| Внедряване на система за управление на съхранението, споделянето и автоматично архивиране на информация от работни станции и мобилни устройства: Одитът на киберсигурността, извършен през януари 2025 г., идентифицира като ключов риск липсата на централизирана и защитена система за съхранение, обмен и архивиране на данни в БЕБЕВИСТА ЕООД. Установено беше, че документите се съхраняват на различни лични устройства – лаптопи и телефони – без стандарт за именуване, защита с парола, криптиране или архивиране. Не съществува система за контрол на достъпа до файлове, споделяне или възстановяване при инцидент.
В допълнение, служителите и външните партньори (доставчици, счетоводна къща, маркетингова агенция) обменят чувствителна информация (напр. фактури, договори, финансова информация) по имейл или чрез мобилни приложения без защита от прихващане и без възможност за проследяване.
Одиторският екип посочи тези слабости като структурен риск от изтичане на данни, загуба на информация, компрометиране на документи и невъзможност за доказване на действия в случай на спор.
С оглед на това, проектът предвижда внедряване на локално решение за централизирано съхранение, споделяне и архивиране на информация, което да отговаря на следните функционални изисквания:
- Централизирана структура за съхранение на файлове, достъпна както от служители, така и от доверени външни партньори;
- Контролиран достъп на база потребител, роля и устройство;
- Сигурно споделяне на файлове, включително с временен достъп;
- Автоматично архивиране на файлове с възможност за възстановяване от предишни версии;
- RAID конфигурация за хардуерна устойчивост и защита от повреда;
- Система за журнализация (audit log) на всички действия (достъп, споделяне, редакции).
Това решение е базово условие за сигурна дигитална трансформация в МСП като БЕБЕВИСТА ЕООД. То ще послужи и като инфраструктурна основа за изграждане на защитен канал за достъп (по Дейност 2).
Устойчивост и поддръжка:
След края на проекта системата за съхранение и архивиране ще бъде поддържана от управителя на дружеството с помощта на външен ИТ консултант при необходимост. Предвиден е годишен бюджет за:
– подмяна на харддиск при отказ (предвиден в резерв);
– обновяване на фърмуер и системен софтуер;
– техническа проверка на архивните процеси и сигурността на достъпа;
– подновяване на лицензите за операционен и контролен софтуер (ако има такива).
Разходите са включени в бизнес плана на дружеството за период от минимум 3 години след приключване на проекта. БЕБЕВИСТА ЕООД се ангажира да гарантира работоспособността и сигурността на системата като основен елемент от оперативната си дейност. |
13 800.00
|
0.00
|
| Изграждане на защитени канали за предаване на данни между клиенти или офиси (VPN свързаност): В одитния доклад, изготвен през януари 2025 г., беше установено, че комуникацията и обменът на файлове между БЕБЕВИСТА ООД и нейните външни партньори (доставчици, счетоводство, маркетингова агенция) се извършват основно по незащитени канали – електронна поща, Viber, WhatsApp, както и чрез неофициално споделяне от лични облаци или устройства. Това поставя фирмата в ситуация на постоянен риск от:
- прихващане на чувствителна информация (напр. договори, фактури, търговски документи),
- компрометиране на данни, включително чрез фишинг атаки или злонамерен софтуер,
- загуба на контрол върху информацията, веднъж напуснала организацията.
Одиторският екип препоръча изграждане на виртуална частна мрежа (VPN), която да осигури криптиран и контролиран достъп до вътрешната система за съхранение и споделяне на данни (която се предвижда в рамките на Дейност 1).
Основната цел на тази дейност е да се гарантира, че достъпът до чувствителна информация ще се осъществява единствено чрез защитен криптиран канал, и само от предварително оторизирани потребители. Това ще позволи на управителя, служителя и външни доверени партньори да използват системата за съхранение при запазена цялост, поверителност и проследимост на данните.
Функционалните характеристики на изгражданата VPN инфраструктура ще включват:
- Криптиран тунел за връзка между вътрешната инфраструктура и отдалечени потребители;
- Контрол на достъпа чрез потребителски профили и политики;
- Интеграция със системата за съхранение (от Дейност 1);
- Проследимост чрез журнален запис на действията (audit logs);
- Възможност за настройка на профили с временен достъп (напр. за нов доставчик или временна консултация).
Тази дейност е съществена част от цялостната архитектура за сигурност и ще осигури непрекъсваем, но напълно защитен оперативен поток между основните участници в бизнес процесите на фирмата.
Устойчивост и поддръжка:
VPN инфраструктурата ще бъде поддържана и след края на проекта чрез:
- ежегодна проверка на конфигурацията от външен ИТ специалист;
- подмяна на хардуер при амортизация (предвидено в счетоводната политика на дружеството);
- актуализация на потребителските сертификати, криптиращи протоколи и настройки;
- подновяване на евентуално необходим софтуерен лиценз или поддръжка на отдалечен достъп.
БЕБЕВИСТА ЕООД предвижда целеви годишен разход за поддръжка на сигурността и функционалността на VPN достъпа, вписан в оперативния бюджет за поне 3 години напред. |
7 600.00
|
0.00
|
| Провеждане на тестове за уязвимости след изграждане на системите: Съгласно препоръките в одитния доклад, извършен през януари 2025 г., една от ключовите слабости в настоящото състояние на сигурността в БЕБЕВИСТА ЕООД е липсата на систематична оценка на уязвимостите, както и непроследено поведение на външни платформи и устройства, свързани с фирмения обмен на информация.
Одитът заключава, че дори при внедряване на технически решения за съхранение на данни (Дейност 1) и сигурен достъп (Дейност 2), реалното ниво на защита не може да бъде оценено обективно, без да се извърши целенасочено тестване на системите след тяхната имплементация.
За тази цел проектът предвижда наемане на външна специализирана фирма, която да извърши тестове за уязвимости, съобразени с мащаба и контекста на БЕБЕВИСТА ЕООД.
Тестването ще обхване:
- Системата за съхранение и архивиране (локална инфраструктура);
- VPN конфигурацията и достъпът от външни устройства;
- Потенциални грешки в управлението на потребителски достъп;
- Пробиви, свързани с настройки по подразбиране, слаби пароли, отворени портове и др.
Тестовете ще бъдат основно от тип „Black box“ и „Gray box“, без достъп до пълния вътрешен код, но с контролирана симулация на външен и полу-вътрешен нападател.
Целта е да се идентифицират реални слаби места, които са останали след внедряването на решенията по Дейности 1 и 2, и да се препоръчат адекватни коригиращи действия. По този начин фирмата ще изгради работещ цикъл на подобрение на киберсигурността, а не еднократна защита.
Устойчивост и поддръжка:
БЕБЕВИСТА ЕООД ще възприеме тестването за уязвимости като регулярна практика, а не като еднократна мярка. След първоначалния тест по проекта, в оперативния план на фирмата е включено:
- последващи вътрешни прегледи и проверки по препоръки от тестовите доклади;
- резервиран годишен бюджет за оценка и базови коригиращи действия.
Тези разходи ще бъдат поети от фирмения бюджет в следващите минимум 3 години, за да се гарантира устойчивост и непрекъснато подобряване на киберзащитата. |
10 800.00
|
0.00
|
| Повишаване на компетенциите на екипа в областта на киберсигурността, чрез обучения: В одитния доклад от януари 2025 г. като един от основните рискови фактори беше посочено липсата на формализирано обучение и киберхигиенни умения сред служителите на БЕБЕВИСТА ЕООД. Въпреки малкия екип, и двете лица (управител и служител) имат постоянен достъп до чувствителна информация и осъществяват комуникация с външни партньори. Отчитат се рискове, свързани с:
- използване на незащитени комуникационни канали;
- неразпознаване на фишинг съобщения и злонамерен софтуер;
- липса на политики и навици за безопасна работа с файлове и облачни ресурси;
- неправилно използване на новоинсталираните системи по проекта (споделяне на данни и VPN).
Човешкият фактор остава най-честата причина за инциденти в сигурността и одиторският екип изрично препоръча провеждане на целенасочено обучение, което да допълни технологичните мерки от предходните дейности и да гарантира, че системите ще бъдат използвани отговорно.
Обучението ще обхваща ключови теми от областта на киберсигурността, съобразени със спецификата на микропредприятие с дейност в ритейл сектора и онлайн търговията, включително:
- Основни принципи на киберсигурността;
- Работа със системата за съхранение и споделяне на файлове;
- Безопасна работа през VPN свързаност;
- Разпознаване на фишинг, социално инженерство и други типични атаки;
- Паролна сигурност и управление на достъпа;
- Реакции при инцидент и уведомяване на отговорно лице;
- Мобилна сигурност – използване на служебни и лични устройства.
Обучението ще бъде практическо, ориентирано към реалните процеси на фирмата, и ще завърши с документ за участие, издаден от обучителната организация.
Устойчивост и поддръжка:
След края на проекта БЕБЕВИСТА ЕООД ще осигури ежегодно опреснително обучение, особено при въвеждане на нови системи или добавяне на персонал. Компанията ще:
- включи разход за кратко външно обучение в годишния си оперативен бюджет;
- следи нови заплахи и ще осигурява подходяща информация за служителите;
- поддържа вътрешни инструкции и правила за сигурно поведение, които ще се преглеждат всяка година.
Тези мерки ще се изпълняват най-малко 3 години след проекта, като част от политиката за устойчиво управление на информационната сигурност. |
4 800.00
|
0.00
|
