Чек лист по минимизации санкционных рисков

MacBook
Фото Пащенко Илья

В статье я рассмотрю основные действия, которые должны быть предприняты в любой компании для минимизацией ИТ рисков связанных с введением санкций по отношению к Российским компаниям. Данные действия носят рекомендательных характер и могут применяться не во всех компания из-за отсутствия тех или иных технологий. В свою очередь я рекомендую максимально внимательно отнестись к вашей ИТ инфраструктуре и перепроверить все возможные уязвимые места, ведь не угадаешь как себя поведет западная машина. 


Создание резерва оборудования


На фоне введенных ограничений и повышенного курса на рынке возникла массовая истерия. Компании и физические лица скупают компьютеры, ноутбуки, телевизоры. В связи с возросшим спросом выросло и предложение.  На фоне ограничений поставок процессоров, материнских плат и других комплектующих возник дефицит товаров. Уделите один день и выполните следующие действия:

  • Составьте реестр запасов оборудования, определить потребности на 12 мес.
  • Рассмотрите заказ через неподсанкционных зарубежных партнеров/связанных организаций
  • Рассмотрите частичный переход на российскую облачную инфраструктуру

Обеспечить работу программного обеспечения


Нельзя недооценивать важность программного обеспечения в компании. Реестр ПО может показать на сколько ваша компания уязвима перед возможными проблемами. На текущий момент санкции не коснулись программного обеспечения и облачных решений, но если коснется, то коснется в самый неподходящий момент времени. По этому я рекомендую:

  • Подготовьте реестр ПО (софта, прошивок, микрокодов, сред разработки и т.п.)
  • Организуйте общее хранилище для дистрибутивов ПО, микрокодов, прошивок, бэкапов, сред и т.д.
  • Скопируйте и/ли забэкапить дистрибутивы и образы ПО/сред согласно реестра
  • Составьте перечень проприетарного софта с ограниченной лицензией/сертификатом и принять решение по каждой позиции
  • Составьте перечень облачного софта и принять решение по каждой позиции, рассмотрев альтернативы
  • Отключите автообновление ПО: серверного и пользовательского

Обеспечить резервные каналы коммуникации


Мессенджеры преобладают в корпоративном общении.  Это важный инструмент при решении бизнес задач. Многие компании общаются только с помощью быстрых сообщений, а зачастую для решения сложных задач используют общие чаты. Все это делает данный способ общения инструментом борьбы, по этому я рекомендую:

  • Выбрать альтернативные чаты для общения команд ( telegram , signal , express)
  • Нарастить мощности альтернативных средств внутренних коммуникаций (ВКС и пр.)

Обеспечить резервные инфраструктурные сервисы


Если ваша компания активно работает со своими клиентами через Интернет или у вас есть сайт, то вам необходимо  как минимум обратить внимание на этот пункт. Проблемы связанные с инфраструктурой обычно являются критическими и устраняются продолжительное время в следствии своих технологии. Особое внимание необходимо уделить конфигурациям оборудования, ведь его настройка занимает большее всего времени. Что бы избежать проблем с инфраструктурой, обязательно проверьте: 

  • Проверить и подготовить реестр бэкапов , а также проверить успешность бэкапов по реестру
  • Развернуть российские DNS сервера для минимизации риска блокировки разрешения имен иностранными DNS
  • Организовать отечественные центры сертификации для минимизации риска отзыва иностранными удостоверяющими центрами выданных Организации сертификатов и прекращения выпуска новых сертификатов безопасности, которые используются для предотвращения обращения клиентов к поддельным версиям сайтов и шифрования данных между клиентской и серверной частью для защиты передаваемых данных от несанкционированного доступа

Безопасность


На тему безопасности можно долго, но нельзя подходить с позиции “Да кому мы нужны”. Мир изменился. Теперь за шальное проникновение отвечают боты, по этому минимум что вы должны сделать находиться в списке:

  • Организовать резервный удаленный доступ
  • Наладить мониторинг атак, а также оповещения об атаках/угрозах

Организационные вопросы


Во время стихии нельзя поддаваться панике. Я считаю, что только спланированные действия приведут к успеху команду. ИТ отдел не является исключением. В тяжелой ситуации каждый участник команды четко должен знать, за что он отвечает и какой результат от него хотят получить. В компании не должны происходить процессы, которые могут повлиять на уже согласованные процесс. Что бы этого не произошло следуйте пяти правилам:

  • Общая коммуникация о важности сохранения непрерывности сервиса
  • Всем сотрудникам отключить автообновление софта и ОС на личных устройствах, используемых для удаленного доступа, с целью сохранения их работоспособности в случае появления обновлений, блокирующих работу какого либо ПО
  • Ввести стоп на изменения по ИТ, схему согласования исключений
  • Предоставить персоналу инструкции по взаимодействию, резервные схемы коммуникаций, доп. каналы эскалации
  • Организация гарантированной работы для критичных сотрудников (возврат из за рубежа, отпуска, организация связи и т.п.)

Оплаты услуг


Одной из первых проблем с которыми столкнётся практически любая развитая компания – это оплата зарубежных ресурсов. К таким можно отнести хостинги, VPN,  Miro, Slack и т.д. Что бы избежать неожиданных проблем выполните следующие пункты:

  • Составьте реестр сервисов которыми Вы пользуетесь или воспользуйтесь ранее составленным;
  • Добавьте в реестр сумму и сроки оплаты ресурсов. Важно, указывайте валюту платежа;
  • Проверьте настройку автоматических методов оплаты;
  • Проверьте, чтобы в способах оплаты не было карт санкционных банков;

Подрядные организации/контрагенты


Бизнес – это коммуникации многих компаний. Производители, дистрибьютеры, интеграторы, поставщики и т.д.   К сожалению, компания в первую очередь должна ставить свои интересы, а не интересы контрагентов. Скорее всего, у кого-то из партнеров могут возникнуть трудности, которые мы оперативно выявить, с целью уменьшения рисков.  Как минимум необходимо выполнить следующие пункты:

  • Провести анализ иностранных контрагентов на способ доступа к системам, составить реестр
  • Выполнить ограничения с учетом утвержденной схемы организации доступа
  • Наладить монторинг активности контрагентов