Обеспечение ИБ малого и среднего бизнеса. Разбираемся с мифами

Сегодня хакеры обладают обширным опытом по сбору гигабайтов информации, включая личные данные пользователей, посредством реализации различных сценариев. Мало кому удается избежать инцидентов. Проблема касается не только крупных игроков рынка, но и малых предприятий: на их долю сегодня приходится 30% атак. Правда, большей части инцидентов не произошло бы, если бы не расхожие заблуждения, бытующие в сфере среднего и малого бизнеса (СМБ).

Какие мифы популярны в этом сегменте, чем они опасны и как избежать неприятностей, которые могут принести? В данной статье рассказывает Константин Чмиль, консультант по ИБ RTM Group.

Среди организаций, страдающих от кражи персональных данных и интеллектуальной собственности, нарушения конфиденциальности и утечек финансовой информации, действительно немало крупных компаний – государственных предприятий, больших торговых сетей, банковских структур. Однако наивно полагать, что организации с небольшим оборотом реже подвергаются атакам киберпреступников: шансы стать их жертвами у всех равны.

Дело в том, что большинство хакерских атак автоматизировано, и боты, прощупывающие уязвимости узлов сети, не выбирают конкретные цели. Более того, маленькие компании являются более легкой “добычей”, т.к. зачастую не выделяют необходимого бюджета на обеспечение ИБ, не обновляют своевременно ПО, не выполняют все процедуры по защите данных и нередко не имеют в штате квалифицированных кадров, отвечающих за реализацию целей по ИБ.

Именно по этой причине, например, систему в менее защищенной точке выдачи заказов злоумышленникам взломать проще, чем в головном отделении организации.

А банковская информация клиентов, пароли, логины, личные данные партнеров и сотрудников – всё это в любой момент может стать собственностью хакеров.

Первое, что необходимо сделать для обеспечения ИБ – разобраться с инфраструктурой: локальной сетью, подключенными устройствами, критически важными данными и ПО. Нужно чётко понимать, что требуется защищать, чтобы быть уверенным в том, что обеспечен должный уровень ИБ, например:

Также рекомендуем руководствоваться федеральными законами РФ, определяющими требования по защите информации:

Конечно, можно выделить некоторые особенности. Так, крупные организации, в отличии от СМБ, меньше страдают от фишинга, но чаще подвергаются DDOS-атакам, которые мало влияют на работу малого и среднего бизнеса.

В свою очередь, предприятия СМБ нередко подвергаются угрозам, вызванными программами-вайперами, стирающими жесткий диск зараженного компьютера, злонамеренно и безвозвратно удаляя данные и программы.

Но в целом угрозы схожи, и в 75% случаев их возникновению способствует человеческий фактор. Так, с нарушением политик безопасности и успешной реализацией сценариев с применением социальной инженерии связан тот факт, что чаще всего коммерческие предприятия любых размеров сталкиваются с ransomware. За первое полугодие в России число кибератак с использованием программ-вымогателей выросло на 50-60% по сравнению с аналогичным периодом прошлого года. Инциденты, связанные с подобными угрозами, ведут к простоям в работе более, чем на несколько дней, как у крупных, так и у средних и малых компаний.

Разница лишь в том, что в критических ситуациях, связанных с нарушением ИБ, у крупной организации больше шансов на восстановление работы и репутации после случившегося. Если же говорить о компаниях среднего и малого бизнеса, вырисовывается удручающая картина: только за прошедший год 60% атакованных организаций были вынуждены закрыться.

Важно определить, каких именно угроз стоит опасаться, и провести анализ уязвимости организации. На основе его результатов нужно выработать процессы по ИБ, установить надёжные системы безопасности и хранения данных, ввести гибкие инструменты для конфигурации сети.

Не стоит также экономить время и силы на обучении сотрудников. Персонал компании должен знать, какие приемы используют злоумышленники, чтобы иметь возможность распознать и предотвратить атаки. Проведение пентестов и постоянное поддержание уровня знаний также поможет уменьшить опасность применения методов социальной инженерии.

Нередко владельцам компаний СМБ кажется, что обеспечение защиты рабочих смартфонов, планшетов и ПК сотрудников способно предотвратить угрозу нарушения информационной безопасности в организации. Однако, по статистике, даже если в компании действует запрет на использование личных устройств для решения рабочих задач, 2 из 3 работников пренебрегают этим правилом, подключаясь к сетям и приложениям предприятия с личных ПК или смартфонов.

Это может привести к непреднамеренному (или умышленному) заражению вредоносными программами рабочей сети и, как следствие, краже конфиденциальных данных или вынужденной остановке работы целого предприятия.

Нужно понимать, что защита удаленных устройств не заканчивается на стороне пользователя: любое оборудование должно быть в безопасности. И в целях предотвращения инцидентов у работодателей есть два пути.

Первый – ввести запрет на подобную практику и обеспечить беспрекословное соблюдение правил политики безопасности. Правда при выборе данного варианта сотрудники не смогут работать удалённо.

Второй – принять все необходимые меры безопасности, позволяющие использовать в рабочих целях любые устройства. Например, внедрить систему BYOD и извлечь выгоду из её преимуществ при одновременном осуществлении мер безопасности, смягчающих связанные с этим риски. Политика безопасности должна охватывать все устройства, имеющие доступ в Интернет, включая IoT.

Бытует мнение, что можно раз и навсегда обеспечить ИБ, поставив антивирусные программы и установив надежные пароли. В нынешних реалиях вышеуказанные меры – лишь мизерная часть работы по информационной безопасности предприятия.

Например, есть такие системы, как SIEM, DLP (технологии мониторинга и предотвращения утечек конфиденциальной информации), которые внедряются в течение длительного срока и нуждаются в постоянном администрировании квалифицированным персоналом.

Очевидно, что обеспечить ИБ раз и навсегда невозможно, ведь это не единоразовая задача, а комплексная работа, целью которой является стабильная защита от действий злоумышленников, методы которых постоянно совершенствуются.

Необходимо грамотно выстроить систему информационной безопасности предприятия, начиная с оценки возможных рисков. Кроме того, меры по противодействию киберпреступности должны включать в себя постоянную разъяснительную работу в коллективе и непрерывный поиск возможных угроз и уязвимостей.

Как ни странно, многие владельцы компаний придерживаются мнения, что сотрудники IT-отдела без проблем могут справиться с функцией обеспечения ИБ предприятия. Однако, специалист в сфере ИТ не может организовать работу по защите от угроз ИБ так же эффективно, как и профессионал в сфере ИБ. Ведь снижение рисков зависит не только от современных средств защиты, но и от правильного подхода к организации процесса.

Одна только корректная настройка уже имеющихся средств защиты (для которой необходимы специфические знания в области ИБ) помогла бы избежать 95% всех результативных атак.

Единственным верным решением данной проблемы является делегирование функций обеспечения ИБ специально обученным людям, имеющим соответствующую подготовку и постоянно развивающимся в данном направлении.

Профильные специалисты информационной безопасности проведут оценку защищенности информации, выявят слабые места в процессах защиты данных и помогут реализовать меры по повышению уровня ИБ.

Заблуждение насчёт дороговизны средств и мер, направленных на обеспечение ИБ, является самым опасным, ведь, как говорится, “скупой платит дважды”. Как мы уже говорили, последствия инцидентов в сфере ИБ для среднего и малого бизнеса нередко становятся фатальными. Так стоит ли экономить на информационной безопасности? Ответ очевиден.

Любая хорошая стратегия кибербезопасности должна быть разработана с учетом конкретных потребностей вашего бизнеса. При грамотном подходе это можно сделать с минимальными затратами.

Специалисты из профильных сервисных компаний могут провести инвентаризацию информационных активов и средств защиты информации, анализ уязвимостей, интервьюирование сотрудников в области ИБ и по результатам разработать рекомендации по ИБ организации. В современных реалиях нужно помнить, что риск стать жертвой киберпреступников никак не зависит от размера предприятия.

Не надейтесь на удачу максимальную эффективность и защиту даст только комплексная работа по обеспечению информационной безопасности, проводимая с помощью профильных специалистов ИБ.