ИБ малого и среднего бизнеса – статистика против заблуждений

Информационная безопасность в сфере СМБ вызывает повышенное беспокойство и у владельцев бизнеса, и в индустрии безопасности в целом.

Ушедший 2020 год принес немало испытаний для предприятий малого и среднего бизнеса: карантин, сокращения оборотов и штата, массовый переход на удаленную работу, экономический кризис, финансовые потери. И еще одно – ощутимый рост киберпреступности.

Преступные хакерские сети расширили свой арсенал и собрали гигабайты информации, позволяющей идентифицировать пользователей, их медицинские данные, номера кредитных карт. Проблема утечки данных затронула не только гигантов, но и представителей малых предприятий, на долю которых приходится добрая треть атак. Ирония заключается в том, что многих инцидентов можно было бы избежать, однако в сфере СМБ до сих пор бытуют расхожие заблуждения, которые легко опровергнуть с помощью статистических данных.

Эксперты научно-технического центра ЕВРААС озвучивают самые распространённые мифы, с которыми приходится сталкиваться на регулярной основе.

Миф № 1. Внимание хакеров привлекают исключительно крупные предприятия

Считается, что организации, имеющие небольшой штат сотрудников или невысокий оборот, не представляют собой большого интереса для киберпреступников. Это мнение абсолютно лишено оснований, поскольку современные хакерские атаки автоматизированы.

Боты, ищущие уязвимости всех доступных узлов сети Интернет, не выбирают свои цели. Поэтому в числе их жертв с равной вероятностью оказываются компании вне зависимости от их размера. Кроме того, малые предприятия являются простой мишенью, так как не обеспечивают защиту данных в полном объёме и часто не имеют квалифицированных сотрудников, что делает их более вероятной жертвой атак. Целенаправленные атаки также направлены на малый и средний бизнес, поскольку киберпреступники знают, что такие компании менее защищены.

В таком случае надеяться можно только на случай? Конечно же нет. Никогда не поздно устранить уязвимости и повысить уровень защиты. По меньшей мере, неразумно полагать, что вам нечего бояться или нечего терять. Банковская информация ваших заказчиков, пароли, логины, личные данные партнеров и сотрудников – всё это в любой момент может стать собственностью хакеров.

Миф № 2. Компании СМБ и крупные предприятия сталкиваются с разными видами угроз

Как свидетельствует статистика, весомую угрозу для коммерческих организаций любого размера являют собой программы-вымогатели, способные парализовать работу предприятия. В ряде случаев время вынужденных простоев, как у крупных, так и у малых компаний, превышало несколько дней.

Безусловно, существуют и отличительные особенности. Например, крупные предприятия лучше защищены от фишинга, который являет собой актуальную проблему для небольших компаний, но больше страдают от DDoS атак, редко оказывающих существенное влияние на малый и средний бизнес. Предприятия СМБ также сталкиваются с программами-вайперами, уничтожающими всю информацию без возможности ее восстановления, и с утечкой конфиденциальных данных.

Разница заключается лишь в том, что большая корпорация имеет больше шансов на восстановление своей работы или репутации после атаки. В 2020 году 22% атакованных малых или средних предприятий завершили свою деятельность.

Миф №3. Защиты рабочих устройств будет достаточно

Если ваши сотрудники пользуются своими собственными устройствами - смартфонами, планшетами или ноутбуками для ведения бизнеса - ваши сотрудники представляет угрозу безопасности вашей компании. Более того, статистика говорит о том, что двое из трех сотрудников компании используют свои личные устройства для доступа к сетям и приложениям компании, даже если эта деятельность запрещена.

Работодатели имеют два варианта: либо принять все необходимые меры безопасности, либо полностью запретить такую практику и обеспечить соблюдение правил. Для большинства компаний имеет смысл принять систему BYOD и извлечь выгоду из её преимуществ при одновременном осуществлении мер безопасности, которые смягчают связанные с этим риски. Политика безопасности должна охватывать все устройства, имеющие доступ в Интернет, в том числе и устройства IoT.

Миф № 4. Обеспечение информационной безопасности – это разовая мера, которая сводится к покупке определенного ПО и оборудования

Не стоит заблуждаться относительно того, что интернет безопасность можно обеспечить раз и навсегда. Это – не разовая задача, а непрерывная комплексная работа. В данном случае защита не сводится к модернизации оборудования или покупке последнего антивируса. Методы преступников разнообразны и постоянно совершенствуется.

Антивирусные программы не являются панацеей, а надёжные пароли – лишь малая часть работы. Необходимо правильно выстроить систему информационной безопасности предприятия, начиная с оценки возможных рисков. Кроме того, меры по противодействию киберпреступности должны включать в себя постоянную разъяснительную работу в коллективе и непрерывный поиск возможных угроз и уязвимостей.

Миф № 5. Информационная безопасность – это задача отдела ИТ

Удивительно, но в наше время многие компании не имеют отделов ИБ, в связи с чем функции обеспечения информационной безопасности выполняют сотрудники ИТ-отделов. Однако снижение риска зависит не только от современных средств защиты, но и от правильного подхода к организации процесса. Только правильная настройка уже имеющихся средств защиты помогла бы избежать 95% всех результативных атак.

Может ли специалист в сфере ИТ организовать работу по защите от взлома так же эффективно, как и профессионал в сфере информационной безопасности? Очевидно, нет.

Гораздо более правильным решением будет делегировать эти функции специально обученным людям, имеющим соответствующую подготовку и постоянно развивающимся в данном направлении. И если возможности сформировать собственный отдел ИБ или иметь штатного узкопрофильного специалиста у вас нет, то всегда лучше обратиться к аутсорсингу, чем поручать эту задачу людям, не имеющим достаточной компетенции.

Миф № 6. Информационная безопасность – это дорого

Заблуждение относительно дороговизны средств и мер, направленных на обеспечение информационной безопасности, является самым опасным.

В последнем квартале 2020 года средняя сумма, которую теряют компании в следствие кибератак вымогателей, составила 154 108 долларов США. При этом, как показала практика, восстановить зашифрованные или похищенные файлы удается далеко не всегда. Нередки случаи, когда, получив выкуп, преступники совершали повторные атаки. И, как мы уже упоминали ранее, последствия кибератак для малого и среднего бизнеса бывают фатальными.

Несмотря на вынужденные простои, длительность которых в прошедшем году для одной третьей части всех атакованных предприятий достигала восьми и более часов, и ущерб от дискредитации данных клиентов или партнеров, руководство некоторых компаний среднего и малого бизнеса по-прежнему предпочитает надеяться на удачу, пренебрегая важностью принятия базовых мер информационной защиты. При этом сумма инвестиций в ИБ несопоставимо мала по сравнению со стоимостью выкупа украденных данных или затратами на восстановление после хакерского нападения. Любая хорошая стратегия кибербезопасности должна быть разработана с учетом конкретных потребностей вашего бизнеса. При правильном подходе это можно сделать с минимальными затратами.

Что делать?

У нас есть ответы на эти вопросы:

· Прежде всего следует обнаружить и устранить имеющиеся уязвимости, повысить уровень защиты всех устройств (например, одним из первых средств защиты является брандмауэр. Использование многофакторных параметров идентификации также обеспечивает дополнительный уровень защиты). Обновлённое антивирусное ПО – «маст хэв», но не может заменить собой все средства;

· Также следует провести обучение сотрудников и внедрить собственную политику доступа к информации, которую необходимо задокументировать. Каждый сотрудник должен подписать документ о том, что был проинформирован о политике безопасности, и в случае её нарушения может быть привлечён к ответственности;

· Для предотвращения утечки данных и внутренних угроз ограничьте доступ к тем областям, которые не нужны персоналу для выполнения своей работы;

· Создайте план реагирования на инциденты и ликвидации последствий. Удивительно, но подавляющее большинство компаний не разработали план действий на случай встречи с хакерами;

· Обеспечьте резервное копирование важных бизнес-данных. Это является наиболее важным компонентом любого плана восстановления после кибератак. Копии следует делать как можно чаще и максимально автоматизированным способом;

· Налаживайте отношения с поставщиками услуг в сфере информационной безопасности. Тесное сотрудничество с профессионалами поможет существенно упростить вашу инфраструктуру, повысить степень ее защищенности и минимизировать риск простоев или утечки информации;

· Проведение аудита должно быть периодической процедурой. В первую очередь это касается веб-сайтов электронной коммерции, поскольку помимо вашей собственной финансовой информации у вас есть доступ к финансовой информации своих клиентов;

· Регулярно обновляйте уже существующую инфраструктуру кибербезопасности до более сложной.

Более подробную информацию о методах защиты узнайте здесь.