Как защитить имущество от кредиторов
Продолжая тему, расскажем про ещё один эффективный метод защиты имущества. Это залог.
Договор залога обязательно вносится в реестр. Залоговое имущество или нет, видно. Задним числом сделать это не получится. Оператором реестра уведомлений о залогах движимого имущества является Федеральная нотариальная палата. Если объект – недвижимость, необходимо зарегистрировать договор залога в Росреестре. Можно сделать у нотариуса или в МФЦ.
А если имущество уже заложено третьему лицу, то претендовать на него в полном объеме нельзя. По сути, оно не принадлежит должнику. Да, в отдельных случаях, если начата процедура банкротства, оно может быть продано, но минимум 70% стоимости должно перейти залогодержателю.
Простым языком, вы взяли в долг у человека под залог автомобиля, на котором продолжаете ездить. Понятно, что на данный авто никакие сторонние кредиторы претендовать не могут, пока долг не будет возвращен. Если этого не случится вовсе, автомобиль уйдет тому, кто ссудил деньги. Та же самая ипотека – это заем под залог квартиры.
Как это работает? Вот кредиторы узнают, что у лица имеется объект недвижимости. Арбитражный управляющий намеревается его продать, чтобы раздать долги, но выясняется, что существует договор залога со сторонним лицом, которое ранее ссудило должнику средства. Кстати, залог может оформляться отдельным договором от договора займа.
В процессе процедуры банкротства имущество реализуется, но 70% отходит залогодержателю, с которым может иметь место договоренность. Но здесь, как и в случае продажи или вывода имущества, есть ряд условий, которые необходимо соблюсти.
1. Не нужно оформлять договор залога с родственниками и аффилированными лицами. Постарайтесь максимально исключить возможность нахождения связи между вами и второй стороной. Как писали, были случаи, когда аффилированными признавали по найденным фото в соцсетях. Закон не запрещает брать займы и передавать имущество в залог родственникам, но это вызывает лишние подозрения.
2. Договор залога должен быть оформлен по всем правилам и не давать шансов подозревать фиктивность. Поэтому лучше проконсультироваться с профессионалами. Если не будут отражены все существенные с точки зрения закона условия, его могут признать ничтожным. Например, это условия возврата, сроки, проценты, полная информация об объекте и правах на него. Важное значение имеет и дата его подписания. Если договор залога возник менее, чем за полгода до банкротства, он вызовет подозрения в том, что должник таким образом выводит имущество. В большинстве случаев суды признают их недействительными.
3. Сумма займа должна быть пропорциональна стоимости заложенного. Нет резона закладывать коммерческое помещение стоимостью 50 млн за заем в 1 млн. Это все понимают. К тому же в плане вывода это не эффективно, так как залогодержатель получит лишь то, что ссудил по договору, а остальное пойдет другим кредиторам.
4. Как и в случае с продажей, тот, кто ссудил средства и получил залог, должен иметь соответствующее финансовое положение. Взять десятки млн у гражданина без доходов и отписать ему в залог квартиру не получится.
5. Факт передачи денег также нужно будет подтвердить документально. В идеале – это переводы по счетам.
В любом случае необходимо подойти к вопросу так, чтобы не возникло ни малейшего подозрения, что настоящая цель договора – вывод средств. Поэтому повторим: не экономьте и обращайтесь по таким вопросам к профессионалам. Тогда договор залога реально может помочь сохранить имущество от кредиторов.
#финансовая
@businesssafe
Продолжая тему, расскажем про ещё один эффективный метод защиты имущества. Это залог.
Договор залога обязательно вносится в реестр. Залоговое имущество или нет, видно. Задним числом сделать это не получится. Оператором реестра уведомлений о залогах движимого имущества является Федеральная нотариальная палата. Если объект – недвижимость, необходимо зарегистрировать договор залога в Росреестре. Можно сделать у нотариуса или в МФЦ.
А если имущество уже заложено третьему лицу, то претендовать на него в полном объеме нельзя. По сути, оно не принадлежит должнику. Да, в отдельных случаях, если начата процедура банкротства, оно может быть продано, но минимум 70% стоимости должно перейти залогодержателю.
Простым языком, вы взяли в долг у человека под залог автомобиля, на котором продолжаете ездить. Понятно, что на данный авто никакие сторонние кредиторы претендовать не могут, пока долг не будет возвращен. Если этого не случится вовсе, автомобиль уйдет тому, кто ссудил деньги. Та же самая ипотека – это заем под залог квартиры.
Как это работает? Вот кредиторы узнают, что у лица имеется объект недвижимости. Арбитражный управляющий намеревается его продать, чтобы раздать долги, но выясняется, что существует договор залога со сторонним лицом, которое ранее ссудило должнику средства. Кстати, залог может оформляться отдельным договором от договора займа.
В процессе процедуры банкротства имущество реализуется, но 70% отходит залогодержателю, с которым может иметь место договоренность. Но здесь, как и в случае продажи или вывода имущества, есть ряд условий, которые необходимо соблюсти.
1. Не нужно оформлять договор залога с родственниками и аффилированными лицами. Постарайтесь максимально исключить возможность нахождения связи между вами и второй стороной. Как писали, были случаи, когда аффилированными признавали по найденным фото в соцсетях. Закон не запрещает брать займы и передавать имущество в залог родственникам, но это вызывает лишние подозрения.
2. Договор залога должен быть оформлен по всем правилам и не давать шансов подозревать фиктивность. Поэтому лучше проконсультироваться с профессионалами. Если не будут отражены все существенные с точки зрения закона условия, его могут признать ничтожным. Например, это условия возврата, сроки, проценты, полная информация об объекте и правах на него. Важное значение имеет и дата его подписания. Если договор залога возник менее, чем за полгода до банкротства, он вызовет подозрения в том, что должник таким образом выводит имущество. В большинстве случаев суды признают их недействительными.
3. Сумма займа должна быть пропорциональна стоимости заложенного. Нет резона закладывать коммерческое помещение стоимостью 50 млн за заем в 1 млн. Это все понимают. К тому же в плане вывода это не эффективно, так как залогодержатель получит лишь то, что ссудил по договору, а остальное пойдет другим кредиторам.
4. Как и в случае с продажей, тот, кто ссудил средства и получил залог, должен иметь соответствующее финансовое положение. Взять десятки млн у гражданина без доходов и отписать ему в залог квартиру не получится.
5. Факт передачи денег также нужно будет подтвердить документально. В идеале – это переводы по счетам.
В любом случае необходимо подойти к вопросу так, чтобы не возникло ни малейшего подозрения, что настоящая цель договора – вывод средств. Поэтому повторим: не экономьте и обращайтесь по таким вопросам к профессионалам. Тогда договор залога реально может помочь сохранить имущество от кредиторов.
#финансовая
@businesssafe
👍43
Как защитить имущество физлица
Продолжая тему, расскажем, как не дать списать свои средства приставам или кредиторам. Это может быть полезно владельцу бизнеса, если он уже попал под субсидиарную ответственность.
Как уже писали, вовсе необязательно, чтобы все ваши счета были известны. Есть множество малоизвестных банков, которые не обмениваются с ФССП информацией в автоматическом режиме. Постановление о списании в такие банки автоматически не пойдет. И если счета в ТОП-вых банках начнут блокировать, вы успеете вывести средства с тех, которые пока работают.
Да, если в роли кредитора выступает налоговая, это не поможет. У них есть информация обо всех открытых счетах. Также и кредиторы могут самостоятельно «пробить» счета через разные сервисы и дать информацию приставу.
Сразу порекомендуем иметь брокерские счета. Брокер – это необязательно банк, частных компаний, представляющих такие услуги, много. Приставы и налоговая про них не знают. Конечно, они могут получить информацию о наличии брокерских счетов, арестовать их и даже продать «по рынку» ваши ценные бумаги, но им придется делать конкретные запросы в такие компании. Если нет мотивации, этим заниматься не станут. При этом брокерским счетом можно пользоваться, как транзитным, зачисляя и выводя средства на свои карты или просто хранить там деньги. Торговать акциями вовсе необязательно.
Напомним, что даже если все счета и карты заблокированы, можно открыть новые. Приставы не будут «пробивать» счета во всех банках ежедневно. На них как раз и можно будет вывести средства с брокерских счетов.
Есть авантюрный способ – создать новое ООО, завести деньги на счет, оформить корпоративную карту и пользоваться ей. Компанию при этом можно сделать с несколькими учредителями или вообще на номинального директора из числа друзей или родственников. Тогда кредиторам снова нужно будет провести большую работу – вычислить новую компанию, доказать в суде, что она ваша, арестовать долю.
Не стоит отметать вариант использования карт на подставных лиц, родственников, друзей, знакомых и так называемых дропов. Арестовать счет и обратить взыскание на средства в банке родственников никто не сможет. Такое возможно лишь в случае уголовных дел по постановлению суда.
Конечно, тут есть риски, особенно в случае дропов. Человек может потратить деньги на себя, сказав, что ему «очень нужно и он вернет», попытаться украсть средства, либо же сам попасть под санкции ФССП или налоговой. Тем не менее, способ рабочий. Есть еще разные незаконные варианты с подделкой документов, но их раскрывать не будем. Это крайне опасно и часто не имеет экономического смысла. Покупать карты в даркнете также крайне не рекомендуем.
Как писали, самый надежный вариант защитить имущество от кредиторов – договоры залога, зарегистрированные у нотариуса. В случае с физлицами работает точно так же. Простыми словами, создается долг перед третьим лицом, которому в качестве обеспечения закладывается определенное имущество. Здесь много тонкостей, о которых уже писали в посте выше, поэтому не скупитесь на профильного юриста.
Здесь только одно слабое место. Если кредиторы будут слишком настойчивы и смогут вынудить вашего залогодержателя признаться, что долг и договор фиктивный, его признают недействительным.
Как и везде, многое зависит от настойчивости кредиторов, их ресурсов и связей. Но и ваши действия и ресурсы имеют вес. Самый простой способ помешать взыскать ваше имущество – непосредственная договоренность с сотрудниками ФССП. Они всегда могут положить производство «под сукно», где оно будет лежать годами, или закрыть по вымышленным основаниям, что взыскивать нечего. Привлечь к ответственности за такое их крайне сложно.
#финансовая
@businesssafe
Продолжая тему, расскажем, как не дать списать свои средства приставам или кредиторам. Это может быть полезно владельцу бизнеса, если он уже попал под субсидиарную ответственность.
Как уже писали, вовсе необязательно, чтобы все ваши счета были известны. Есть множество малоизвестных банков, которые не обмениваются с ФССП информацией в автоматическом режиме. Постановление о списании в такие банки автоматически не пойдет. И если счета в ТОП-вых банках начнут блокировать, вы успеете вывести средства с тех, которые пока работают.
Да, если в роли кредитора выступает налоговая, это не поможет. У них есть информация обо всех открытых счетах. Также и кредиторы могут самостоятельно «пробить» счета через разные сервисы и дать информацию приставу.
Сразу порекомендуем иметь брокерские счета. Брокер – это необязательно банк, частных компаний, представляющих такие услуги, много. Приставы и налоговая про них не знают. Конечно, они могут получить информацию о наличии брокерских счетов, арестовать их и даже продать «по рынку» ваши ценные бумаги, но им придется делать конкретные запросы в такие компании. Если нет мотивации, этим заниматься не станут. При этом брокерским счетом можно пользоваться, как транзитным, зачисляя и выводя средства на свои карты или просто хранить там деньги. Торговать акциями вовсе необязательно.
Напомним, что даже если все счета и карты заблокированы, можно открыть новые. Приставы не будут «пробивать» счета во всех банках ежедневно. На них как раз и можно будет вывести средства с брокерских счетов.
Есть авантюрный способ – создать новое ООО, завести деньги на счет, оформить корпоративную карту и пользоваться ей. Компанию при этом можно сделать с несколькими учредителями или вообще на номинального директора из числа друзей или родственников. Тогда кредиторам снова нужно будет провести большую работу – вычислить новую компанию, доказать в суде, что она ваша, арестовать долю.
Не стоит отметать вариант использования карт на подставных лиц, родственников, друзей, знакомых и так называемых дропов. Арестовать счет и обратить взыскание на средства в банке родственников никто не сможет. Такое возможно лишь в случае уголовных дел по постановлению суда.
Конечно, тут есть риски, особенно в случае дропов. Человек может потратить деньги на себя, сказав, что ему «очень нужно и он вернет», попытаться украсть средства, либо же сам попасть под санкции ФССП или налоговой. Тем не менее, способ рабочий. Есть еще разные незаконные варианты с подделкой документов, но их раскрывать не будем. Это крайне опасно и часто не имеет экономического смысла. Покупать карты в даркнете также крайне не рекомендуем.
Как писали, самый надежный вариант защитить имущество от кредиторов – договоры залога, зарегистрированные у нотариуса. В случае с физлицами работает точно так же. Простыми словами, создается долг перед третьим лицом, которому в качестве обеспечения закладывается определенное имущество. Здесь много тонкостей, о которых уже писали в посте выше, поэтому не скупитесь на профильного юриста.
Здесь только одно слабое место. Если кредиторы будут слишком настойчивы и смогут вынудить вашего залогодержателя признаться, что долг и договор фиктивный, его признают недействительным.
Как и везде, многое зависит от настойчивости кредиторов, их ресурсов и связей. Но и ваши действия и ресурсы имеют вес. Самый простой способ помешать взыскать ваше имущество – непосредственная договоренность с сотрудниками ФССП. Они всегда могут положить производство «под сукно», где оно будет лежать годами, или закрыть по вымышленным основаниям, что взыскивать нечего. Привлечь к ответственности за такое их крайне сложно.
#финансовая
@businesssafe
👍49🔥3
Что такое DLP и зачем это нужно?
Любой компании необходимо уделять внимание защите информации. И это не только персональные данные, тщательно хранить которые требует закон. Практически вся внутренняя коммерческая информация будет «профитом» для конкурентов или мошенников.
Методов защиты информации много, и мы будем писать о них далее. Один из ключевых – внедрение DLP-системы (Data Loss Prevention). Это специализированное программное обеспечение для защиты от утечек. Сегодня эти системы имеют не только функцию обеспечения сохранности информации, но решают и другие задачи. Например, учет рабочего времени и ресурсов, анализ правомерности действий сотрудников в рамках полномочий, минимизация риска коррупции, откатов и подделки документов. Часто те, кто планирует уволиться, решают прихватить с собой базу клиентов, поставщиков или данные о продукте. Против таких DLP тоже работает. Также это мониторинг сделок, каналов общения с контрагентами, помощь при служебных расследованиях, например, в случаях нарушений режима и т. д.
Самый понятный пример – отправка сотрудником информации по почте, слив в облако или вынос на флешке. Для предотвращения этого при помощи системы можно сократить и блокировать количество каналов передачи данных, ввести логгирование или запись информации обо всех файлах, сигнализировать о нарушении. При этом можно прописать даже ключевые слова, на которые система будет реагировать.
По факту, это инструмент для предотвращения утечек любой информации, который постоянно модернизируется. DLP-системы сегодня способны анализировать поведение пользователей и даже отслеживать их продуктивность.
DLP может быть, как активной, так и пассивной. Активная сама предотвращает утечку в моменте, блокируя действия пользователей или работу ПО, когда видит риск. Правда, иногда такое может произойти по ошибке. Пассивная просто отслеживает или реагирует после. Само ПО можно устанавливать, как на выделенных серверах, так и на компьютерах пользователей. Любая система поддается настройке под нужды бизнеса. Уже есть модульные решения, которые позволяют внедрять именно требуемые функции.
Отметим, что DLP нужно не только крупным компаниям, хотя те яснее осознают необходимость обеспечения безопасности информации. Заботиться о своих данных стоит любому бизнесу.
Иногда утечка данных конкурентам, потеря доли рынка или авторитета среди клиентов и партнеров прямо ведет к разорению. Кроме того, что конкуренты могут скопировать продукт или увести клиентов, может случиться и так, что информацию сольют третьим лицам, которые посчитают вас ненадежным партнером. А если это персональная или платежная информация клиентов, может случиться и ответственность по закону.
Вам необходимо задуматься о внедрении DLP, если:
1. В компании уже были утечки информации о продуктах;
2. В открытом доступе появляются данные о компании, которые никто не должен знать;
3. Был массовый отток клиентов или переход сотрудников к конкурентам;
4. Вы стали чаще проигрывать тендеры, хотя явных причин для этого нет;
5. Замечали манипуляции с отчётностью.
Следите за своей безопасностью, читайте наш канал, а ещё лучше консультируйтесь со специалистами в данной сфере.
#информационная
@businesssafe
Любой компании необходимо уделять внимание защите информации. И это не только персональные данные, тщательно хранить которые требует закон. Практически вся внутренняя коммерческая информация будет «профитом» для конкурентов или мошенников.
Методов защиты информации много, и мы будем писать о них далее. Один из ключевых – внедрение DLP-системы (Data Loss Prevention). Это специализированное программное обеспечение для защиты от утечек. Сегодня эти системы имеют не только функцию обеспечения сохранности информации, но решают и другие задачи. Например, учет рабочего времени и ресурсов, анализ правомерности действий сотрудников в рамках полномочий, минимизация риска коррупции, откатов и подделки документов. Часто те, кто планирует уволиться, решают прихватить с собой базу клиентов, поставщиков или данные о продукте. Против таких DLP тоже работает. Также это мониторинг сделок, каналов общения с контрагентами, помощь при служебных расследованиях, например, в случаях нарушений режима и т. д.
Самый понятный пример – отправка сотрудником информации по почте, слив в облако или вынос на флешке. Для предотвращения этого при помощи системы можно сократить и блокировать количество каналов передачи данных, ввести логгирование или запись информации обо всех файлах, сигнализировать о нарушении. При этом можно прописать даже ключевые слова, на которые система будет реагировать.
По факту, это инструмент для предотвращения утечек любой информации, который постоянно модернизируется. DLP-системы сегодня способны анализировать поведение пользователей и даже отслеживать их продуктивность.
DLP может быть, как активной, так и пассивной. Активная сама предотвращает утечку в моменте, блокируя действия пользователей или работу ПО, когда видит риск. Правда, иногда такое может произойти по ошибке. Пассивная просто отслеживает или реагирует после. Само ПО можно устанавливать, как на выделенных серверах, так и на компьютерах пользователей. Любая система поддается настройке под нужды бизнеса. Уже есть модульные решения, которые позволяют внедрять именно требуемые функции.
Отметим, что DLP нужно не только крупным компаниям, хотя те яснее осознают необходимость обеспечения безопасности информации. Заботиться о своих данных стоит любому бизнесу.
Иногда утечка данных конкурентам, потеря доли рынка или авторитета среди клиентов и партнеров прямо ведет к разорению. Кроме того, что конкуренты могут скопировать продукт или увести клиентов, может случиться и так, что информацию сольют третьим лицам, которые посчитают вас ненадежным партнером. А если это персональная или платежная информация клиентов, может случиться и ответственность по закону.
Вам необходимо задуматься о внедрении DLP, если:
1. В компании уже были утечки информации о продуктах;
2. В открытом доступе появляются данные о компании, которые никто не должен знать;
3. Был массовый отток клиентов или переход сотрудников к конкурентам;
4. Вы стали чаще проигрывать тендеры, хотя явных причин для этого нет;
5. Замечали манипуляции с отчётностью.
Следите за своей безопасностью, читайте наш канал, а ещё лучше консультируйтесь со специалистами в данной сфере.
#информационная
@businesssafe
👍22
Как обезопасить офисную информацию?
В этом посте мы указали, что вовсе необязательно находиться по юридическому адресу. Так у вас будет дополнительная гарантия, что внезапно не нагрянет проверка. Как минимум будет время подготовиться. Но важнее даже не то, что к вам придут, а сохранность информации. Сейчас дадим лайфхак, как этого добиться в любом месте.
Чем бы вы ни занимались, мы советуем поднять удаленный сервер и перенести на него хотя бы часть инфраструктуры. Так вы сможете хранить всю коммерческую и просто важную информацию не на офисных компьютерах, а на сервере. Что это дает?
1. Все рабочие данные будут доступны из любого места. Вы, как руководитель, сможете подключаться в любое время и контролировать документы работников, отслеживать их активность и получать любую информацию. Даже в отпуске на пляже;
2. На офисных машинах, если все правильно настроить, не будет компрометирующей информации, а также данных, составляющих коммерческую тайну. Как показывает практика, какие бы серьезные правила и меры контроля вы ни вводили, на диске что-то может сохраниться из-за невнимательности сотрудников. А значит, если случится форс-мажор и придут, проверяющие смогут получить эти данные. Работники ФНС и отдела УЭБиПК вваливаются в офис молниеносно, отстраняют сотрудников от компьютеров и сразу же сажают за них своих людей. А эксперты из органов могут восстановить очень многое из того, что когда-либо находилось на ПК. Только если там не стоят программы, позволяющие стирать информацию навсегда. Об этом будем писать в дальнейшем;
3. Удаленный сервер позволяет создать любое количество рабочих мест и разделить потоки информации между сотрудниками. Любой бизнес так или иначе оптимизирует налоги, почти везде есть так называемая «двойная бухгалтерия» и прочая информация, которая не только не должна попасть в руки контролирующих органов или конкурентов, но и внутри фирмы не все должны иметь к ней доступ. Необходимо сделать так, чтобы к месту главного бухгалтера не имел доступ никто, кроме него самого и владельца. В отдельных случаях доступ можно предоставить кому-то временно. Да и простым сотрудникам лучше работать исключительно со своей информацией на каком-то общем рабочем месте, где собраны только необходимые им данные;
4. Руководитель или ответственный работник может в любое время «обрубить» доступ удаленному серверу выборочно или полностью для всех юзеров. Лучше, если ответственных будет несколько, так как кто-то может быть недоступен или скомпрометирован. Либо можно сделать так, чтобы система сама отключалась при каких-то заранее прописанных подозрительных действиях;
5. Это защита от слива и воровства информации мошенниками. Сейчас есть мощное ПО, которое сотрудник может случайно или специально загрузить на свой ПК, и которое будет сливать данные. Зайти на правильно настроенный удаленный сервер труднее;
6. Если проверяющие изымут технику, вы не потеряете данные, так как недоброжелатели на ней ничего не найдут, а также сможете продолжить работу дальше уже с новых машин, просто подключившись к своему серверу. Так вы не потеряете время и бизнес-процессы не будут заморожены. Часто в таких случаях работа парализуется на месяцы, вам же будет достаточно нескольких часов;
7. Налоговой, Росфинмониторингу и даже банкам будет сложнее отследить активность вашего персонала. Современное ПО сканирует компьютеры, с которых пользователь выходит в банк-клиент или отправляет отчетность в налоговую. VPN или Proxy здесь недостаточно. Все собирается все по максимуму: логи, куки и прочие пользовательские идентификаторы. В случае с удаленным сервером они увидят лишь то, что вы работаете с виртуальной машины, и непонятно, кто конкретно ею пользуется;
Для разных ситуаций придуманы разные методы, но в общем картина такова. Мы видим в удаленных серверах лишь плюсы. Как поднять и настроить виртуальный сервер, а также когда это уместно, а когда нет, будем писать в дальнейшем.
#информационная
@businesssafe
В этом посте мы указали, что вовсе необязательно находиться по юридическому адресу. Так у вас будет дополнительная гарантия, что внезапно не нагрянет проверка. Как минимум будет время подготовиться. Но важнее даже не то, что к вам придут, а сохранность информации. Сейчас дадим лайфхак, как этого добиться в любом месте.
Чем бы вы ни занимались, мы советуем поднять удаленный сервер и перенести на него хотя бы часть инфраструктуры. Так вы сможете хранить всю коммерческую и просто важную информацию не на офисных компьютерах, а на сервере. Что это дает?
1. Все рабочие данные будут доступны из любого места. Вы, как руководитель, сможете подключаться в любое время и контролировать документы работников, отслеживать их активность и получать любую информацию. Даже в отпуске на пляже;
2. На офисных машинах, если все правильно настроить, не будет компрометирующей информации, а также данных, составляющих коммерческую тайну. Как показывает практика, какие бы серьезные правила и меры контроля вы ни вводили, на диске что-то может сохраниться из-за невнимательности сотрудников. А значит, если случится форс-мажор и придут, проверяющие смогут получить эти данные. Работники ФНС и отдела УЭБиПК вваливаются в офис молниеносно, отстраняют сотрудников от компьютеров и сразу же сажают за них своих людей. А эксперты из органов могут восстановить очень многое из того, что когда-либо находилось на ПК. Только если там не стоят программы, позволяющие стирать информацию навсегда. Об этом будем писать в дальнейшем;
3. Удаленный сервер позволяет создать любое количество рабочих мест и разделить потоки информации между сотрудниками. Любой бизнес так или иначе оптимизирует налоги, почти везде есть так называемая «двойная бухгалтерия» и прочая информация, которая не только не должна попасть в руки контролирующих органов или конкурентов, но и внутри фирмы не все должны иметь к ней доступ. Необходимо сделать так, чтобы к месту главного бухгалтера не имел доступ никто, кроме него самого и владельца. В отдельных случаях доступ можно предоставить кому-то временно. Да и простым сотрудникам лучше работать исключительно со своей информацией на каком-то общем рабочем месте, где собраны только необходимые им данные;
4. Руководитель или ответственный работник может в любое время «обрубить» доступ удаленному серверу выборочно или полностью для всех юзеров. Лучше, если ответственных будет несколько, так как кто-то может быть недоступен или скомпрометирован. Либо можно сделать так, чтобы система сама отключалась при каких-то заранее прописанных подозрительных действиях;
5. Это защита от слива и воровства информации мошенниками. Сейчас есть мощное ПО, которое сотрудник может случайно или специально загрузить на свой ПК, и которое будет сливать данные. Зайти на правильно настроенный удаленный сервер труднее;
6. Если проверяющие изымут технику, вы не потеряете данные, так как недоброжелатели на ней ничего не найдут, а также сможете продолжить работу дальше уже с новых машин, просто подключившись к своему серверу. Так вы не потеряете время и бизнес-процессы не будут заморожены. Часто в таких случаях работа парализуется на месяцы, вам же будет достаточно нескольких часов;
7. Налоговой, Росфинмониторингу и даже банкам будет сложнее отследить активность вашего персонала. Современное ПО сканирует компьютеры, с которых пользователь выходит в банк-клиент или отправляет отчетность в налоговую. VPN или Proxy здесь недостаточно. Все собирается все по максимуму: логи, куки и прочие пользовательские идентификаторы. В случае с удаленным сервером они увидят лишь то, что вы работаете с виртуальной машины, и непонятно, кто конкретно ею пользуется;
Для разных ситуаций придуманы разные методы, но в общем картина такова. Мы видим в удаленных серверах лишь плюсы. Как поднять и настроить виртуальный сервер, а также когда это уместно, а когда нет, будем писать в дальнейшем.
#информационная
@businesssafe
👍30👎1
Как пароли защищают бизнес?
Раз затронули тему, сразу дадим советы и по личной информационной безопасности. Ведь безопасность компании напрямую зависит от того, насколько серьезно к собственной безопасности подходят сотрудники и особенно – руководители. Важно учитывать конкретные ситуации, но основное можно выделить.
Первое, на что нужно обратить внимание – пароли. У вас могут быть самые современные серверы, системы шифрования, возможности Tor, VPN/прокси и компетентные сисадмины, но, если ваши пароли легко подобрать, все имеет мало смысла. Именно на этом чаще всего играют мошенники и спецслужбы.
Есть одно простое правило – пароли должны быть сложными. Поэтому каждый, кто не хочет потерять доступ к своим аккаунтам и данным, должен озадачиться этим вопросом. Компания – особенно. Важный момент – все пароли, а не только от банк-клиента или программы 1С с «черной бухгалтерией». Иногда, получив доступ к компьютеру, личной почте или аккаунту рядового бухгалтера, даже не главбуха, можно узнать много интересного.
Основные правила составления паролей следующие:
1. В пароле не должно быть слов, относящихся к событию, человеку или компании. Даже кличку первой кошки из детства, которая давно умерла. Пароль вообще не должен содержать реальных слов или дат. Это должен быть набор рандомных с виду символов. Тогда подобрать его будет сложнее.
2. Чтобы сделать подбор практически невозможным, пароль должен содержать минимум 21 символ, где будут буквы разного регистра, знаки препинания, цифры и спецсимволы.
3. Нельзя хранить пароли на рабочих машинах, подключенных к интернету. Пусть это будет обычный бумажный блокнот, купленный в канцелярском магазине. Хранить его можно, например, в специальной ячейке или сейфе, чтобы для лиц со стороны физический доступ туда был невозможен. Надежнее, если пароли вообще нигде не будут записаны. Но тогда их придется запомнить. В принципе, сохранить у себя в голове несколько самых важных ключей может любой человек.
4. Чтобы запомнить было проще, а при случае и восстановить, необходима система создания пароля. Как в фильмах про детективов и шпионов. Есть много методик и способов. Приведем одну. Выдумываете несуществующее слово, пишете его латинскими буквами, в определенном порядке меняете регистр и через буквы добавляете цифры и спецсимволы. Перед введением новой системы паролей нужно потренироваться и убедиться, что вы ее освоили и не путаетесь.
5. Для менее важных ресурсов и приложений тоже нужны сложные пароли, хотя количество символов может быть и меньше. Пусть они будут строиться по той же системе, но, если ресурсов много, можно использовать менеджеры паролей. Например, KeePassXC, ПО бесплатное и с открытым исходным кодом. Инструкций, как пользоваться, в интернете много
6. Обязательно нужно менять пароли раз в полгода – год. Многие ресурсы сами это рекомендуют. Делать это можно по своей же схеме, просто меняя изначальное выдуманное слово. И никогда ни с кем не обсуждайте вашу систему.
Все эти правила, касаемо паролей, мы советуем внедрить не только в собственную жизнь, но и в своей компании. Если каждый работник обезопасит свою информацию, уровень общей безопасности фирмы будет заметно выше. Про правила доступа и как избежать рисков утечек будем писать далее.
#информационная
@businesssafe
Раз затронули тему, сразу дадим советы и по личной информационной безопасности. Ведь безопасность компании напрямую зависит от того, насколько серьезно к собственной безопасности подходят сотрудники и особенно – руководители. Важно учитывать конкретные ситуации, но основное можно выделить.
Первое, на что нужно обратить внимание – пароли. У вас могут быть самые современные серверы, системы шифрования, возможности Tor, VPN/прокси и компетентные сисадмины, но, если ваши пароли легко подобрать, все имеет мало смысла. Именно на этом чаще всего играют мошенники и спецслужбы.
Есть одно простое правило – пароли должны быть сложными. Поэтому каждый, кто не хочет потерять доступ к своим аккаунтам и данным, должен озадачиться этим вопросом. Компания – особенно. Важный момент – все пароли, а не только от банк-клиента или программы 1С с «черной бухгалтерией». Иногда, получив доступ к компьютеру, личной почте или аккаунту рядового бухгалтера, даже не главбуха, можно узнать много интересного.
Основные правила составления паролей следующие:
1. В пароле не должно быть слов, относящихся к событию, человеку или компании. Даже кличку первой кошки из детства, которая давно умерла. Пароль вообще не должен содержать реальных слов или дат. Это должен быть набор рандомных с виду символов. Тогда подобрать его будет сложнее.
2. Чтобы сделать подбор практически невозможным, пароль должен содержать минимум 21 символ, где будут буквы разного регистра, знаки препинания, цифры и спецсимволы.
3. Нельзя хранить пароли на рабочих машинах, подключенных к интернету. Пусть это будет обычный бумажный блокнот, купленный в канцелярском магазине. Хранить его можно, например, в специальной ячейке или сейфе, чтобы для лиц со стороны физический доступ туда был невозможен. Надежнее, если пароли вообще нигде не будут записаны. Но тогда их придется запомнить. В принципе, сохранить у себя в голове несколько самых важных ключей может любой человек.
4. Чтобы запомнить было проще, а при случае и восстановить, необходима система создания пароля. Как в фильмах про детективов и шпионов. Есть много методик и способов. Приведем одну. Выдумываете несуществующее слово, пишете его латинскими буквами, в определенном порядке меняете регистр и через буквы добавляете цифры и спецсимволы. Перед введением новой системы паролей нужно потренироваться и убедиться, что вы ее освоили и не путаетесь.
5. Для менее важных ресурсов и приложений тоже нужны сложные пароли, хотя количество символов может быть и меньше. Пусть они будут строиться по той же системе, но, если ресурсов много, можно использовать менеджеры паролей. Например, KeePassXC, ПО бесплатное и с открытым исходным кодом. Инструкций, как пользоваться, в интернете много
6. Обязательно нужно менять пароли раз в полгода – год. Многие ресурсы сами это рекомендуют. Делать это можно по своей же схеме, просто меняя изначальное выдуманное слово. И никогда ни с кем не обсуждайте вашу систему.
Все эти правила, касаемо паролей, мы советуем внедрить не только в собственную жизнь, но и в своей компании. Если каждый работник обезопасит свою информацию, уровень общей безопасности фирмы будет заметно выше. Про правила доступа и как избежать рисков утечек будем писать далее.
#информационная
@businesssafe
👍17😱2
Информационная гигиена в компании
Этому вопросу обычно уделяют минимум внимания или не уделяют вообще. Какой бы бизнес у вас ни был, работники в офисе обязаны соблюдать правила обращения с информацией. В противном случае она достанется либо мошенникам, либо конкурентам, либо контролирующим органам. Ни один из этих вариантов вас не обрадует.
Не будем говорить про откровенно черный бизнес, кому нужны особые правила работы с данными и системы защиты, такие, как связки из приватных серверов и Tor, дадим основные моменты, которые рекомендуем внедрить в любом офисе.
1. Используйте только электронный документооборот. Для этого сейчас множество программ и сервисов. Из плюсов можно выделить сокращение расходов на печать, пересылку и хранение документов. Он позволит избежать дублирования и обеспечит контроль за всей информацией. Обмен данными и их поиск происходит быстрее. ЭДО позволяет подписывать и отсылать цифровые документы круглосуточно с любого устройства. Вы видите, кто с каким документом и когда работал. Плюс, документы находятся в защищенном личном кабинете, что минимизирует риски утечки. Можно интегрировать с 1С.
2. Используйте арендованный удаленный сервер или ещё лучше собственный. Какие есть, где найти, какие лучше и как можно «поднять» свой, будем писать отдельно.
3. Используйте VPN. Не обязательно постоянно, но хотя бы в тех случаях, когда обмениваетесь особо важной для бизнеса информацией. Так ваш трафик будет под защитой. Разных сервисов, предоставляющих такие услуги, много. Сравнивайте условия и подбирайте под себя. Если деятельность иногда заходит за рамки законодательства, мы рекомендуем использовать иностранный VPN. Отечественные сервисы имеют свойство быстро предоставлять информацию по запросам в органы. Правда, в связи с сегодняшней ситуацией есть риск, что западные компании прекратят предоставлять услуги в России. Кстати, сервис VPN или Proxy можно также поднять и свой собственный, это не сложно. Об этом также будем писать.
4. Почта тоже должна быть защищенной. Большинство бизнесменов до сих пор пользуется Mail и Yandex. А кто-то даже ведет там странички и общается во встроенных мессенджерах. Это опасно. Во-первых, данные ресурсы – самые простые для взлома. Это могут сделать мошенники, а также взлом могут заказать конкуренты. В сети легко найти подобные предложения за смешную цену в 5000-10000 рублей. «Сломать» же страничку в Mail для работников отдела «К» УЭБиПК вовсе не составляет труда. Во-вторых, по запросу из полиции вся информация сливается этими ресурсами мгновенно.
Поэтому лучше использовать зарубежные почты, хотя бы Google. Но для особо важных переписок есть и более защищенные варианты, например, Protonmail. Опять же, почту можно тоже сделать собственную на своем сервере.
5. Для особо секретных документов используйте системы шифрования. Программ для этого много. Вкратце, это позволит обеспечить защиту от несанкционированного и доступа, от подделки и поможет при спорах между сотрудниками. А ключ можно вынести на токен.
6. Регулярно делайте бэкапы, даже при наличии удаленного сервера (поэтому будет лучше, если их будет несколько). Так ваша информация всегда будет с вами и в случае форс-мажора вы все быстро восстановите. Составьте график бэкапов и назначьте ответственных.
7. Пользуйтесь только лицензионным ПО и следите за обновлениями. Разработчики делают их не просто так. С каждым обновлением закрываются новые уязвимости. Чем новее версия ПО, тем дольше времени требуется на взлом. Также составьте график обновлений с ответственными.
Разумеется, за всем этим нужно следить и проверять вашу систему защиты данных. Об этом будем писать далее.
#информационная
@businesssafe
Этому вопросу обычно уделяют минимум внимания или не уделяют вообще. Какой бы бизнес у вас ни был, работники в офисе обязаны соблюдать правила обращения с информацией. В противном случае она достанется либо мошенникам, либо конкурентам, либо контролирующим органам. Ни один из этих вариантов вас не обрадует.
Не будем говорить про откровенно черный бизнес, кому нужны особые правила работы с данными и системы защиты, такие, как связки из приватных серверов и Tor, дадим основные моменты, которые рекомендуем внедрить в любом офисе.
1. Используйте только электронный документооборот. Для этого сейчас множество программ и сервисов. Из плюсов можно выделить сокращение расходов на печать, пересылку и хранение документов. Он позволит избежать дублирования и обеспечит контроль за всей информацией. Обмен данными и их поиск происходит быстрее. ЭДО позволяет подписывать и отсылать цифровые документы круглосуточно с любого устройства. Вы видите, кто с каким документом и когда работал. Плюс, документы находятся в защищенном личном кабинете, что минимизирует риски утечки. Можно интегрировать с 1С.
2. Используйте арендованный удаленный сервер или ещё лучше собственный. Какие есть, где найти, какие лучше и как можно «поднять» свой, будем писать отдельно.
3. Используйте VPN. Не обязательно постоянно, но хотя бы в тех случаях, когда обмениваетесь особо важной для бизнеса информацией. Так ваш трафик будет под защитой. Разных сервисов, предоставляющих такие услуги, много. Сравнивайте условия и подбирайте под себя. Если деятельность иногда заходит за рамки законодательства, мы рекомендуем использовать иностранный VPN. Отечественные сервисы имеют свойство быстро предоставлять информацию по запросам в органы. Правда, в связи с сегодняшней ситуацией есть риск, что западные компании прекратят предоставлять услуги в России. Кстати, сервис VPN или Proxy можно также поднять и свой собственный, это не сложно. Об этом также будем писать.
4. Почта тоже должна быть защищенной. Большинство бизнесменов до сих пор пользуется Mail и Yandex. А кто-то даже ведет там странички и общается во встроенных мессенджерах. Это опасно. Во-первых, данные ресурсы – самые простые для взлома. Это могут сделать мошенники, а также взлом могут заказать конкуренты. В сети легко найти подобные предложения за смешную цену в 5000-10000 рублей. «Сломать» же страничку в Mail для работников отдела «К» УЭБиПК вовсе не составляет труда. Во-вторых, по запросу из полиции вся информация сливается этими ресурсами мгновенно.
Поэтому лучше использовать зарубежные почты, хотя бы Google. Но для особо важных переписок есть и более защищенные варианты, например, Protonmail. Опять же, почту можно тоже сделать собственную на своем сервере.
5. Для особо секретных документов используйте системы шифрования. Программ для этого много. Вкратце, это позволит обеспечить защиту от несанкционированного и доступа, от подделки и поможет при спорах между сотрудниками. А ключ можно вынести на токен.
6. Регулярно делайте бэкапы, даже при наличии удаленного сервера (поэтому будет лучше, если их будет несколько). Так ваша информация всегда будет с вами и в случае форс-мажора вы все быстро восстановите. Составьте график бэкапов и назначьте ответственных.
7. Пользуйтесь только лицензионным ПО и следите за обновлениями. Разработчики делают их не просто так. С каждым обновлением закрываются новые уязвимости. Чем новее версия ПО, тем дольше времени требуется на взлом. Также составьте график обновлений с ответственными.
Разумеется, за всем этим нужно следить и проверять вашу систему защиты данных. Об этом будем писать далее.
#информационная
@businesssafe
👍13
Должностные инструкции по безопасности для сотрудников
После того, как вы озаботились информационной безопасностью, важно задуматься и том, чтобы меры регулярно соблюдались. Как показывает практика, даже имея самые совершенные системы безопасности и специалистов, это может оказаться бесполезным из-за халатности одного единственного работника. Поэтому в довесок к мерам важно прописать четкие инструкции и следить за их соблюдением. Сделать это нужно документально, устные указания здесь не работают.
Какие нужны должностные инструкции для вашего бизнеса, расписывать не станем, отметим пункты, касающиеся инфобезопасности.
1. У каждого работника свой личный кабинет в системе ЭДО и он должен быть проинструктирован о порядке генерации, смены и прекращения действия паролей, учетных записей и о правилах ввода пароля для доступа в систему. Напомним, пароли нужны сложные, об этом писали в посте выше. Пароль работник должен хранить в голове. Вход в систему с чужого аккаунта должен быть возможен только по согласованию с руководителем. Если у работника перерыв, он должен выходить из учетной записи, а ещё лучше – выключать компьютер или активизировать средства защиты от несанкционированного доступа.
2. Работник должен следить, чтобы все проходило по ЭДО. Бумажных документов в идеале быть не должно. Если возникли, пусть их сразу оцифровывают и сохраняют на удаленный жесткий диск. Сами документы лучше уничтожать в шредере.
3. У каждого должен быть строго определенный круг информации, к которой он имеет доступ. У рядовых работников должен быть минимальный доступ. Полный доступ только у руководителя и, если есть, службы безопасности. В отдельных случаях IT специалист может расширить или отнять права. Желательно, чтобы сотрудники не знали уровень доступа друг друга. Стоит запретить осуществлять обработку данных в присутствии других лиц.
4. Кроме личных кабинетов, создайте всем работникам корпоративные почты и пропишите обязанность вести переписку только с них. Использования корпоративного адреса в личных целях, как и пользование бесплатными почтовыми сервисами для корпоративной переписки необходимо запретить. А также размещение корпоративного адреса почты на общедоступных интернет-ресурсах. Если используете мессенджеры и соцсети, то же самое.
5. Используйте корпоративные СИМ-карты и пропишите запрет использовать их в личных целях. А также запрет на деловое общение с личных номеров. Есть компании, где при входе в офис у сотрудников вообще забирают личные телефоны, но это по ситуации. Личные флешки точно стоит запретить.
6. Никакая информация не должна находиться на рабочем столе. Все только на удаленном жестком диске. Разумеется, никаких Google Docs и прочих облачных сервисов. Ресурсы, которые может посещать пользователь, также стоит ограничить.
7. Пропишите запрет на любые действия, которые могут быть истолкованы как попытки обойти условия работы системы, например, установка какого-либо ПО и изменение конфигурации компьютера. А также запрет использовать компоненты программного и аппаратного обеспечения в неслужебных целях.
8. Работник должен вовремя сигнализировать о проблемах, не пытаясь решить их самостоятельно.
Это основное. Все инструкции должны быть доведены до каждого сотрудника под роспись с объяснением персональной ответственности за нарушения. Минимальная – штраф, максимальное – увольнение. Если нарушен режим коммерческой тайны – уголовная с возмещением возможных убытков. Штрафы мы предлагаем сделать внушительными. Например, за оставление включенного компьютера или использование личной почты – 1-2 оклада.
#информационная
@businesssafe
После того, как вы озаботились информационной безопасностью, важно задуматься и том, чтобы меры регулярно соблюдались. Как показывает практика, даже имея самые совершенные системы безопасности и специалистов, это может оказаться бесполезным из-за халатности одного единственного работника. Поэтому в довесок к мерам важно прописать четкие инструкции и следить за их соблюдением. Сделать это нужно документально, устные указания здесь не работают.
Какие нужны должностные инструкции для вашего бизнеса, расписывать не станем, отметим пункты, касающиеся инфобезопасности.
1. У каждого работника свой личный кабинет в системе ЭДО и он должен быть проинструктирован о порядке генерации, смены и прекращения действия паролей, учетных записей и о правилах ввода пароля для доступа в систему. Напомним, пароли нужны сложные, об этом писали в посте выше. Пароль работник должен хранить в голове. Вход в систему с чужого аккаунта должен быть возможен только по согласованию с руководителем. Если у работника перерыв, он должен выходить из учетной записи, а ещё лучше – выключать компьютер или активизировать средства защиты от несанкционированного доступа.
2. Работник должен следить, чтобы все проходило по ЭДО. Бумажных документов в идеале быть не должно. Если возникли, пусть их сразу оцифровывают и сохраняют на удаленный жесткий диск. Сами документы лучше уничтожать в шредере.
3. У каждого должен быть строго определенный круг информации, к которой он имеет доступ. У рядовых работников должен быть минимальный доступ. Полный доступ только у руководителя и, если есть, службы безопасности. В отдельных случаях IT специалист может расширить или отнять права. Желательно, чтобы сотрудники не знали уровень доступа друг друга. Стоит запретить осуществлять обработку данных в присутствии других лиц.
4. Кроме личных кабинетов, создайте всем работникам корпоративные почты и пропишите обязанность вести переписку только с них. Использования корпоративного адреса в личных целях, как и пользование бесплатными почтовыми сервисами для корпоративной переписки необходимо запретить. А также размещение корпоративного адреса почты на общедоступных интернет-ресурсах. Если используете мессенджеры и соцсети, то же самое.
5. Используйте корпоративные СИМ-карты и пропишите запрет использовать их в личных целях. А также запрет на деловое общение с личных номеров. Есть компании, где при входе в офис у сотрудников вообще забирают личные телефоны, но это по ситуации. Личные флешки точно стоит запретить.
6. Никакая информация не должна находиться на рабочем столе. Все только на удаленном жестком диске. Разумеется, никаких Google Docs и прочих облачных сервисов. Ресурсы, которые может посещать пользователь, также стоит ограничить.
7. Пропишите запрет на любые действия, которые могут быть истолкованы как попытки обойти условия работы системы, например, установка какого-либо ПО и изменение конфигурации компьютера. А также запрет использовать компоненты программного и аппаратного обеспечения в неслужебных целях.
8. Работник должен вовремя сигнализировать о проблемах, не пытаясь решить их самостоятельно.
Это основное. Все инструкции должны быть доведены до каждого сотрудника под роспись с объяснением персональной ответственности за нарушения. Минимальная – штраф, максимальное – увольнение. Если нарушен режим коммерческой тайны – уголовная с возмещением возможных убытков. Штрафы мы предлагаем сделать внушительными. Например, за оставление включенного компьютера или использование личной почты – 1-2 оклада.
#информационная
@businesssafe
👍17🔥1
Что должны знать сотрудники про этику корпоративного общения?
Как писали, человек – самое уязвимое звено в любом бизнесе. Можно обложиться сверхсовременными системами безопасности, шифрования и физической защиты, но один «задушевный» разговор в баре вашего сотрудника может поставить на всем этом крест.
Мы знаем случаи, когда расслабившийся работник, пытаясь произвести впечатление на девушек в караоке, рассказал им, что его фирма продает наличку и на этом хорошо зарабатывает. А девушки оказались сотрудниками полиции… За ним проследили, узнали место работы, а дальше – дело техники.
В любом бизнесе так или иначе оптимизируют налоги и «накопать» что-то всегда можно. Поэтому ваши ответственные работники должны иметь понятие об этике корпоративного общения. И лучше с ними заранее об этом поговорить.
1. Предупредите сотрудников, что обсуждать бизнес на стороне не стоит. Даже с близкими. Понятно, что проконтролировать это невозможно, но так они будут это помнить и прислушаются. Деньги любят тишину.
2. Под угрозой штрафов запретите использовать в лексиконе слова «вывод», «уход от налогов» «обналичка», «кэш», и т.п. А также вообще поднимать данные темы вне определенного узкого круга лиц внутри компании. Это важно не только потому, что вы уже можете быть предметом интереса органов, но интересоваться могут и вашими контрагентами, которых могут прослушивать. Услышав данные слова-маячки, начнут интересоваться и вами. Особенно, если партнер участвует в госзакупках и через него проходят бюджетные деньги. По бюджету работает ФСБ, а они могут прослушивать всех, кого посчитают нужным.
3. Если необходимо обсудить что-то «серое», пусть это будет при личной встрече. Но и в этом случае стоит шифровать разговор. Никогда не говорите прямым текстом, что вам нужна обналичка, бумажный НДС и т.п. Всегда можно придумать и использовать коды или слова-синонимы. Даже если вас и поймут, предъявить будет тяжелее. Говорите понятно, но размыто. Да, это касается больше руководителей, но и беседы простых сотрудников тоже подшивают в дела.
4. По важным вопросам не нужно общаться по обычной связи. Пусть это будет Telegram, Facetime или хотя бы WhatsApp. Прослушивать сотовую связь в России очень просто, любой оператор предоставит данные на любого абонента даже без суда. Если вы – руководитель, лучше запретите сотрудникам звонить вам по обычной связи. Ключевых партнеров тоже можно об этом попросить.
5. Отдельно введите и пропишите режим коммерческой тайны и документы, которые к ней относятся. Установите порядок обращения с такой информацией и контроль. Организуйте учет лиц, получивших к ней доступ. Дополнительно можно физически ограничить доступ к такому компьютеру. Пусть он располагается в отдельном помещении с видеонаблюдением. Это также убережет документы от несанкционированного изъятия. По закону, изымать такие данные можно только с санкции суда. Это тема отдельного поста.
6. Регулярно проводите аудит безопасности и проверяйте сотрудников на знание инструкций. Рекомендуем делать это раз в месяц. Можно максимально все объяснить каждому, он покивает головой и даже распишется. Но, если будет знать, что каждый месяц будут об этом спрашивать, процесс запоминания пойдет лучше. Для этого можно проводить так называемые летучки по безопасности, где проводить тесты и повторять информацию. При этом советуем не просто обязать их запоминать пункты, а объяснять, почему это важно, и что может быть при несоблюдении правил, как для компании, так и для работника.
7. Под угрозой штрафов и увольнения запретите сотрудникам общаться с работниками контролирующих органов при проверках и допросах. Объясните, что они не обязаны отвечать ни на какие вопросы без адвоката. Раздайте номер дежурного адвоката каждому и укажите обязательно связываться с ним в таких случаях. Сотрудники полиции умеют задавать вопросы и владеют методами психологического давления. Не все готовы им в этом противостоять, даже, если проинструктированы. Адвокат готов.
#внутренняя
@businesssafe
Как писали, человек – самое уязвимое звено в любом бизнесе. Можно обложиться сверхсовременными системами безопасности, шифрования и физической защиты, но один «задушевный» разговор в баре вашего сотрудника может поставить на всем этом крест.
Мы знаем случаи, когда расслабившийся работник, пытаясь произвести впечатление на девушек в караоке, рассказал им, что его фирма продает наличку и на этом хорошо зарабатывает. А девушки оказались сотрудниками полиции… За ним проследили, узнали место работы, а дальше – дело техники.
В любом бизнесе так или иначе оптимизируют налоги и «накопать» что-то всегда можно. Поэтому ваши ответственные работники должны иметь понятие об этике корпоративного общения. И лучше с ними заранее об этом поговорить.
1. Предупредите сотрудников, что обсуждать бизнес на стороне не стоит. Даже с близкими. Понятно, что проконтролировать это невозможно, но так они будут это помнить и прислушаются. Деньги любят тишину.
2. Под угрозой штрафов запретите использовать в лексиконе слова «вывод», «уход от налогов» «обналичка», «кэш», и т.п. А также вообще поднимать данные темы вне определенного узкого круга лиц внутри компании. Это важно не только потому, что вы уже можете быть предметом интереса органов, но интересоваться могут и вашими контрагентами, которых могут прослушивать. Услышав данные слова-маячки, начнут интересоваться и вами. Особенно, если партнер участвует в госзакупках и через него проходят бюджетные деньги. По бюджету работает ФСБ, а они могут прослушивать всех, кого посчитают нужным.
3. Если необходимо обсудить что-то «серое», пусть это будет при личной встрече. Но и в этом случае стоит шифровать разговор. Никогда не говорите прямым текстом, что вам нужна обналичка, бумажный НДС и т.п. Всегда можно придумать и использовать коды или слова-синонимы. Даже если вас и поймут, предъявить будет тяжелее. Говорите понятно, но размыто. Да, это касается больше руководителей, но и беседы простых сотрудников тоже подшивают в дела.
4. По важным вопросам не нужно общаться по обычной связи. Пусть это будет Telegram, Facetime или хотя бы WhatsApp. Прослушивать сотовую связь в России очень просто, любой оператор предоставит данные на любого абонента даже без суда. Если вы – руководитель, лучше запретите сотрудникам звонить вам по обычной связи. Ключевых партнеров тоже можно об этом попросить.
5. Отдельно введите и пропишите режим коммерческой тайны и документы, которые к ней относятся. Установите порядок обращения с такой информацией и контроль. Организуйте учет лиц, получивших к ней доступ. Дополнительно можно физически ограничить доступ к такому компьютеру. Пусть он располагается в отдельном помещении с видеонаблюдением. Это также убережет документы от несанкционированного изъятия. По закону, изымать такие данные можно только с санкции суда. Это тема отдельного поста.
6. Регулярно проводите аудит безопасности и проверяйте сотрудников на знание инструкций. Рекомендуем делать это раз в месяц. Можно максимально все объяснить каждому, он покивает головой и даже распишется. Но, если будет знать, что каждый месяц будут об этом спрашивать, процесс запоминания пойдет лучше. Для этого можно проводить так называемые летучки по безопасности, где проводить тесты и повторять информацию. При этом советуем не просто обязать их запоминать пункты, а объяснять, почему это важно, и что может быть при несоблюдении правил, как для компании, так и для работника.
7. Под угрозой штрафов и увольнения запретите сотрудникам общаться с работниками контролирующих органов при проверках и допросах. Объясните, что они не обязаны отвечать ни на какие вопросы без адвоката. Раздайте номер дежурного адвоката каждому и укажите обязательно связываться с ним в таких случаях. Сотрудники полиции умеют задавать вопросы и владеют методами психологического давления. Не все готовы им в этом противостоять, даже, если проинструктированы. Адвокат готов.
#внутренняя
@businesssafe
👍15
Какие бывают удаленные серверы
В прошлый раз мы обозначили тему виртуальных серверов, сегодня поговорим более подробно.
Для начала разберемся в терминах:
1. DS (Dedicated Server) – выделенный сервер, это так называемые «дедики». Когда вы арендуете «дедик», в распоряжение попадает выделенная физическая машина с полным доступом ко всем административным функциям, включая настройки BIOS. Единственным пользователем этой машины будете вы или компания. Подходит для проектов, предусматривающих серьезные вычислительные мощности, вроде бэк-офиса. Самый дорогой вариант из всех, но взамен получите полный контроль над железом, отсутствие соседей и большую безопасность.
Вы полностью контролируете железо, а значит, уверены, что к серверу никто не подключается. Разумеется, провайдер имеет доступ к железу, он может изъять сервер, проанализировать диск и т.д., но это точно будет заметно и можно отреагировать или заранее прописать скрипт, что при определенных условиях, например, при подключении к машине USB-устройств, сервер стирает или шифрует данные. Возможности для маневра есть, хотя много зависит от конкретного провайдера.
2. VDS/VPS (Virtual Dedicated Server/Virtual Private Server) – это виртуальные сервера с root-доступом в выделенной среде. Выглядит это так: хостинг-провайдер закупает один большой кластер, «разрезает» его на куски и продает. Реализуется с помощью технологий KVM, Docker и т.д. Суть с том, что все клиенты находятся на одном большом сервере, но каждый видит только свою виртуальную машину, все изолированы друг от друга. Root-доступ позволяет менять почти все настройки сервера, но не выходит за рамки виртуальной среды – то есть тонко настроить VPS/VDS не получится. С точки зрения безопасности – это менее надежное решение, так как администраторам кластера проще получить доступ к логам и мониторить активность.
Различия между DS и VDS/VPS стоит понимать. Некоторые провайдеры злоупотребляют путаницей в понятиях и накручивают стоимость.
В сети, в частности на даркнет-форумах, время от времени возникают предложения купить “безопасные/абузоустойчивые/bullet-proof” сервера за большие деньги, якобы их владельцы не выдают данные даже ФБР, не говоря о ФСБ. Верить этому или нет – дело ваше, но стоит несколько раз подумать, прежде чем доверять. Вы отдаете деньги в криптовалюте неизвестному человеку, который в случае чего просто умоет руки, начнет шантажировать или украдет информацию.
Некоторые и сами указывают, что при запросе все выдают, а «Устойчивый к запросам» – это просто маркетинговый ход. Кстати, утверждения официально зарегистрированных и сертифицированных сервисов, особенно европейских, что они никому и ничего не выдают– это абсурд. Без содействия с властями они бы не могли работать.
Всем доступных «пуленепробиваемых» сервисов не существует. Есть, но их пользователи о них не распространяются, это эксклюзивная услуга за немалые деньги. Самый надежный вариант – это самому где-нибудь установить стойку и посадить ухаживать за ней доверенного человека, но он подходит не всем из-за сложности и стоимости. Это и один из самых безопасных вариантов.
Для простого бизнеса нужно обозначить предпочтительные локации, в сторону которых стоит смотреть при выборе сервера. С недавних пор все страны ЕС и НАТО стали враждебны по отношению к нашим силовым структурам. Данные не выдаются, сотрудничество прекращено, но в то же время надо быть осторожным, так как некоторые просто отказываются обслуживать или прямо вредят клиентам из России.
В дальнейшем будем развивать тему на канале.
#информационная
@businesssafe
В прошлый раз мы обозначили тему виртуальных серверов, сегодня поговорим более подробно.
Для начала разберемся в терминах:
1. DS (Dedicated Server) – выделенный сервер, это так называемые «дедики». Когда вы арендуете «дедик», в распоряжение попадает выделенная физическая машина с полным доступом ко всем административным функциям, включая настройки BIOS. Единственным пользователем этой машины будете вы или компания. Подходит для проектов, предусматривающих серьезные вычислительные мощности, вроде бэк-офиса. Самый дорогой вариант из всех, но взамен получите полный контроль над железом, отсутствие соседей и большую безопасность.
Вы полностью контролируете железо, а значит, уверены, что к серверу никто не подключается. Разумеется, провайдер имеет доступ к железу, он может изъять сервер, проанализировать диск и т.д., но это точно будет заметно и можно отреагировать или заранее прописать скрипт, что при определенных условиях, например, при подключении к машине USB-устройств, сервер стирает или шифрует данные. Возможности для маневра есть, хотя много зависит от конкретного провайдера.
2. VDS/VPS (Virtual Dedicated Server/Virtual Private Server) – это виртуальные сервера с root-доступом в выделенной среде. Выглядит это так: хостинг-провайдер закупает один большой кластер, «разрезает» его на куски и продает. Реализуется с помощью технологий KVM, Docker и т.д. Суть с том, что все клиенты находятся на одном большом сервере, но каждый видит только свою виртуальную машину, все изолированы друг от друга. Root-доступ позволяет менять почти все настройки сервера, но не выходит за рамки виртуальной среды – то есть тонко настроить VPS/VDS не получится. С точки зрения безопасности – это менее надежное решение, так как администраторам кластера проще получить доступ к логам и мониторить активность.
Различия между DS и VDS/VPS стоит понимать. Некоторые провайдеры злоупотребляют путаницей в понятиях и накручивают стоимость.
В сети, в частности на даркнет-форумах, время от времени возникают предложения купить “безопасные/абузоустойчивые/bullet-proof” сервера за большие деньги, якобы их владельцы не выдают данные даже ФБР, не говоря о ФСБ. Верить этому или нет – дело ваше, но стоит несколько раз подумать, прежде чем доверять. Вы отдаете деньги в криптовалюте неизвестному человеку, который в случае чего просто умоет руки, начнет шантажировать или украдет информацию.
Некоторые и сами указывают, что при запросе все выдают, а «Устойчивый к запросам» – это просто маркетинговый ход. Кстати, утверждения официально зарегистрированных и сертифицированных сервисов, особенно европейских, что они никому и ничего не выдают– это абсурд. Без содействия с властями они бы не могли работать.
Всем доступных «пуленепробиваемых» сервисов не существует. Есть, но их пользователи о них не распространяются, это эксклюзивная услуга за немалые деньги. Самый надежный вариант – это самому где-нибудь установить стойку и посадить ухаживать за ней доверенного человека, но он подходит не всем из-за сложности и стоимости. Это и один из самых безопасных вариантов.
Для простого бизнеса нужно обозначить предпочтительные локации, в сторону которых стоит смотреть при выборе сервера. С недавних пор все страны ЕС и НАТО стали враждебны по отношению к нашим силовым структурам. Данные не выдаются, сотрудничество прекращено, но в то же время надо быть осторожным, так как некоторые просто отказываются обслуживать или прямо вредят клиентам из России.
В дальнейшем будем развивать тему на канале.
#информационная
@businesssafe
👍19
Как избавиться от компании?
Бывают ситуации, когда предприниматель создает новую компанию, а от старой избавляется. Иногда проще начать все с чистого листа. В любом бизнесе так или иначе используются схемы оптимизации, а значит, хранятся и скелеты в шкафу, за которые могут подтянуть. По закону, проверить могут за три предыдущих года. Очень многие до сих пор держат компанию 3 года, а потом от нее избавляются.
Создать и перевести бизнес на новую компанию, если нет долгосрочных и госконтрактов не сложно. Перезаключаются договоры, переводятся сотрудники и основные средства. На старой оставляют все косяки, незакрытую кредиторку, подотчет, «воздушные» активы и иногда – долги.
Путей избавления от старой компании есть три.
1. Бросить фирму и перестать сдавать отчетность в налоговую;
2. Продать фирму;
3. Официально закрыть фирму.
Самый надежный способ – закрывать официально. Но это долго и дорого. Нужно принять решение, сообщить в налоговую, опубликовать в «Вестнике госрегистрации», разобраться с сотрудниками, отчитаться и погасить все долги, снять с учета кассу, подготовить промежуточный и окончательный ликвидационный баланс и сдать все документы в ФНС. При этом могут появиться недовольные кредиторы, а налоговая может назначить выездную проверку.
И когда есть серьезные опасения, фирму предпочитают бросить или продать. На рынке есть услуга под названием «альтернативная ликвидация». Исполнители утверждают, что компания будет переоформлена на третьих лиц, а вы избавитесь от всех проблем. Иногда так и происходит. Но мы опишем реальные риски.
Компанию могут перепродать мошенникам и тем, кто занимается воровством НДС. Фирма с историей всегда представляет ценность. Тогда новый директор просто пересдаст отчетность за прошлые периоды и продаст вычеты по НДС своим клиентам. Ваши же старые покупатели получат требование о необходимости доплатить налоги, согласно новым отчетам. Иными словами, покупатели перестали быть покупателями и иметь право на вычет.
Исправить ситуацию уже будет нельзя. Контроля над компанией нет, а исполнители точно не помогут, так как скорее всего, пропадут. Понятно, что клиенты сразу зададут вопросы и придется с ними разбираться. Вернее, платить. Если договориться не получится, вероятнее всего, они пойдут с вопросами в налоговую и БЭП. А там могут быть разные варианты. И почему вы официально не захотели избавиться от компании спросят уже контролирующие органы. А субсидиарную ответственность на бывшего директора никто не отменял.
Кстати, такая ситуация может произойти и если просто бросить компанию. Коррумпированные работники налоговой отслеживают хорошие фирмы, не сдающие отчетность и продают эту информацию оптимизаторам. Те делают новую ЭЦП, меняют директора и пускают ее в оборот.
Никакие способы, кроме официальной ликвидации, не спасут от субсидиарной и уголовной ответственности. И если глубина налоговой проверки – 3 года, срок привлечения по уголовному делу по экономическим статьям – 10 лет. Сегодня все чаще кредиторы обращаются в суды даже после исключения компании из ЕГРЮЛ и выигрывают.
Поэтому только ликвидация, либо официальное банкротство. Если все будет сделано грамотно и под надзором опытного адвоката, вы получите решение суда о ликвидации. Вот оно уже защитит от всех возможных неприятных последствий. Даже налоговая после этого не сможет предъявить никакие доначисления. И ищите хорошего профильного юриста.
Ну либо просто оставьте фирму про запас и сдавайте нулевые отчеты. А через три года можно будет ее «оживить» и пустить в дело. Может, у вас новые проекты появятся.
#финансовая
@businesssafe
Бывают ситуации, когда предприниматель создает новую компанию, а от старой избавляется. Иногда проще начать все с чистого листа. В любом бизнесе так или иначе используются схемы оптимизации, а значит, хранятся и скелеты в шкафу, за которые могут подтянуть. По закону, проверить могут за три предыдущих года. Очень многие до сих пор держат компанию 3 года, а потом от нее избавляются.
Создать и перевести бизнес на новую компанию, если нет долгосрочных и госконтрактов не сложно. Перезаключаются договоры, переводятся сотрудники и основные средства. На старой оставляют все косяки, незакрытую кредиторку, подотчет, «воздушные» активы и иногда – долги.
Путей избавления от старой компании есть три.
1. Бросить фирму и перестать сдавать отчетность в налоговую;
2. Продать фирму;
3. Официально закрыть фирму.
Самый надежный способ – закрывать официально. Но это долго и дорого. Нужно принять решение, сообщить в налоговую, опубликовать в «Вестнике госрегистрации», разобраться с сотрудниками, отчитаться и погасить все долги, снять с учета кассу, подготовить промежуточный и окончательный ликвидационный баланс и сдать все документы в ФНС. При этом могут появиться недовольные кредиторы, а налоговая может назначить выездную проверку.
И когда есть серьезные опасения, фирму предпочитают бросить или продать. На рынке есть услуга под названием «альтернативная ликвидация». Исполнители утверждают, что компания будет переоформлена на третьих лиц, а вы избавитесь от всех проблем. Иногда так и происходит. Но мы опишем реальные риски.
Компанию могут перепродать мошенникам и тем, кто занимается воровством НДС. Фирма с историей всегда представляет ценность. Тогда новый директор просто пересдаст отчетность за прошлые периоды и продаст вычеты по НДС своим клиентам. Ваши же старые покупатели получат требование о необходимости доплатить налоги, согласно новым отчетам. Иными словами, покупатели перестали быть покупателями и иметь право на вычет.
Исправить ситуацию уже будет нельзя. Контроля над компанией нет, а исполнители точно не помогут, так как скорее всего, пропадут. Понятно, что клиенты сразу зададут вопросы и придется с ними разбираться. Вернее, платить. Если договориться не получится, вероятнее всего, они пойдут с вопросами в налоговую и БЭП. А там могут быть разные варианты. И почему вы официально не захотели избавиться от компании спросят уже контролирующие органы. А субсидиарную ответственность на бывшего директора никто не отменял.
Кстати, такая ситуация может произойти и если просто бросить компанию. Коррумпированные работники налоговой отслеживают хорошие фирмы, не сдающие отчетность и продают эту информацию оптимизаторам. Те делают новую ЭЦП, меняют директора и пускают ее в оборот.
Никакие способы, кроме официальной ликвидации, не спасут от субсидиарной и уголовной ответственности. И если глубина налоговой проверки – 3 года, срок привлечения по уголовному делу по экономическим статьям – 10 лет. Сегодня все чаще кредиторы обращаются в суды даже после исключения компании из ЕГРЮЛ и выигрывают.
Поэтому только ликвидация, либо официальное банкротство. Если все будет сделано грамотно и под надзором опытного адвоката, вы получите решение суда о ликвидации. Вот оно уже защитит от всех возможных неприятных последствий. Даже налоговая после этого не сможет предъявить никакие доначисления. И ищите хорошего профильного юриста.
Ну либо просто оставьте фирму про запас и сдавайте нулевые отчеты. А через три года можно будет ее «оживить» и пустить в дело. Может, у вас новые проекты появятся.
#финансовая
@businesssafe
👍32🤔5
Из чего состоит цифровая безопасность?
Нам часто задают вопросы: что самое главное в обеспечении цифровой безопасности?
Основное, как можно вычислить пользователя, это MAC адрес, IMEI устройства и IP адрес. А также добровольно или не очень оставленные персональные данные.
MAC адрес (Media Access Control) – уникальная комбинация цифр и букв длиной 48 символов. Это аппаратный номер оборудования, который присваивается любому активному сетевому оборудованию еще на заводе. Он помогает идентифицировать устройство среди миллионов других. Да, это не IP, который легко поменять, он вшит аппаратно. Но «перебить» его возможно.
IMEI (International Mobile Equipment Identity) — международный идентификатор мобильного оборудования. Это уникальный номер из 15-ти символов, присваивается уполномоченными организациями, служит для идентификации устройства в сети и хранится в прошивке. Его можно сравнить с ИНН человека.
IP адрес (Internet Protocol) – это сетевой адрес, который выдает провайдер. Он собирается всеми сервисами и ресурсами, которые вы посетили. Может быть статическим или динамическим. Статический = постоянный, а динамический выдается при каждом новом подключении к сети.
Все это при желании вычисляется и пробивается. Способы существуют разные. Проще всего узнать IP адрес, для этого полно бесплатных сервисов. Они показывают IP, данные о провайдере, о системе, браузере и местоположение. Последне – не точно. Операторы часто перекидывают адреса из одного региона в другой. Разумеется, информация об этом у оператора есть, а также – как и когда была смена.
Что касается персональных данных, с ними все ещё проще. Браузеры уже давно собирают все, до чего могут дотянуться: настройки, куки, почты, журнал посещений, версии ПО, плагины, тип устройства и т.д. Да, есть способы минимизировать этот сбор, но нужно быть опытным сисадмином. Согласно некоторым исследованиям, вычислить юзера по отпечатку браузера можно с вероятностью 99%. Конечно, нужно понимать, если данные понадобятся представителям правоохранительных органов, их предоставят.
Надо признать, что сегодня инспекторы налоговой и работники МВД не сильно подкованы в информационном плане. Основные вопросы, которые у них возникают, касаются в основном IP-адреса.
Например, налоговики любят заявлять, раз отчетность сдавалась с одного IP, значит, компании взаимозависимы. Что в свою очередь, доказывает применение схем. Кстати, если адрес отличается хоть на одну цифру, можете сразу отметать все обвинения.
Да, операторы ЭЦП при сдаче отчетности подтягивают данные, с какого устройства и адреса был вход, и налоговики это видят. Спорить, конечно, можно, но от подозрений и претензий это спасет вряд ли. Особенно, если контрагент по документам вообще из другого города.
Личный кабинет или банк-клиент также отслеживает и устройство. В прошлом году у ЦБ была даже идея создать базу данных «подозрительных» устройств, которые ставить на отдельную проверку, но потом от этой идеи отказались. База получилась бы слишком большой, работы у сотрудников банков – слишком много, а обойти это слишком легко покупкой любого старого ноутбука или смартфона. Тем не менее было выиграно много дел по участию в торгах при помощи аффилированных компаний, когда был доказан один IP-адрес и устройство.
Поэтому первое, на что стоит смотреть – разные IP и разные устройства для разных задач. Для этого достаточно снять отдельное помещение и поставить туда отдельную машину, которая будет использоваться только под конкретные цели. Если у вас несколько компаний, таких «анклавов» нужно по их числу. И сдавать отчетность или заходить в банк клиент нужно всегда со специально-выделенных для этого машин. Также хорошо, если в доступе всегда будет компетентный IT-специалист.
В дальнейшем будем писать, как еще обезопасить свой бизнес в цифровом плане.
#информационная
@businesssafe
Нам часто задают вопросы: что самое главное в обеспечении цифровой безопасности?
Основное, как можно вычислить пользователя, это MAC адрес, IMEI устройства и IP адрес. А также добровольно или не очень оставленные персональные данные.
MAC адрес (Media Access Control) – уникальная комбинация цифр и букв длиной 48 символов. Это аппаратный номер оборудования, который присваивается любому активному сетевому оборудованию еще на заводе. Он помогает идентифицировать устройство среди миллионов других. Да, это не IP, который легко поменять, он вшит аппаратно. Но «перебить» его возможно.
IMEI (International Mobile Equipment Identity) — международный идентификатор мобильного оборудования. Это уникальный номер из 15-ти символов, присваивается уполномоченными организациями, служит для идентификации устройства в сети и хранится в прошивке. Его можно сравнить с ИНН человека.
IP адрес (Internet Protocol) – это сетевой адрес, который выдает провайдер. Он собирается всеми сервисами и ресурсами, которые вы посетили. Может быть статическим или динамическим. Статический = постоянный, а динамический выдается при каждом новом подключении к сети.
Все это при желании вычисляется и пробивается. Способы существуют разные. Проще всего узнать IP адрес, для этого полно бесплатных сервисов. Они показывают IP, данные о провайдере, о системе, браузере и местоположение. Последне – не точно. Операторы часто перекидывают адреса из одного региона в другой. Разумеется, информация об этом у оператора есть, а также – как и когда была смена.
Что касается персональных данных, с ними все ещё проще. Браузеры уже давно собирают все, до чего могут дотянуться: настройки, куки, почты, журнал посещений, версии ПО, плагины, тип устройства и т.д. Да, есть способы минимизировать этот сбор, но нужно быть опытным сисадмином. Согласно некоторым исследованиям, вычислить юзера по отпечатку браузера можно с вероятностью 99%. Конечно, нужно понимать, если данные понадобятся представителям правоохранительных органов, их предоставят.
Надо признать, что сегодня инспекторы налоговой и работники МВД не сильно подкованы в информационном плане. Основные вопросы, которые у них возникают, касаются в основном IP-адреса.
Например, налоговики любят заявлять, раз отчетность сдавалась с одного IP, значит, компании взаимозависимы. Что в свою очередь, доказывает применение схем. Кстати, если адрес отличается хоть на одну цифру, можете сразу отметать все обвинения.
Да, операторы ЭЦП при сдаче отчетности подтягивают данные, с какого устройства и адреса был вход, и налоговики это видят. Спорить, конечно, можно, но от подозрений и претензий это спасет вряд ли. Особенно, если контрагент по документам вообще из другого города.
Личный кабинет или банк-клиент также отслеживает и устройство. В прошлом году у ЦБ была даже идея создать базу данных «подозрительных» устройств, которые ставить на отдельную проверку, но потом от этой идеи отказались. База получилась бы слишком большой, работы у сотрудников банков – слишком много, а обойти это слишком легко покупкой любого старого ноутбука или смартфона. Тем не менее было выиграно много дел по участию в торгах при помощи аффилированных компаний, когда был доказан один IP-адрес и устройство.
Поэтому первое, на что стоит смотреть – разные IP и разные устройства для разных задач. Для этого достаточно снять отдельное помещение и поставить туда отдельную машину, которая будет использоваться только под конкретные цели. Если у вас несколько компаний, таких «анклавов» нужно по их числу. И сдавать отчетность или заходить в банк клиент нужно всегда со специально-выделенных для этого машин. Также хорошо, если в доступе всегда будет компетентный IT-специалист.
В дальнейшем будем писать, как еще обезопасить свой бизнес в цифровом плане.
#информационная
@businesssafe
👍21
Работа с виртуальными серверами. SSH
Мы уже говорили о классификации серверов, сегодня затронем тему взаимодействия с ними через протокол SSH.
SSH, Secure SHell (безопасная оболочка) – это сетевой протокол, шифрующий передаваемую между компьютерами информацию. Обычно используется для удаленного доступа к другим машинам через командную строку. Но в него можно завернуть любой другой протокол и защищенно передавать очень большие файлы или видео. Технологии около четверти века, в плане надежности и безопасности оправдывает себя до сих пор.
При покупке виртуального сервера на указанную почту или прямо в личном кабинете провайдера обычно присылают данные для доступа к серверу через SSH: цифровой IP-адрес сервера, логин (обычно это root) и пароль. Этого достаточно для получения доступа к машине. Некоторые программы еще просят указать порт при подключении, обычно это 22-й порт, специально зарезервированный для этих целей, но его можно поменять в целях безопасности. В этих же целях стоит отказаться от входа по паролю и настроить доступ по SHH-ключу, чтобы доступ к серверу имели только вы и/или выбранные вами лица. Подробнее об этом позже.
После подключения вы получите доступ к машине от имени root, то есть войдете как главный администратор. Дальше, в зависимости от потребностей, можно развернуть корпоративную или личную виртуальную частную сеть (VPN), частный почтовый сервер, защищенное облако, удаленную базу данных, бота, сайт и т.д.
Популярные клиентские программы для работы с этим протоколом:
Windows: PuTTY, OpenSSH, FileZilla для передачи файлов;
MacOS: встроенная утилита SSH, Terminus;
Linux: встроенная утилита ssh. Есть поддержка PuTTY и FileZilla.
Новичкам удобно работать с графическими PuTTY и FileZilla, но взаимодействовать с сервером при помощи встроенной в командную строку утилиты проще. Упрощается работа по передаче файлов и распределению их по директориям, будет удобнее настраивать доступ по ключам вместо пароля и т.д.
Команды управления удаленной машиной такие же, как и на обычном компьютере. В большинстве случаев это команды, используемые в Linux, так как большая часть серверов работает на нем, а конкретно на Ubuntu/Debian. Не стоит бояться терминала, один раз изучив и несколько раз попробовав, вы легко привыкнете к нему. С каждым годом базовая компьютерная грамотность – это все более насущная необходимость, поэтому даже руководителям организаций мы советуем хотя бы поверхностно изучить базовые команды и методы настройки серверов через командную строку, чтобы понимать, что делают технари, не быть введенным в заблуждение и не растеряться, если что-то пойдет не так.
Более подробно тему подключения и конфигурации виртуальных серверов, а также тему подключения при помощи RDP, раскроем в будущем.
#информационная
@businesssafe
Мы уже говорили о классификации серверов, сегодня затронем тему взаимодействия с ними через протокол SSH.
SSH, Secure SHell (безопасная оболочка) – это сетевой протокол, шифрующий передаваемую между компьютерами информацию. Обычно используется для удаленного доступа к другим машинам через командную строку. Но в него можно завернуть любой другой протокол и защищенно передавать очень большие файлы или видео. Технологии около четверти века, в плане надежности и безопасности оправдывает себя до сих пор.
При покупке виртуального сервера на указанную почту или прямо в личном кабинете провайдера обычно присылают данные для доступа к серверу через SSH: цифровой IP-адрес сервера, логин (обычно это root) и пароль. Этого достаточно для получения доступа к машине. Некоторые программы еще просят указать порт при подключении, обычно это 22-й порт, специально зарезервированный для этих целей, но его можно поменять в целях безопасности. В этих же целях стоит отказаться от входа по паролю и настроить доступ по SHH-ключу, чтобы доступ к серверу имели только вы и/или выбранные вами лица. Подробнее об этом позже.
После подключения вы получите доступ к машине от имени root, то есть войдете как главный администратор. Дальше, в зависимости от потребностей, можно развернуть корпоративную или личную виртуальную частную сеть (VPN), частный почтовый сервер, защищенное облако, удаленную базу данных, бота, сайт и т.д.
Популярные клиентские программы для работы с этим протоколом:
Windows: PuTTY, OpenSSH, FileZilla для передачи файлов;
MacOS: встроенная утилита SSH, Terminus;
Linux: встроенная утилита ssh. Есть поддержка PuTTY и FileZilla.
Новичкам удобно работать с графическими PuTTY и FileZilla, но взаимодействовать с сервером при помощи встроенной в командную строку утилиты проще. Упрощается работа по передаче файлов и распределению их по директориям, будет удобнее настраивать доступ по ключам вместо пароля и т.д.
Команды управления удаленной машиной такие же, как и на обычном компьютере. В большинстве случаев это команды, используемые в Linux, так как большая часть серверов работает на нем, а конкретно на Ubuntu/Debian. Не стоит бояться терминала, один раз изучив и несколько раз попробовав, вы легко привыкнете к нему. С каждым годом базовая компьютерная грамотность – это все более насущная необходимость, поэтому даже руководителям организаций мы советуем хотя бы поверхностно изучить базовые команды и методы настройки серверов через командную строку, чтобы понимать, что делают технари, не быть введенным в заблуждение и не растеряться, если что-то пойдет не так.
Более подробно тему подключения и конфигурации виртуальных серверов, а также тему подключения при помощи RDP, раскроем в будущем.
#информационная
@businesssafe
👍9
Личная информационная безопасность
Нас становится больше и начинают поступать вопросы. Будем отвечать.
Вопрос: Подскажите, как максимально обеспечить свою личную информационную безопасность?
Защитить себя на 100% вряд ли возможно, но несколько несложных шагов предпринять стоит.
1. Имейте несколько СИМ-карт и смартфонов под разные задачи. Как минимум три: личный, для работы и для всего прочего. Личный номер не давайте никому, кроме родственников и близких друзей. По рабочему общайтесь только с коллегами и партнерами. Третий используйте для регистрации на сайтах, досках объявлений, в приложениях, соцсетях и т.п. Неплохо сделать отдельный номер для банков, брокеров, налоговой и Госуслуг, который вообще не давать никому. Так вы сразу отрежете свои личные номера от рекламных и мошеннических звонков и всегда будете знать, зачем вам звонят. И обязательно поставьте запрет у операторов на любые действия с вашей СИМ-картой по доверенности.
2. На все СИМ-карты установите пароль. Сегодня они продаются по умолчанию без пароля, из-за чего ее можно легко переставить в другой телефон и активировать. Это огромный риск. К вашей СИМ, даже, если она «для мусора», привязано очень много. Те же соцсети. И если вы потеряете телефон, мошенники смогут установить ее в новое устройство и получить доступ к аккаунтам, например, в соцсетях. Что они там найдут и как используют, зависит от обстоятельств. Устройство для работы с банками советуем вообще никогда не выносить из дома. SD-карты лучше вообще не использовать.
3. Обезопасьте и доступ в сами устройства. Заблокируйте смартфон цифровым кодом. Код не должен содержать никаких намеков на ваши данные, типа даты рождения. Не будем повторять, уже писали про пароли тут. Сразу посоветуем не использовать палец или лицо для входа, как в телефон, так и в приложения. Ситуации бывают разные. Смартфон могут поднести к вашему лицу во сне или заставить приложить палец недобросовестные сотрудники силовых структур или грабители. Также стоит отключить отображение СМС и пушей на заблокированном экране.
4. На все важные приложения, типа Госуслуг, обязательно установите двухфакторную аутентификацию! Чем может закончиться, если к аккаунту на Госуслугах получат доступ мошенники, объяснять не будем. Почту это тоже касается. Кстати, тогда на компьютере можно будет входить через QR код.
5. По аналогии с СИМ, имейте несколько почт и банковских карт под разные нужды. Одну для личных целей, вторую – для работы, третью – для покупок в интернете. Сегодня много сервисов требуют данные карты и почту, пусть это будет отдельная карта и почта. Как минимум защититесь от спама, а как максимум – от мошенников в случае, если данные сольют в сеть. Разные карты удобнее использовать и для разных транзакций. Одну – для переводов родным, вторую – для оплаты в офлайн-магазинах, третью – для интернет-покупок и получения кэш-бэков.
6. Помните, что почти все сервисы рано или поздно сливают информацию. Это не только персональные данные, но и фото, переписки, видео, документы. Поэтому не стоит хранить на тех же облачных дисках слишком много личного. Лучше использовать платные сервисы или вообще ничего не хранить в сети. Ваши фото на флешке или компьютере точно будут надежнее. GetContact не использовать от слова совсем.
Про безопасную работу в соцсетях и мессенджерах будем писать отдельно.
Все это не очень сложно, но способно серьезно понизить уровень риска слива ваших данных.
#информационная
@businesssafe
Нас становится больше и начинают поступать вопросы. Будем отвечать.
Вопрос: Подскажите, как максимально обеспечить свою личную информационную безопасность?
Защитить себя на 100% вряд ли возможно, но несколько несложных шагов предпринять стоит.
1. Имейте несколько СИМ-карт и смартфонов под разные задачи. Как минимум три: личный, для работы и для всего прочего. Личный номер не давайте никому, кроме родственников и близких друзей. По рабочему общайтесь только с коллегами и партнерами. Третий используйте для регистрации на сайтах, досках объявлений, в приложениях, соцсетях и т.п. Неплохо сделать отдельный номер для банков, брокеров, налоговой и Госуслуг, который вообще не давать никому. Так вы сразу отрежете свои личные номера от рекламных и мошеннических звонков и всегда будете знать, зачем вам звонят. И обязательно поставьте запрет у операторов на любые действия с вашей СИМ-картой по доверенности.
2. На все СИМ-карты установите пароль. Сегодня они продаются по умолчанию без пароля, из-за чего ее можно легко переставить в другой телефон и активировать. Это огромный риск. К вашей СИМ, даже, если она «для мусора», привязано очень много. Те же соцсети. И если вы потеряете телефон, мошенники смогут установить ее в новое устройство и получить доступ к аккаунтам, например, в соцсетях. Что они там найдут и как используют, зависит от обстоятельств. Устройство для работы с банками советуем вообще никогда не выносить из дома. SD-карты лучше вообще не использовать.
3. Обезопасьте и доступ в сами устройства. Заблокируйте смартфон цифровым кодом. Код не должен содержать никаких намеков на ваши данные, типа даты рождения. Не будем повторять, уже писали про пароли тут. Сразу посоветуем не использовать палец или лицо для входа, как в телефон, так и в приложения. Ситуации бывают разные. Смартфон могут поднести к вашему лицу во сне или заставить приложить палец недобросовестные сотрудники силовых структур или грабители. Также стоит отключить отображение СМС и пушей на заблокированном экране.
4. На все важные приложения, типа Госуслуг, обязательно установите двухфакторную аутентификацию! Чем может закончиться, если к аккаунту на Госуслугах получат доступ мошенники, объяснять не будем. Почту это тоже касается. Кстати, тогда на компьютере можно будет входить через QR код.
5. По аналогии с СИМ, имейте несколько почт и банковских карт под разные нужды. Одну для личных целей, вторую – для работы, третью – для покупок в интернете. Сегодня много сервисов требуют данные карты и почту, пусть это будет отдельная карта и почта. Как минимум защититесь от спама, а как максимум – от мошенников в случае, если данные сольют в сеть. Разные карты удобнее использовать и для разных транзакций. Одну – для переводов родным, вторую – для оплаты в офлайн-магазинах, третью – для интернет-покупок и получения кэш-бэков.
6. Помните, что почти все сервисы рано или поздно сливают информацию. Это не только персональные данные, но и фото, переписки, видео, документы. Поэтому не стоит хранить на тех же облачных дисках слишком много личного. Лучше использовать платные сервисы или вообще ничего не хранить в сети. Ваши фото на флешке или компьютере точно будут надежнее. GetContact не использовать от слова совсем.
Про безопасную работу в соцсетях и мессенджерах будем писать отдельно.
Все это не очень сложно, но способно серьезно понизить уровень риска слива ваших данных.
#информационная
@businesssafe
👍34🔥5
Бухгалтерская безопасность
Мы рассматриваем любые риски, с которыми может столкнуться бизнес. В канале уже был пост о том, как подходить к выбору персонала.
Сегодня хотим отдельно выделить позицию главного бухгалтера. Это человек, от работы которого зависит, не только эффективность, но и как на компанию будут смотреть контролирующие органы. Многие предприниматели до сих пор думают, что это не очень важная кадровая единица, кто отправляет отчеты и занимается документами. Это не так. Компетентный бухгалтер способен как повысить прибыльность бизнеса, так и угробить его. Для начала перечислим риски.
Мы знаем случаи, когда бухгалтеры откровенно воровали деньги, как со счета, так и из кассы. Выделяли средства компании под несуществующие товары и услуги, выделяли средства на хозяйственные нужды без отчета за них, выписывали премии, завышая суммы в зарплатных ведомостях. Если компания большая, контрагентов и персонала много, владельцу бывает нереально уследить за каждым рублем.
Бухгалтер может получать откаты у контрагентов за согласование поставок или условий оплат. Многие банки прямо предлагают бухгалтеру оплату за открытие счета. Мы сталкивались с тем, что бухгалтеры даже создают собственные юрлица и отправляют платежи за фейковые поставки товаров и услуг. Аналогичных тем, что компания закупает постоянно.
Конечно, если компания большая, то закупками занимается отдел снабжения, договорами – юридический отдел, персоналом – кадровый. Но в любом случае главбух для них всех – значимая фигура, к которой нужно прислушаться. Если же бухгалтер войдет в сговор с финансовым директором или директором по закупкам, потери и риски возрастают кратно. Мы знаем случаи, когда в сговоре с кадровиком бухгалтер годами начислял зарплату несуществующим работникам офиса в другом городе.
Главбух – человек, который отвечает за налоги и обладает всей информацией о компании. Даже той, которую нельзя никому доверять. Он видит все финансовые потоки, бизнес-процессы, схемы ухода от налогов, контрагентов. Знает слабые и сильные места, владеет полной информацией о бизнесе и его показателях, а также о том, что хранится под грифом «коммерческая тайна». Поэтому при желании вреда может принести много, особенно, если его обидеть.
На практике мы сталкивались с разными «подставами» от бухгалтеров. Самое безобидное – удаление или искажение информации в базах данных. Да, за такое можно привлечь к ответственности, но компании это вряд ли поможет. Записи, документы и бухгалтерию придется восстанавливать. А у главбуха обычно максимальный доступ и удалить он может многое.
Посерьезнее будет проблемы, если бухгалтер отправится в налоговую или правоохранительные органы с документами, подтверждающими игры с налогами. Либо они сами решат его допросить по каким-то, возможно, несерьезным вопросам. Бывает, что на допрос вызывают и уже уволенных бухгалтеров. При желании рассказать они могут многое. Даже если нет доказательной базы, одни его показания «весят» очень много. Поэтому хорошие отношения с бухгалтером необходимы для минимизации таких рисков.
И можно тратить миллионы на защиту информации и безопасность компании в целом, только все это может быть малополезно, если бухгалтер решит вас обмануть, слить или просто «нагадить».
Проверить, насколько хорош и чистоплотен бухгалтер, тяжело. Многие предприниматели даже об этом не думают, тем самым создавая для себя дополнительные риски. Какие – будем писать в дальнейшем. Пока же посоветуем не верить всему, что говорит бухгалтер, а пытаться вникать самому. Неплохо начать разбираться в 1С, сейчас для этого есть специальные курсы для предпринимателей. А также периодически привлекать высококлассных сторонних специалистов для проведения аудита. При подозрениях в нечистоплотности, лучше сделать это сегодня.
О налоговых рисках работы бухгалтера в следующем посте.
#финансовая
@businesssafe
Мы рассматриваем любые риски, с которыми может столкнуться бизнес. В канале уже был пост о том, как подходить к выбору персонала.
Сегодня хотим отдельно выделить позицию главного бухгалтера. Это человек, от работы которого зависит, не только эффективность, но и как на компанию будут смотреть контролирующие органы. Многие предприниматели до сих пор думают, что это не очень важная кадровая единица, кто отправляет отчеты и занимается документами. Это не так. Компетентный бухгалтер способен как повысить прибыльность бизнеса, так и угробить его. Для начала перечислим риски.
Мы знаем случаи, когда бухгалтеры откровенно воровали деньги, как со счета, так и из кассы. Выделяли средства компании под несуществующие товары и услуги, выделяли средства на хозяйственные нужды без отчета за них, выписывали премии, завышая суммы в зарплатных ведомостях. Если компания большая, контрагентов и персонала много, владельцу бывает нереально уследить за каждым рублем.
Бухгалтер может получать откаты у контрагентов за согласование поставок или условий оплат. Многие банки прямо предлагают бухгалтеру оплату за открытие счета. Мы сталкивались с тем, что бухгалтеры даже создают собственные юрлица и отправляют платежи за фейковые поставки товаров и услуг. Аналогичных тем, что компания закупает постоянно.
Конечно, если компания большая, то закупками занимается отдел снабжения, договорами – юридический отдел, персоналом – кадровый. Но в любом случае главбух для них всех – значимая фигура, к которой нужно прислушаться. Если же бухгалтер войдет в сговор с финансовым директором или директором по закупкам, потери и риски возрастают кратно. Мы знаем случаи, когда в сговоре с кадровиком бухгалтер годами начислял зарплату несуществующим работникам офиса в другом городе.
Главбух – человек, который отвечает за налоги и обладает всей информацией о компании. Даже той, которую нельзя никому доверять. Он видит все финансовые потоки, бизнес-процессы, схемы ухода от налогов, контрагентов. Знает слабые и сильные места, владеет полной информацией о бизнесе и его показателях, а также о том, что хранится под грифом «коммерческая тайна». Поэтому при желании вреда может принести много, особенно, если его обидеть.
На практике мы сталкивались с разными «подставами» от бухгалтеров. Самое безобидное – удаление или искажение информации в базах данных. Да, за такое можно привлечь к ответственности, но компании это вряд ли поможет. Записи, документы и бухгалтерию придется восстанавливать. А у главбуха обычно максимальный доступ и удалить он может многое.
Посерьезнее будет проблемы, если бухгалтер отправится в налоговую или правоохранительные органы с документами, подтверждающими игры с налогами. Либо они сами решат его допросить по каким-то, возможно, несерьезным вопросам. Бывает, что на допрос вызывают и уже уволенных бухгалтеров. При желании рассказать они могут многое. Даже если нет доказательной базы, одни его показания «весят» очень много. Поэтому хорошие отношения с бухгалтером необходимы для минимизации таких рисков.
И можно тратить миллионы на защиту информации и безопасность компании в целом, только все это может быть малополезно, если бухгалтер решит вас обмануть, слить или просто «нагадить».
Проверить, насколько хорош и чистоплотен бухгалтер, тяжело. Многие предприниматели даже об этом не думают, тем самым создавая для себя дополнительные риски. Какие – будем писать в дальнейшем. Пока же посоветуем не верить всему, что говорит бухгалтер, а пытаться вникать самому. Неплохо начать разбираться в 1С, сейчас для этого есть специальные курсы для предпринимателей. А также периодически привлекать высококлассных сторонних специалистов для проведения аудита. При подозрениях в нечистоплотности, лучше сделать это сегодня.
О налоговых рисках работы бухгалтера в следующем посте.
#финансовая
@businesssafe
👍20
Бухгалтерские и налоговые риски
Главная опасность со стороны бухгалтера – это даже не воровство, а налоговая сторона. И часто бухгалтер может не иметь никакого умысла, а просто быть некомпетентным или ленивым.
Задача хорошего бухгалтера – не только вести учет и сдавать отчетность, а экономить средства для компании, в том числе на налогах. Дело в том, что нашей ФНС сколько ни уплати, все будет мало. Поэтому платить налоги нужно четко, столько, чтобы не вызвать претензий и столько, чтобы не отдать лишнего, тем самым причинив ущерб фирме.
Сразу совет: если бухгалтер говорит, что в плане оптимизации налогообложения ничего нельзя сделать, лучше искать другого. Сделать что-то можно всегда. Вопрос компетенции и желания.
Сегодня бизнесу необходимо так или иначе оптимизировать. В противном случае большинству просто не выжить. И на передовой таких процессов находится бухгалтер. Именно ему приходится подбивать отчеты, запрашивать документы у контрагентов, общаться с инспекторами, отвечать на требования, ходить на комиссии, взаимодействовать с оптимизаторами. Все это он должен уметь делать, соблюдая при этом интересы компании.
Не так сложно посчитать налоги, сложнее решить с директором, сколько и какими путями их оптимизировать без риска для фирмы. Здесь встает вопрос не столько компетенции, сколько мотивации и чистоплотности.
Бухгалтер должен понимать, что он так или иначе завязан на показатели компании. Многие бухгалтеры относятся к оптимизации налогов, как к дополнительной нагрузке. И отчасти это верно. Работы у них и так всегда хватает без этого. А оптимизация сегодня – это очень непростой процесс. Некоторые компании специально нанимают налоговых консультантов и платят им большие деньги. А кто-то просто вываливает это все на штатного бухгалтера. Так делать не нужно.
Это серьезная работа и у него должна быть мотивация делать дополнительный объем, как минимум хорошая премия в конце квартала.
Если это оптимизация НДС, он должен точно посчитать, сколько и каких документов купить, у какого поставщика, соблюсти лимиты, как грамотно провести, как оформить договоры и первичную документацию, корректно декларировать, создать легендирование. Решать в дальнейшем возможные проблемы с инспекторами и отстаивать свою позицию, не поддаваясь на запугивания и провокации. Должен уметь разговаривать с налоговиками на их языке и иметь контакты тех, кто сможет помочь.
Экономя средства компании на налогах, бухгалтер должен понимать, что это ему будет оплачено. Часто экономия достигает сотен миллионов рублей, и главбух это знает.
Поэтому иногда компетентные главбухи, понимая свои возможности и не получая мотивации, решают заработать. Мы лично сталкивались с тем, что бухгалтер закупал НДС по одной ставке, а руководителю озвучивал другую, кладя разницу в карман. Некоторые даже умудряются продать свой НДС компании налево за дорого, а купить по объявлению дешево. Можно завышать налоги, а затем возвращать и выводить себе на карту. Конечно, это риски, приводящие к серьезным последствиям.
Хороший бухгалтер всегда найдёт, где его оценят, поэтому общайтесь с ним, узнавайте потребности и недовольства заранее, создавайте условия, в которых он нуждается и мотивируйте. В отчетный период можно назначить ему отдельного помощника. Он должен быть в команде и работать на благо компании, но под надзором собственника.
Где найти хорошего бухгалтера – вопрос не к нам. Опытные бухгалтеры не ищут работу. Чаще всего они появляются, благодаря связям и рекомендациям.
#финансовая
@businesssafe
Главная опасность со стороны бухгалтера – это даже не воровство, а налоговая сторона. И часто бухгалтер может не иметь никакого умысла, а просто быть некомпетентным или ленивым.
Задача хорошего бухгалтера – не только вести учет и сдавать отчетность, а экономить средства для компании, в том числе на налогах. Дело в том, что нашей ФНС сколько ни уплати, все будет мало. Поэтому платить налоги нужно четко, столько, чтобы не вызвать претензий и столько, чтобы не отдать лишнего, тем самым причинив ущерб фирме.
Сразу совет: если бухгалтер говорит, что в плане оптимизации налогообложения ничего нельзя сделать, лучше искать другого. Сделать что-то можно всегда. Вопрос компетенции и желания.
Сегодня бизнесу необходимо так или иначе оптимизировать. В противном случае большинству просто не выжить. И на передовой таких процессов находится бухгалтер. Именно ему приходится подбивать отчеты, запрашивать документы у контрагентов, общаться с инспекторами, отвечать на требования, ходить на комиссии, взаимодействовать с оптимизаторами. Все это он должен уметь делать, соблюдая при этом интересы компании.
Не так сложно посчитать налоги, сложнее решить с директором, сколько и какими путями их оптимизировать без риска для фирмы. Здесь встает вопрос не столько компетенции, сколько мотивации и чистоплотности.
Бухгалтер должен понимать, что он так или иначе завязан на показатели компании. Многие бухгалтеры относятся к оптимизации налогов, как к дополнительной нагрузке. И отчасти это верно. Работы у них и так всегда хватает без этого. А оптимизация сегодня – это очень непростой процесс. Некоторые компании специально нанимают налоговых консультантов и платят им большие деньги. А кто-то просто вываливает это все на штатного бухгалтера. Так делать не нужно.
Это серьезная работа и у него должна быть мотивация делать дополнительный объем, как минимум хорошая премия в конце квартала.
Если это оптимизация НДС, он должен точно посчитать, сколько и каких документов купить, у какого поставщика, соблюсти лимиты, как грамотно провести, как оформить договоры и первичную документацию, корректно декларировать, создать легендирование. Решать в дальнейшем возможные проблемы с инспекторами и отстаивать свою позицию, не поддаваясь на запугивания и провокации. Должен уметь разговаривать с налоговиками на их языке и иметь контакты тех, кто сможет помочь.
Экономя средства компании на налогах, бухгалтер должен понимать, что это ему будет оплачено. Часто экономия достигает сотен миллионов рублей, и главбух это знает.
Поэтому иногда компетентные главбухи, понимая свои возможности и не получая мотивации, решают заработать. Мы лично сталкивались с тем, что бухгалтер закупал НДС по одной ставке, а руководителю озвучивал другую, кладя разницу в карман. Некоторые даже умудряются продать свой НДС компании налево за дорого, а купить по объявлению дешево. Можно завышать налоги, а затем возвращать и выводить себе на карту. Конечно, это риски, приводящие к серьезным последствиям.
Хороший бухгалтер всегда найдёт, где его оценят, поэтому общайтесь с ним, узнавайте потребности и недовольства заранее, создавайте условия, в которых он нуждается и мотивируйте. В отчетный период можно назначить ему отдельного помощника. Он должен быть в команде и работать на благо компании, но под надзором собственника.
Где найти хорошего бухгалтера – вопрос не к нам. Опытные бухгалтеры не ищут работу. Чаще всего они появляются, благодаря связям и рекомендациям.
#финансовая
@businesssafe
👍15
Трехэтапный подход к обеспечению информационной безопасности
Сегодня рассмотрим одну из моделей построения системы безопасности с примерами.
Этап 1: Поймите свою инфраструктуру.
На нем нужно разобраться с локальными сетями, устройствами, а также с программным обеспечением, что именно будете защищать.
Здесь 5 ключевых вопросов:
1. Какую информацию нужно защищать? Где в системе находятся самые чувствительные данные?
2. Какие устройства вовлечены в работу?
3. Какое программное обеспечение используется?
4. Используются ли надежные пароли?
5. С какими ресурсами в интернете взаимодействуют сотрудники? Посещают ли они социальные сети на рабочем месте?
Раскроем.
Чтобы защитить свое дело, нужно понимать ценность данных, а также то, как их могут использовать злоумышленники. Вот примеры данных, являющихся критически важными:
• Данные карт, банковские документы, финансовая информация и бухгалтерия;
• Персональные данные сотрудников
• Другие коммерческие тайны организации.
Какие устройства вовлечены в работу? Соблюдается ли параллелизм: не используется ли рабочее устройство в личных целях?
Зная, какие устройства используются, вы успешнее управляете организацией. Понимаете, что конкретно нужно защищать. Ведите учет вашего оборудования и создайте перечень защищаемой информации: компьютеры, телефоны, банковские и SIM-карты, модемы и роутеры. Создайте электронную таблицу и регулярно обновляйте ее при появлении нового оборудования и данных или при их потере/выходе из строя. Если есть локальная сеть, поручите системному администратору использовать Nmap, ZenMap, – это сетевые сканеры, позволяющие определить, какие устройства подключены к сети – а также ПО для управления устройствами и установленным программным обеспечением в вашей сети.
Создайте план регулярных проверок и обновления программного обеспечения, которое используете. Старайтесь использовать ПО с открытым исходным кодом (opensource), чтобы избежать проблем с программными закладками, позволяющими криминалистам получить доступ к вашим данным. То же самое касается и устройств – никаких макбуков, айфонов или хуавеев. О выборе конкретных устройств поговорим в будущих постах.
Этап 2 Защищайте активы
Чтобы защитить информацию, мало технических решений. Проводите семинары, на которых будете рассказывать о том, как вести себя при приходе ребят в погонах и как вести себя, чтобы не занести на устройства заразу. Составьте документ, что можно делать на рабочем месте, а что нельзя, и сделайте так, чтобы сотрудники придерживались его. Используйте двух- или многофакторную аутентификацию везде, где это возможно. Токены, смарт-карты и смс – ваши лучшие друзья. Поймите, кто из сотрудников в вашей организации имеет доступ к конфиденциальной информации и убедитесь, что они осознают свою роль и осведомлены об основных правилах цифровой гигиены и защиты информации. Убедитесь, что работники могут определить основные признаки фишинговой атаки; например, когда кто-то в спешке просит ценную информацию или требует игнорировать процедуры безопасности. Если сотрудник понимает, что происходящее кажется странным, подозрительным или слишком хорошо звучит, чтобы быть правдой – он готов отражать подобные типы атак.
Этап 3 Подготовьте организацию
После разработки модели обеспечения информационной безопасности нужно обдумать сценарии реакций на атаки или инциденты. Это значит, нужно понять, как реагировать на ту или иную ситуацию, нарушающую безопасность, а также как быстро восстановиться после нее. Определите, какая конкретно информация важна для вас в случае атаки, и зашифруйте ее в криптоконтейнере, переместив на носитель, вроде флешки. Саму флешку можете поместить в банковскую ячейку или отдать доверенным лицам. Если необходимо, сделайте копии.
#информационная
@businesssafe
Сегодня рассмотрим одну из моделей построения системы безопасности с примерами.
Этап 1: Поймите свою инфраструктуру.
На нем нужно разобраться с локальными сетями, устройствами, а также с программным обеспечением, что именно будете защищать.
Здесь 5 ключевых вопросов:
1. Какую информацию нужно защищать? Где в системе находятся самые чувствительные данные?
2. Какие устройства вовлечены в работу?
3. Какое программное обеспечение используется?
4. Используются ли надежные пароли?
5. С какими ресурсами в интернете взаимодействуют сотрудники? Посещают ли они социальные сети на рабочем месте?
Раскроем.
Чтобы защитить свое дело, нужно понимать ценность данных, а также то, как их могут использовать злоумышленники. Вот примеры данных, являющихся критически важными:
• Данные карт, банковские документы, финансовая информация и бухгалтерия;
• Персональные данные сотрудников
• Другие коммерческие тайны организации.
Какие устройства вовлечены в работу? Соблюдается ли параллелизм: не используется ли рабочее устройство в личных целях?
Зная, какие устройства используются, вы успешнее управляете организацией. Понимаете, что конкретно нужно защищать. Ведите учет вашего оборудования и создайте перечень защищаемой информации: компьютеры, телефоны, банковские и SIM-карты, модемы и роутеры. Создайте электронную таблицу и регулярно обновляйте ее при появлении нового оборудования и данных или при их потере/выходе из строя. Если есть локальная сеть, поручите системному администратору использовать Nmap, ZenMap, – это сетевые сканеры, позволяющие определить, какие устройства подключены к сети – а также ПО для управления устройствами и установленным программным обеспечением в вашей сети.
Создайте план регулярных проверок и обновления программного обеспечения, которое используете. Старайтесь использовать ПО с открытым исходным кодом (opensource), чтобы избежать проблем с программными закладками, позволяющими криминалистам получить доступ к вашим данным. То же самое касается и устройств – никаких макбуков, айфонов или хуавеев. О выборе конкретных устройств поговорим в будущих постах.
Этап 2 Защищайте активы
Чтобы защитить информацию, мало технических решений. Проводите семинары, на которых будете рассказывать о том, как вести себя при приходе ребят в погонах и как вести себя, чтобы не занести на устройства заразу. Составьте документ, что можно делать на рабочем месте, а что нельзя, и сделайте так, чтобы сотрудники придерживались его. Используйте двух- или многофакторную аутентификацию везде, где это возможно. Токены, смарт-карты и смс – ваши лучшие друзья. Поймите, кто из сотрудников в вашей организации имеет доступ к конфиденциальной информации и убедитесь, что они осознают свою роль и осведомлены об основных правилах цифровой гигиены и защиты информации. Убедитесь, что работники могут определить основные признаки фишинговой атаки; например, когда кто-то в спешке просит ценную информацию или требует игнорировать процедуры безопасности. Если сотрудник понимает, что происходящее кажется странным, подозрительным или слишком хорошо звучит, чтобы быть правдой – он готов отражать подобные типы атак.
Этап 3 Подготовьте организацию
После разработки модели обеспечения информационной безопасности нужно обдумать сценарии реакций на атаки или инциденты. Это значит, нужно понять, как реагировать на ту или иную ситуацию, нарушающую безопасность, а также как быстро восстановиться после нее. Определите, какая конкретно информация важна для вас в случае атаки, и зашифруйте ее в криптоконтейнере, переместив на носитель, вроде флешки. Саму флешку можете поместить в банковскую ячейку или отдать доверенным лицам. Если необходимо, сделайте копии.
#информационная
@businesssafe
👍16
Как не «попасть» при работе с персональными данными?
Мы учитываем максимально все риски для компании. В наших реалиях самую большую опасность представляет даже не рынок и не бизнес-процессы, а контролирующие органы. Несоблюдение разных законов и ограничений может породить такие санкции с их стороны, что никакая сверхприбыльная бизнес-модель не поможет. В основном, это касается налоговой и МВД, но про это позже. Сейчас напомним, что ещё есть такое ведомство, как Роскомнадзор. Они тоже не спят и способны доставить много неприятностей. Одна из таких – штрафы за несоблюдение закона о персональных данных.
В 2021 год порядок работы с персональными данными изменился в сторону ужесточения. Были повышены штрафы и ответственность вплоть до уголовной. Регулируется это Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ.
Любая компания так или иначе имеет дело с персональными данными. А значит, это касается всех.
Персональные данные — это любая информация, которая прямо или косвенно относится к физлицу и позволяют его идентифицировать: Ф.И.О., адрес, паспорт, СНИЛС, образование, семейное положение, имущество и т.п. Даже размер зарплаты. И на обработку всей такой информации нужно согласие владельца. Не относятся к персональным данным только обезличенные данные.
Сегодня компании за некоторыми исключениями должны уведомлять Роскомнадзор, что обрабатывают персональные данные. Исключения: обработка информации в связи с трудовым законодательством только работников, либо для оформления однократного пропуска. После уведомления вас включат в реестр операторов персональных данных. Но это ещё не все. Вам придется постоянно актуализировать сведения. За работу без уведомления могут привлечь к ответственности по ст. 19.7 КоАП.
Штрафы для компаний немаленькие. Перечислим некоторые.
Обрабатывали персональные данные без письменного согласия владельца – от 30 до 500 тысяч.
Не обеспечили сохранность персональных данных при обработке – от 50 до 100 тысяч.
Не выполнили обязанность по обеспечению записи систематизации накопления хранения уточнения или извлечения персональных данных, которые собрали через интернет – от 1 до 18 млн рублей.
Чтобы не попасть под подобные санкции нужно собрать со всех работников письменные согласия на обработку персональных данных. Если работаете с данными клиентов, и от них тоже. В случае с клиентами это может быть галочка на сайте при заполнении анкеты или оформлении заказа. Но там необходимо выложить и политику конфиденциальности или пользовательское соглашение. Не будем подробно это разбирать, на большинстве ресурсов можно увидеть, как это оформлено.
С сотрудников нужно получить согласие на обработку и распространение. Это два разных документа! Есть случаи, когда это не требуется, но мы советуем делать это всегда. Если собираетесь распространять данные клиентов – от них тоже потребуется два согласия. Формы есть в открытом доступе в сети.
Если данные сотрудника нужны контрагенту, например, как вашего представителя, также возьмите у него письменное согласие на передачу персональных данных третьему лицу. С 1 марта 2021 года включить условие об их передаче в согласие на обработку нельзя. Нужен отдельный документ.
Предоставлять документы с персональными данными без согласия можно только госорганам, третьим лицам в случае экстренной ситуации, профсоюзу, третьим лицам в связи с исполнением должностных обязанностей.
Повторим, это касается практически любого бизнеса, где так или иначе собирают и обрабатывают персональные данные.
#юридическая
@businesssafe
Мы учитываем максимально все риски для компании. В наших реалиях самую большую опасность представляет даже не рынок и не бизнес-процессы, а контролирующие органы. Несоблюдение разных законов и ограничений может породить такие санкции с их стороны, что никакая сверхприбыльная бизнес-модель не поможет. В основном, это касается налоговой и МВД, но про это позже. Сейчас напомним, что ещё есть такое ведомство, как Роскомнадзор. Они тоже не спят и способны доставить много неприятностей. Одна из таких – штрафы за несоблюдение закона о персональных данных.
В 2021 год порядок работы с персональными данными изменился в сторону ужесточения. Были повышены штрафы и ответственность вплоть до уголовной. Регулируется это Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ.
Любая компания так или иначе имеет дело с персональными данными. А значит, это касается всех.
Персональные данные — это любая информация, которая прямо или косвенно относится к физлицу и позволяют его идентифицировать: Ф.И.О., адрес, паспорт, СНИЛС, образование, семейное положение, имущество и т.п. Даже размер зарплаты. И на обработку всей такой информации нужно согласие владельца. Не относятся к персональным данным только обезличенные данные.
Сегодня компании за некоторыми исключениями должны уведомлять Роскомнадзор, что обрабатывают персональные данные. Исключения: обработка информации в связи с трудовым законодательством только работников, либо для оформления однократного пропуска. После уведомления вас включат в реестр операторов персональных данных. Но это ещё не все. Вам придется постоянно актуализировать сведения. За работу без уведомления могут привлечь к ответственности по ст. 19.7 КоАП.
Штрафы для компаний немаленькие. Перечислим некоторые.
Обрабатывали персональные данные без письменного согласия владельца – от 30 до 500 тысяч.
Не обеспечили сохранность персональных данных при обработке – от 50 до 100 тысяч.
Не выполнили обязанность по обеспечению записи систематизации накопления хранения уточнения или извлечения персональных данных, которые собрали через интернет – от 1 до 18 млн рублей.
Чтобы не попасть под подобные санкции нужно собрать со всех работников письменные согласия на обработку персональных данных. Если работаете с данными клиентов, и от них тоже. В случае с клиентами это может быть галочка на сайте при заполнении анкеты или оформлении заказа. Но там необходимо выложить и политику конфиденциальности или пользовательское соглашение. Не будем подробно это разбирать, на большинстве ресурсов можно увидеть, как это оформлено.
С сотрудников нужно получить согласие на обработку и распространение. Это два разных документа! Есть случаи, когда это не требуется, но мы советуем делать это всегда. Если собираетесь распространять данные клиентов – от них тоже потребуется два согласия. Формы есть в открытом доступе в сети.
Если данные сотрудника нужны контрагенту, например, как вашего представителя, также возьмите у него письменное согласие на передачу персональных данных третьему лицу. С 1 марта 2021 года включить условие об их передаче в согласие на обработку нельзя. Нужен отдельный документ.
Предоставлять документы с персональными данными без согласия можно только госорганам, третьим лицам в случае экстренной ситуации, профсоюзу, третьим лицам в связи с исполнением должностных обязанностей.
Повторим, это касается практически любого бизнеса, где так или иначе собирают и обрабатывают персональные данные.
#юридическая
@businesssafe
👍21🔥2
Как защитить бизнес от недобросовестного номинала?
Иногда требуется разделить компанию на несколько юрлиц. Причины могут быть разными. Вкратце это:
1. Избегание взаимозависимости компаний, когда ими владеет один человек;
2. Оптимизация бизнес-процессов;
3. Выделение отдельного направления;
4. Прекращение деятельности с расчетом в будущем возобновить бизнес;
5. Владелец не хочет «светиться» или по закону не может возглавлять фирму;
6. Владелец не желает отвлекаться на юридические моменты;
7. Оптимизация налогообложения;
8. Понижение интереса контролирующих органов;
9. Защита активов.
Новой компании требуется директор. Найти его не сложно. Про номинальных директоров уже писали тут.
Встает вопрос в чистоплотности нового руководителя и методах снижения рисков от его необдуманных или злонамеренных действий. Не всегда можно найти на 100% надежного человека. Да, и как показывает практика, сегодня – он надежный, а завтра – лютый враг. А ведь под воздействием недоброжелателей такой товарищ может попробовать и увести бизнес.
Умные юристы уже давно придумали действенный способ. Это опционный договор.
Владелец оформляет такой договор с номинальным директором, где прописывается условие, что доля в компании может быть выкуплена при определенных условиях без согласия со стороны номинала и по определенной цене. Условия прописываются отдельно.
Это защитит владельца, который получает возможность официально вернуть себе компанию при любых подозрениях. Цена прописывается для того, чтобы не отталкиваться от рынка. Бывает так, что при создании фирмы ее стоимость близка к нулю. Там нет активов, крупных контрактов, репутации на рынке и т.п. С ростом оборотов ее стоимость растет. Иногда растет так, что у номинального директора может закружиться голова, если он представит, сколько бы мог иметь, если бы реально владел компанией.
В отличие от договоров займа и залога, с которыми нужно идти в суд, эта процедура возвращения бизнеса довольно простая. Если форс-мажор все-таки случается, владелец берет опционный договор, идет к нотариусу, объясняет ситуацию и заявляет, что выкупает долю, согласно условиям договора. После чего перечисляет средства на депозитный счет нотариуса. Больше ничего делать не нужно. Нотариус оформляет документы и отправляет уведомление «продавцу», что тот больше не владеет компанией, может прийти и получить стоимость своей доли. А придет или нет, это уже не имеет значения.
При помощи опционного договора инвестор может защитить свои интересы при открытии нового бизнеса. Допустим, он вкладывает крупную сумму денег в новый проект, руководителем которого ставит номинала или доверенное лицо. Сам же ничем не занимается, но планирует вернуть свои инвестиции и получать прибыль. Если что-то пойдет не так, он точно также возвращает себе бизнес и в будущем может продать его или нанять другого управленца.
Также опционный договор можно использовать и в другую сторону. Например, если владеете компанией, но не участвуете в ее хозяйственной деятельности, вы можете заключить такой договор с руководителем или несколькими, где будет прописано, что при достижении определенных показателей и условий они вправе выкупить небольшую долю компании. Тем самым у них появляется перспектива стать совладельцами и рассчитывать на совсем другие доходы. Это всегда действует стимулирующе.
Используйте этот механизм и читайте канал «Безопасность бизнеса». У нас еще много подобных полезных инструментов, которыми будем делиться.
#юридическая
@businesssafe
Иногда требуется разделить компанию на несколько юрлиц. Причины могут быть разными. Вкратце это:
1. Избегание взаимозависимости компаний, когда ими владеет один человек;
2. Оптимизация бизнес-процессов;
3. Выделение отдельного направления;
4. Прекращение деятельности с расчетом в будущем возобновить бизнес;
5. Владелец не хочет «светиться» или по закону не может возглавлять фирму;
6. Владелец не желает отвлекаться на юридические моменты;
7. Оптимизация налогообложения;
8. Понижение интереса контролирующих органов;
9. Защита активов.
Новой компании требуется директор. Найти его не сложно. Про номинальных директоров уже писали тут.
Встает вопрос в чистоплотности нового руководителя и методах снижения рисков от его необдуманных или злонамеренных действий. Не всегда можно найти на 100% надежного человека. Да, и как показывает практика, сегодня – он надежный, а завтра – лютый враг. А ведь под воздействием недоброжелателей такой товарищ может попробовать и увести бизнес.
Умные юристы уже давно придумали действенный способ. Это опционный договор.
Владелец оформляет такой договор с номинальным директором, где прописывается условие, что доля в компании может быть выкуплена при определенных условиях без согласия со стороны номинала и по определенной цене. Условия прописываются отдельно.
Это защитит владельца, который получает возможность официально вернуть себе компанию при любых подозрениях. Цена прописывается для того, чтобы не отталкиваться от рынка. Бывает так, что при создании фирмы ее стоимость близка к нулю. Там нет активов, крупных контрактов, репутации на рынке и т.п. С ростом оборотов ее стоимость растет. Иногда растет так, что у номинального директора может закружиться голова, если он представит, сколько бы мог иметь, если бы реально владел компанией.
В отличие от договоров займа и залога, с которыми нужно идти в суд, эта процедура возвращения бизнеса довольно простая. Если форс-мажор все-таки случается, владелец берет опционный договор, идет к нотариусу, объясняет ситуацию и заявляет, что выкупает долю, согласно условиям договора. После чего перечисляет средства на депозитный счет нотариуса. Больше ничего делать не нужно. Нотариус оформляет документы и отправляет уведомление «продавцу», что тот больше не владеет компанией, может прийти и получить стоимость своей доли. А придет или нет, это уже не имеет значения.
При помощи опционного договора инвестор может защитить свои интересы при открытии нового бизнеса. Допустим, он вкладывает крупную сумму денег в новый проект, руководителем которого ставит номинала или доверенное лицо. Сам же ничем не занимается, но планирует вернуть свои инвестиции и получать прибыль. Если что-то пойдет не так, он точно также возвращает себе бизнес и в будущем может продать его или нанять другого управленца.
Также опционный договор можно использовать и в другую сторону. Например, если владеете компанией, но не участвуете в ее хозяйственной деятельности, вы можете заключить такой договор с руководителем или несколькими, где будет прописано, что при достижении определенных показателей и условий они вправе выкупить небольшую долю компании. Тем самым у них появляется перспектива стать совладельцами и рассчитывать на совсем другие доходы. Это всегда действует стимулирующе.
Используйте этот механизм и читайте канал «Безопасность бизнеса». У нас еще много подобных полезных инструментов, которыми будем делиться.
#юридическая
@businesssafe
👍20🔥5
Неочевидные риски соцсетей
Мы разбираем различные аспекты безопасности, включая те, которые сразу не заметны. Все знают, что руководителю и ключевым сотрудникам лучше не пользоваться соцсетями. Либо же соблюдать строгую «информационную гигиену»: не указывать свой номер, не делиться ничем личным, фильтровать «друзей» и т.п. Про это будем писать далее.
Сегодня осветим неочевидные риски соцсетей. Это налоговая.
В инспекции тоже работают люди и, как все, используют соцсети. Иногда для решения конкретных задач, иногда – чтобы просто получить больше информации о налогоплательщике. Мониторят все до чего могут дотянуться: ВК, Instagram, Facebook, ОК, Youtube-каналы и т.п.
При этом скрины страниц аккаунтов считаются вполне себе доказательствами в суде.
В основном доказывают аффилированность или знакомство контрагентов или физлиц. Когда директор узнает о возможном назначении выездной налоговой проверки, он старается обезопасить активы, переписывая их на друзей и знакомых. Оформлять имущество на незнакомого человека не станешь, поэтому привлекаются разные дальние родственники, одноклассники и т.п.
Тогда налоговые инспекторы и лезут в соцсети, где могут найти, что незнакомые контрагенты/физлица уже много раз пили вместе пиво и гоняли в отпуск. А значит, это вовсе не продажа, а простая смена владельца для ухода от доначислений. То же при дроблении.
Иногда по датам фоток постов можно отследить, где и когда находился руководитель и утверждать, что он физически не мог подписать договор или акт, так как был на отдыхе в Таиланде.
Особо недалекие руководители могут ещё и поделиться подробностями своего бизнеса и благосостояния, похвастаться какой-нибудь сделкой или приобретением. Были случаи, когда человек выкладывал посты, от лица владельца бизнеса, который был оформлен на подставных лиц. Конечно, ему назначили проверку.
Мы знаем случаи, когда в соцсетях инспекторы собирали и полноценную доказательную базу по дроблению и взаимозависимости. Например, когда якобы независимая компания-дистрибьютер открыто заявляет на своей страничке, что продукцию производит «свой завод» и детально описывает производство и качество товара.
Также в соцсетях мониторят круг общения. По закону, инспектор может пригласить на встречу любого, у кого считает, есть интересующая его информация. А давить на близких, которые к такому вовсе не готовы гораздо проще, чем на предпринимателя и узнать часто можно очень много. Таким же образом вычисляют номинальных директоров.
И даже, если человек проявляет чудеса шифрования, не имеет никаких аккаунтов в соцсетях и не живет по адресу регистрации, его можно вычислить именно по окружению. Программы поиска по фото позволяют найти странички, где он так или иначе засветился и пригласить на допрос уже их владельцев. Часто так работают и в МВД.
Поверьте, никто и никогда не будет пытаться вас отстоять, когда придут люди в погонах и начнут говорить страшные слова: ответственность, налоговое преступление, уголовное дело. Поэтому повторим: мы не рекомендуем использовать соцсети от слова совсем. Помните же: любая информация может быть использована против вас.
С другой стороны, можно использовать соцсети для создания необходимых вам доказательств, которые потом предъявлять тем же инспекторам. Но это уже высший пилотаж, серьезная работа и тема отдельного поста.
#информационная #налоговая
@businesssafe
Мы разбираем различные аспекты безопасности, включая те, которые сразу не заметны. Все знают, что руководителю и ключевым сотрудникам лучше не пользоваться соцсетями. Либо же соблюдать строгую «информационную гигиену»: не указывать свой номер, не делиться ничем личным, фильтровать «друзей» и т.п. Про это будем писать далее.
Сегодня осветим неочевидные риски соцсетей. Это налоговая.
В инспекции тоже работают люди и, как все, используют соцсети. Иногда для решения конкретных задач, иногда – чтобы просто получить больше информации о налогоплательщике. Мониторят все до чего могут дотянуться: ВК, Instagram, Facebook, ОК, Youtube-каналы и т.п.
При этом скрины страниц аккаунтов считаются вполне себе доказательствами в суде.
В основном доказывают аффилированность или знакомство контрагентов или физлиц. Когда директор узнает о возможном назначении выездной налоговой проверки, он старается обезопасить активы, переписывая их на друзей и знакомых. Оформлять имущество на незнакомого человека не станешь, поэтому привлекаются разные дальние родственники, одноклассники и т.п.
Тогда налоговые инспекторы и лезут в соцсети, где могут найти, что незнакомые контрагенты/физлица уже много раз пили вместе пиво и гоняли в отпуск. А значит, это вовсе не продажа, а простая смена владельца для ухода от доначислений. То же при дроблении.
Иногда по датам фоток постов можно отследить, где и когда находился руководитель и утверждать, что он физически не мог подписать договор или акт, так как был на отдыхе в Таиланде.
Особо недалекие руководители могут ещё и поделиться подробностями своего бизнеса и благосостояния, похвастаться какой-нибудь сделкой или приобретением. Были случаи, когда человек выкладывал посты, от лица владельца бизнеса, который был оформлен на подставных лиц. Конечно, ему назначили проверку.
Мы знаем случаи, когда в соцсетях инспекторы собирали и полноценную доказательную базу по дроблению и взаимозависимости. Например, когда якобы независимая компания-дистрибьютер открыто заявляет на своей страничке, что продукцию производит «свой завод» и детально описывает производство и качество товара.
Также в соцсетях мониторят круг общения. По закону, инспектор может пригласить на встречу любого, у кого считает, есть интересующая его информация. А давить на близких, которые к такому вовсе не готовы гораздо проще, чем на предпринимателя и узнать часто можно очень много. Таким же образом вычисляют номинальных директоров.
И даже, если человек проявляет чудеса шифрования, не имеет никаких аккаунтов в соцсетях и не живет по адресу регистрации, его можно вычислить именно по окружению. Программы поиска по фото позволяют найти странички, где он так или иначе засветился и пригласить на допрос уже их владельцев. Часто так работают и в МВД.
Поверьте, никто и никогда не будет пытаться вас отстоять, когда придут люди в погонах и начнут говорить страшные слова: ответственность, налоговое преступление, уголовное дело. Поэтому повторим: мы не рекомендуем использовать соцсети от слова совсем. Помните же: любая информация может быть использована против вас.
С другой стороны, можно использовать соцсети для создания необходимых вам доказательств, которые потом предъявлять тем же инспекторам. Но это уже высший пилотаж, серьезная работа и тема отдельного поста.
#информационная #налоговая
@businesssafe
👍27🔥3
Почему сейчас стоит использовать Linux
Безопасность подразумевает разные решения и не всегда они на 100% удобные. Вы же не будете спорить, что строительная каска на объекте защищает? Хотя носить ее в жару не всегда доставляет удовольствие. Про маски и корону говорить не будем, вопрос спорный. Сегодня отметим одну фишку, которая реально защищает ваши данные.
С введением санкций зарубежные поставщики ПО начали постепенно отказываться работать с российскими компаниями и иногда даже с физлицами. В то же время правительство РФ обязывает отказаться от использования зарубежных программ и ОС в ближайшие годы. Правда, пока только в госучреждениях, но тенденция понятна. Импортозамещение ширится.
Поэтому сегодня про Linux — альтернативу операционной системе Windows. Раскроем ее плюшки и недостатки. Говорить про историю этой ОС и про отдельные дистрибутивы (редакции, сборки) не будем, сосредоточимся на ключевых моментах.
Плюсы:
1. Продвинутый уровень безопасности.
Код ядра ОС Linux и исходники большей части программ под него открыты и регулярно проходят серьезные аудиты, которые выявляют и устраняют уязвимости. В Windows код всей ОС и большей части программ закрыт, что позволяет разработчикам при необходимости внедрить в нее что угодно, какой захочется вредоносный функционал. А в наше время это стало особенно опасно. Также в Linux в разы больше возможностей реализации сложных и надежных методов обеспечения инфобезопасности – как личной, так и корпоративной.
2. Большая свобода действий.
Здесь пользователь сам решает, что и когда происходит с системой, как она будет реагировать на те или иные события. Рабочее окружение можно ювелирно настраивать под себя. Времена сложного и неудобного Linux ушли. Уже появилось куча разного ПО и драйверов, а пользовательский опыт круто усовершенствован.
3. Высокая производительность.
В отличие от Windows, Linux весит сильно меньше и в целом использует ресурсы более оптимально. В системе не будет ненужных предустановленных программ и всякой шпионской телеметрии.
4. Актуальность и стабильность.
Linux захватил почти всю «серверную» часть интернета еще очень давно, и вряд ли это изменится в ближайшие 10-15 лет. Популярность Linux на десктопах также растет, потому что Microsoft делает все более закрытую, неповоротливую и следящую за каждым вашим шорохом операционную систему с кучей уязвимостей. Если действительно заботитесь об информационной безопасности, советуем хотя бы поверхностно изучить внутреннее устройство и основные команды Linux — поверьте, актуальными эти знания будут еще очень долго.
Минусы:
1. Непривычность.
Самый большой «минус», который отталкивает обычных людей от Linux —это непривычность по сравнению с Windows, особенно пугает командная строка. Да, здесь все иначе, но если вы погрузитесь в тему, то очень скоро поймете, что многие вещи сделаны «по уму» и более мудро, а работать в командной строке не так страшно и в некоторых задачах даже удобнее и быстрее. Это примерно похоже, как если пересесть с Android на Iphone. Несколько дней напряжно, а потом обратно не затащишь;
2. Все еще не хватает ПО.
Да. Хотя система становится все более универсальной и поддерживающей все большее количество ПО, для некоторых задач альтернативы ПО из Windows все еще нет или принципиально быть не может, и это отталкивает юзеров. Но проблема с каждым годом потихоньку решается адаптацией нужного ПО. К тому же можно воспользоваться виртуализацией, о которой будем писать позже.
Это не все плюсы и минусы, но общую картину, думаем, донесли. Стоит ли пользоваться Linux, решать вам, но потребность в этой ОС в последнее время растет – это факт. Мы бы советовали. Безопасность системы в разы выше привычной винды. Про дистрибутивы, для каких задач они используются и как с ними работать, поговорим в будущем.
#информационная
@businesssafe
Безопасность подразумевает разные решения и не всегда они на 100% удобные. Вы же не будете спорить, что строительная каска на объекте защищает? Хотя носить ее в жару не всегда доставляет удовольствие. Про маски и корону говорить не будем, вопрос спорный. Сегодня отметим одну фишку, которая реально защищает ваши данные.
С введением санкций зарубежные поставщики ПО начали постепенно отказываться работать с российскими компаниями и иногда даже с физлицами. В то же время правительство РФ обязывает отказаться от использования зарубежных программ и ОС в ближайшие годы. Правда, пока только в госучреждениях, но тенденция понятна. Импортозамещение ширится.
Поэтому сегодня про Linux — альтернативу операционной системе Windows. Раскроем ее плюшки и недостатки. Говорить про историю этой ОС и про отдельные дистрибутивы (редакции, сборки) не будем, сосредоточимся на ключевых моментах.
Плюсы:
1. Продвинутый уровень безопасности.
Код ядра ОС Linux и исходники большей части программ под него открыты и регулярно проходят серьезные аудиты, которые выявляют и устраняют уязвимости. В Windows код всей ОС и большей части программ закрыт, что позволяет разработчикам при необходимости внедрить в нее что угодно, какой захочется вредоносный функционал. А в наше время это стало особенно опасно. Также в Linux в разы больше возможностей реализации сложных и надежных методов обеспечения инфобезопасности – как личной, так и корпоративной.
2. Большая свобода действий.
Здесь пользователь сам решает, что и когда происходит с системой, как она будет реагировать на те или иные события. Рабочее окружение можно ювелирно настраивать под себя. Времена сложного и неудобного Linux ушли. Уже появилось куча разного ПО и драйверов, а пользовательский опыт круто усовершенствован.
3. Высокая производительность.
В отличие от Windows, Linux весит сильно меньше и в целом использует ресурсы более оптимально. В системе не будет ненужных предустановленных программ и всякой шпионской телеметрии.
4. Актуальность и стабильность.
Linux захватил почти всю «серверную» часть интернета еще очень давно, и вряд ли это изменится в ближайшие 10-15 лет. Популярность Linux на десктопах также растет, потому что Microsoft делает все более закрытую, неповоротливую и следящую за каждым вашим шорохом операционную систему с кучей уязвимостей. Если действительно заботитесь об информационной безопасности, советуем хотя бы поверхностно изучить внутреннее устройство и основные команды Linux — поверьте, актуальными эти знания будут еще очень долго.
Минусы:
1. Непривычность.
Самый большой «минус», который отталкивает обычных людей от Linux —это непривычность по сравнению с Windows, особенно пугает командная строка. Да, здесь все иначе, но если вы погрузитесь в тему, то очень скоро поймете, что многие вещи сделаны «по уму» и более мудро, а работать в командной строке не так страшно и в некоторых задачах даже удобнее и быстрее. Это примерно похоже, как если пересесть с Android на Iphone. Несколько дней напряжно, а потом обратно не затащишь;
2. Все еще не хватает ПО.
Да. Хотя система становится все более универсальной и поддерживающей все большее количество ПО, для некоторых задач альтернативы ПО из Windows все еще нет или принципиально быть не может, и это отталкивает юзеров. Но проблема с каждым годом потихоньку решается адаптацией нужного ПО. К тому же можно воспользоваться виртуализацией, о которой будем писать позже.
Это не все плюсы и минусы, но общую картину, думаем, донесли. Стоит ли пользоваться Linux, решать вам, но потребность в этой ОС в последнее время растет – это факт. Мы бы советовали. Безопасность системы в разы выше привычной винды. Про дистрибутивы, для каких задач они используются и как с ними работать, поговорим в будущем.
#информационная
@businesssafe
👍25🔥3