0887 371 498 support@itservice-bg.net
04.07.2026 · Самуил Арсов · NIS2, Киберсигурност

Киберзащита за малкия бизнес (част 9): обучение на персонала

Девета част от поредицата ни за киберзащита на малкия и среден бизнес. Досега защитихме рутера, сървъра, услугите, връзката между офисите и дори онзи пренебрегван Layer 2 в комутатора. Изградихме мониторинг с LibreNMS, филтриращ DNS и SIEM с Wazuh. Но има един слой, който не се конфигурира от терминал и не се вижда в никой лог до момента, в който не стане късно:

Човекът пред клавиатурата.

Най-скъпата и най-добре настроена система на света не струва нищо, ако хората, които работят с нея, не я разбират. В тази част ще обучим персонала на малката фирма да живее в средата, която създадохме.

Схема на проекта: рутер/firewall, Layer 2 суич, сървър с Nextcloud, Wazuh и AdGuard Home, служители, NAS backup и поддържаща фирма
Цялата среда, която изградихме в поредицата — и мястото на всеки участник в нея: техниката, служителите, архивът и поддържащата фирма.

Кой за какво отговаря — „стопанинът“ на техниката

Първото нещо, което трябва да обясним на персонала, е че ерата, в която сървърът стоеше в краката на счетоводителката, е отминала.

Затова започваме буквално физически: показваме комуникационния шкаф, отваряме го и обясняваме какво има вътре. Показваме рутера и казваме просто нещо: ако диодите на рутера мигат нормално и UPS-ът не пищи през 30 секунди — вие имате интернет. Това е границата, която трябва да е кристално ясна: докъде стига отговорността на персонала и откъде започва отговорността на фирмата, която внедрява и поддържа техниката.

За да работи това разграничение на практика, трябва да се избере един човек от персонала — отговорник. Този човек не е нужно да е мрежов гуру. Той е просто оторизираната връзка с външния свят:

  • с фирмата за поддръжка на техниката;
  • с интернет доставчика;
  • с доставчиците на консумативи (тонер за принтера, кабели и т.н.).

Дали фирмата има 3-ма или 300 души персонал няма никакво значение — трябва да има един служител, който играе ролята на стопанин: следи състоянието на техниката и се грижи за смяната на консумативите.

Същият този служител (или друг) поема и ролята на администратор: създава акаунти, закрива акаунти на напусналите, следи за нередности — например повишен шум на вентилаторите от шкафа, който често е първият сигнал за прегряване или запрашаване.

Не можем да очакваме от този човек да преглежда логовете на Wazuh — журналите на MikroTik и Linux не са най-интуитивното четиво за един деловодител. Но задължително трябва да му се обясни какво е EDR/SIEM и как работи (върнете се към част 4), за да разбира защо системата реагира по определен начин. В повечето случаи същинското наблюдение на логовете остава работа на фирмата, поела поддръжката на проекта.

Къде минава границата на отговорността

За да няма недоразумения „кой е бил длъжен да…“, закачете тази таблица на вратата на шкафа:

Ситуация Персонал (отговорникът) Поддържаща фирма
Диодите мигат, UPS не пищи, но няма интернет Рестартира по инструкция, звъни на доставчика/поддръжката Диагностика на рутер/линия
UPS пищи през 30 секунди Съобщава веднага, не изключва шкафа Смяна на батерия / оразмеряване
Нов служител се нуждае от акаунт Заявява/създава акаунт с квота Настройва правата и политиките
Служител напуска Закрива акаунта същия ден Одит на достъпите
Свършва тонер / консуматив Поръчва от доставчика
Повишен шум/миризма от шкафа Съобщава веднага Оглед, почистване, смяна
Аларма в Wazuh / съмнителен трафик Анализ и реакция
Съмнителен мейл / линк Питай отговорника, не кликай Проверка при съмнение

Правилото е просто: персоналът наблюдава и съобщава, фирмата диагностицира и поправя.

Сърцето на системата — служителите и Nextcloud

Безспорно най-важното нещо в цялата система са хората: как разбират системата и как работят с нея.

В нашия случай централен елемент е Nextcloud — файлов, архивен и медиен сървър, който има както приложение в браузъра, така и собствено приложение (APP) за всички масови операционни системи. Затова обучението за работа започва оттук. Обясняваме на прост език:

  • Какво е Nextcloud — не е „поредната програма“, а централното място за файловете на фирмата.
  • За какво ще се използва — обща работа с документи, архив, медия.
  • Как ще се използва — през браузър и през приложението на компютъра/телефона.
  • Потребители, права и квоти — всеки има свой акаунт, свои права и свой лимит.
  • Достъп отвсякъде — от вилата на село или от плажа на морето, но по сигурен начин, през защитената връзка, която изградихме в част 7.
  • Какво можем и какво не можем да качваме там — това е фирмен ресурс, не лично хранилище за филми и снимки от почивката.

Смисълът е един: щом файловете живеят на едно контролирано място, изчезва нуждата от онази обикаляща флашка, за която ще стане дума след малко.

Грешките, които служителите правят

С годините опит сме виждали всякакви случаи. Обикновено те попадат в две крайности: от една страна „безмерен страх“, че някой ще достъпи паролите във фирмата — което пречи на нормалния документооборот; и от друга — „абсолютно безхаберие“. Второто се дели на два вида.

а) Вътрешни грешки

Класическата картина в една „неподредена“ фирма:

  • Паролата на повечето служители е Qwerty135.
  • Паролата на служебния мейл sales@firma.com е същата като на ivan@parcalenmagazin.com.
  • Всички ползват един акаунт или половината споделят един мейл.
  • Цялата фирмена комуникация е през чат (Viber, Telegram, Messenger) — без никаква история кога и какво се е случило, за разлика от мейл сървъра.
  • Обикаля една обща флашка за прехвърляне на файлове от лаптоп на настолен компютър — пълна с вируси, минала през всички компютри, която често служи и като „НАДЕЖДЕН АРХИВ“ на най-важните файлове.

Всяка от тези точки е дупка, през която един инцидент се превръща в катастрофа. И забележете — повечето от тях се затварят не с техника, а с дисциплина.

б) Външни заплахи

Външните заплахи по дефиниция идват отвън — значи трябва да наблюдаваме входовете, през които могат да влязат: мейла, флашката и изтеглянето на файл от интернет.

Статистиката е ясна: в по-голямата част от случаите крипто вирусът влиза през мейла. Любопитството и доверието са в природата на човека — и точно на тях залага атаката. За миг можеш да повярваш, че системният администратор на банката ти е изпратил лично на теб мейл с линк, на който „ако не кликнеш и не си смениш паролата, ще ти спре приложението на телефона“. Целият сценарий е лишен от логика: администраторът на банката никога няма да ти прати такъв мейл, а паролата в приложението се сменя от самото приложение.

Вторият по честота случай са томболите — обикновено през чатовете (Viber, Telegram, Messenger). Служителят получава линк да „попълни данни за награда“ от томбола, в която никога не е участвал.

Но върхът на сладоледа — и най-честият проблем — е когато служителят размие границата между служебния и личния мейл. Най-често това става със социалните мрежи и онлайн магазините. Най-лесното нещо на света е да регистрираш служебния си мейл в онлайн магазин за обувки — и то със същата парола, каквато е на оригиналния сървър. Така някой може да достъпи данните ти директно през служебната поща: без да хаква нищо, без брутфорс, без подлъгващи фишинг мейли „кликни тук — кликни там“.

Тук се вижда и защо си свършихме работата в предишните части: отделната, уникална парола за всеки акаунт прави откраднатата от магазина за обувки парола безполезна другаде, а мейл сървърът с история бие чат-комуникацията точно защото пази кой, кога и какво е изпратил. Техниката подава ръка — но само ако човекът не й подложи крак.

Затова в една фирма трябва железен закон и ясно разграничение между бизнеса и всичко останало:

Само пиарката — а ако няма такава, само управителят — има право да смесва бизнес мейлите със социалните мрежи. Всички останали са само бизнес и трябва да изпращат и получават само от бизнес.

Десетте правила, които се закачат на стената

Разпечатайте това и го залепете до шкафа и на видно място в офиса. Не е за администратора — за всички е.

  1. Уникална парола за всеки акаунт. Служебната парола не се използва никъде другаде — нито в магазина за обувки, нито в социалните мрежи.
  2. Заключвай екрана, когато се отдалечаваш от компютъра (Win+L). Отключен компютър = отворена врата.
  3. Служебният мейл е само за бизнес. Регистрации в магазини, игри и социални мрежи — само с личен мейл.
  4. Не се споделят акаунти. Всеки работи със своя.
  5. Съмнителен мейл или линк → не кликаш, а питаш отговорника. Банки и админи не пращат линкове за смяна на парола.
  6. Никакви „награди“ от томболи, в които не си участвал.
  7. Флашки не обикалят между компютрите. Файловете живеят в Nextcloud, не в джоба.
  8. Файловете се качват в Nextcloud — там са архивирани и защитени, за разлика от локалния десктоп.
  9. UPS пищи или шкафът шуми → съобщаваш веднага, не изключваш нищо сам.
  10. Напуснал колега → акаунтът се закрива същия ден.

Заключение

Изградихме многослойна защита — рутер, комутатор, VPN, DNS филтър, мониторинг и SIEM. Но последният и най-важен слой не се конфигурира с команда: това е обученият, дисциплиниран служител, който знае за какво отговаря, работи правилно с Nextcloud и разпознава капана в един мейл. Точно този слой превръща техниката в реална киберзащита, която всеки малък и среден бизнес може да си изгради.

В следващата част ще се погрижим за момента, в който въпреки всичко нещо се обърка — резервните копия и планът за възстановяване (backup & disaster recovery): как да сме сигурни, че дори при крипто вирус фирмата ще е на крака до час, а не до седмица.