IT-компанії — привабливі цілі для кіберзловмисників: доступ до коду клієнтів, фінансові дані, корпоративна пошта, сховища документів. При цьому більшість малих і середніх IT-компаній захищені слабше, ніж великий enterprise, якому вони надають послуги. Ця стаття — про базовий рівень захисту, який закриває 80% найпоширеніших векторів атак.
Три найпоширеніші вектори атак на IT-компанії
Фішинг і компрометація облікових записів. Понад 80% успішних атак починаються з фішингового листа або вкраденого пароля. Співробітник клікає посилання, вводить дані — і зловмисник отримує доступ до корпоративного акаунту Google або Microsoft.
Атаки на ланцюг постачання (supply chain). Ваша компанія — підрядник клієнта. Якщо у вас є доступ до їхньої інфраструктури або коду, ви стаєте вектором атаки на клієнта. Це юридично і репутаційно критично.
Незахищені сховища коду і секрети в репозиторіях. API ключі, токени, паролі бази даних, що потрапили у Git-репозиторій (навіть у private) — одна з найчастіших причин витоку даних в IT-компаніях.
Мінімальний чеклист захисту
1. MFA на всіх корпоративних акаунтах
Google Workspace, Microsoft 365, GitHub, AWS, Cloudflare — всі акаунти повинні мати двофакторну автентифікацію. Апаратний ключ (YubiKey) надійніший за SMS або TOTP-код, але TOTP через Google Authenticator вже суттєво краще за відсутність MFA.
2. Password manager для всієї команди
1Password Teams або Bitwarden Business. Корпоративний менеджер паролів вирішує дві проблеми: унікальні паролі для кожного сервісу і відкликання доступу при звільненні співробітника без зміни паролів вручну.
3. Сканування репозиторіїв на секрети
GitHub має вбудований Secret Scanning для публічних і приватних репозиторіїв. Увімкніть його безкоштовно в налаштуваннях організації. Додатково: gitleaks як pre-commit hook блокує коміт, що містить потенційний секрет, до того як він потрапить у Git-історію.
4. Принцип мінімальних привілеїв
Кожен співробітник і кожна інтеграція повинні мати рівно стільки доступу, скільки потрібно для роботи — і не більше. Розробник не повинен мати доступ до production бази даних, якщо його завдання — робота з staging. Service account для CI/CD не повинен мати права адміністратора.
5. Резервні копії за правилом 3-2-1
3 копії даних, 2 різних носії, 1 offsite (хмарне сховище). Для IT-компаній критичні: репозиторії (GitHub не є backup), бази даних проектів, корпоративна документація. Backblaze B2 або AWS S3 Glacier — недорогі варіанти для холодного зберігання.
Правовий вимір кібербезпеки
Для компаній, що працюють з клієнтами в ЄС, GDPR зобов'язує повідомляти наглядовий орган про витік персональних даних протягом 72 годин. Штрафи — до 4% річного обороту або 20 млн євро. Але навіть без ЄС-клієнтів: договори з клієнтами часто містять SLA і відповідальність за витік конфіденційних даних.
Мінімум, що потрібно мати в порядку юридично:
- NDA з усіма співробітниками і підрядниками, що охоплює конфіденційні дані клієнтів
- Чіткий розділ у клієнтських договорах про зберігання і захист даних
- Politique безпеки (хоча б базовий документ) — деякі клієнти вимагають це при onboarding
Що перевіряти раз на квартал
Кібербезпека — не одноразове налаштування, а процес. Квартальний аудит: перевірте, хто має доступ до яких систем і чи є там звільнені; оновіть залежності в проектах (npm audit, pip check); перевірте, чи всі backup-и відновлюються (backup без тесту відновлення — не backup).
Більшість інцидентів безпеки — не результат складних атак. Це вкрадений пароль, незакритий доступ звільненого співробітника або секрет у публічному репозиторії. Базові заходи закривають ці вектори повністю.