо обучать персонал распознавать социальную инженерию и правильно на нее реагировать.

 

Проводите ли вы ликбез по информационной безопасности для сотрудников?