Кибербезопасность в малом бизнесе: защита от киберугроз

Кибербезопасность в малом бизнесе: защита от киберугроз

Система защиты информации не должна стоить дороже, чем сама информация. То есть тратить десять рублей на каждый заработанный компанией рубль нерационально. Задача собственника — изучить список потенциальных объектов атаки, оценить риски и возможные потери, рассчитать стоимость покрытия этих рисков и уже после принять решение, каким образом их минимизировать.

3

Позаботьтесь о дополнительной защите данных на удалёнке

2020 год запомнится молниеносным переходом на удалённую работу. Специалисты многих компаний до их пор работают из дома. Взломать домашнюю интернет-сеть или личный ноутбук легче. А значит, подключаться к корпоративным ресурсам — системам CRM и ERP, почте, хранилищам файлов, внутренним мессенджерам — опаснее. Доступ к домашнему интернет-каналу открывает злоумышленнику доступ и к данным, которые через этот канал передаются.

Важно соблюдать базовые правила информационной безопасности:

  • Установите надёжный пароль на домашнем Wi-Fi-роутере. Вариант «123» не подойдёт.
  • Установите на домашний компьютер антивирус, либо последнюю версию операционной системы, в которую уже входит антивирус.
  • Не игнорируйте сообщения с призывом обновить антивирус, эта программа должна быть актуальной.
  • Используя личную электронную почту для работы, не открывайте вложения из писем с незнакомых адресов, не переходите по ссылкам из них: это может быть фишинг.

Фишинговые рассылки — это письма и СМС, которые выглядят как сообщения от надёжных источников. Например, банков, интернет-провайдеров, платёжных систем, известных компаний. Чаще всего в них содержатся две вещи: просьба обновить или прислать какие-то личные данные (номер карты, пароль) и завуалированная угроза («Если данные о карте не поступят в течение недели, ваш счёт будет заблокирован»).

4

Формируйте культуру информационной безопасности

Для малого бизнеса наиболее подходящее по затратам и эффективности решение — обучать сотрудников и владельцев. Предотвращать кибератаки и минимизировать их последствия учат офлайн — например, в Сибирской академии информационной безопасности, и онлайн — на площадках вроде «Нетологии» или «Инфобезопасности».

На таких курсах рассказывают, как правильно пользоваться программами антивирусной защиты, учат создавать и правильно обновлять пароли, объясняют особенности работы с корпоративной почтой, жёсткими дисками, флешками и другими носителями.

5

Используйте специальные облачные сервисы

Для малого бизнеса подойдут облачные сервисы вроде DataFort и McAfee Web Gateway Cloud Setvice. Они защищают информацию от сетевых угроз примерно на том же уровне, что и аппаратные устройства, которые обычно используют для этого в офисах, но тратиться на техобслуживание не придётся. В дополнение к таким сервисам можно подписаться на антивирусную защиту или систему контроля за утечкой информации.

6

Совет от СберБизнеса: выпустите цифровую подпись

Её можно использовать для регистрации или авторизации на интернет-сайтах, а также в качестве ключа доступа к файлам и базам данных, защищённым паролем. Квалифицированная электронная подпись (КЭП) наиболее совершенна в плане безопасности. Это ключ, сформированный с помощью криптографических средств, который записывается на USB-носитель.

КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности владелец устанавливает сам. Данные будут защищены, даже когда срок действия ключа истечёт.

Простой способ оформить квалифицированную подпись — подать заявку через интернет-банк СберБизнес: потребуется минимум документов, а получить подпись можно курьерской доставкой.

Короче

Вредоносные коды, программы, фишинговые рассылки, утечка данных, взломы сайтов и программ — способы, при помощи которых киберпреступники крадут деньги и данные, а также просто портят настроение, деловую репутацию, отношения с клиентами и партнёрами.

Потенциальная угроза информационной безопасности — сотрудники. Открытое на рабочем компьютере фишинговое письмо, установка сомнительных программ и приложений, заражённая вирусами флешка — самые частые ошибки.

Игнорирование принципов информационной безопасности может привести к серьёзным финансовым и репутационным потерям.

Если у вас небольшая компания и ограниченный бюджет, начните с обучения сотрудников основам информационной безопасности.

Изучите популярные схемы кибермошенничества и действуйте по инструкции, чтобы ваш бизнес не пострадал.

Статья обновлена 11 ноября 2022

Бизнес под ударом: как защитить компанию от киберугроз

Фото: Getty Images Russia

Пандемия COVID-19 запустила новую волну угроз на рынке кибербезопасности. Переход на удаленную работу и бум цифровых сервисов мобилизовали киберпреступников.

По оценкам Всемирного экономического форума (ВЭФ), глобальные потери от киберпреступлений, совершаемых против государственных организаций, коммерческих предприятий и отдельных граждан, составляют $600 млрд в год. Этот показатель постоянно растет и, по прогнозам ВЭФ, составит $5,2 трлн суммарно за период 2019–2023 годов. «Это сделает киберпреступления одним из наиболее разрушительных для глобальной экономики типом преступлений», — отмечает менеджер практики кибербезопасности и непрерывности бизнеса PwC в России Михаил Толчельников.

Количество инцидентов, регистрируемых в 2021 году центром мониторинга кибератак компании «Информзащита», выросло более чем в полтора раза по сравнению с аналогичным периодом 2020 года. «Растет не только уровень сложности атак, но и их скорость, тенденция будет сохраняться соразмерно темпу цифровизации организаций и повсеместного внедрения и развития технологий», — отмечает директор центра противодействия кибератакам компании «Информзащита» Иван Мелехин.

Согласно результатам международного исследования консалтинговой компании EY по информационной безопасности за 2021 год, 81% респондентов-руководителей отмечают, что из-за пандемии COVID-19 и бюджетных ограничений компании не уделяют должного внимания управлению киберрисками. Существенный рост числа киберугроз и последствий от их реализации связан с повсеместным распространением удаленного или гибридного форматов работы. «В период пандемии структурные подразделения ИТ и информационной безопасности (ИБ) фокусировались в большей степени на увеличении существующих мощностей и масштабируемости компонентов ИТ-инфраструктуры, развитии ландшафта технических средств и выборе новых, зачастую нестандартных, инструментов коллаборации», — поясняет директор практики консалтинга, услуг в области управления рисками ИТ и кибербезопасности EY Андрей Абашев. На этом фоне хакерские атаки становились более изощренными, а достигаемый негативный эффект распространяется теперь уже не только на компанию-жертву, но и на всю цепочку поставок или экосистему, частью которой она является.

В «Лаборатории Касперского» также отмечают рост числа кибератак за последнее время. Здесь ежедневно обнаруживают до 350 тыс. новых образцов вредоносных программ, и этот показатель продолжает расти. В числе наиболее дорогостоящих для крупного бизнеса киберинцидентов — электронные утечки данных из внутренних систем, целевые атаки, утечки, вызванные атаками вредоносного ПО на мобильные устройства сотрудников или произошедшие вследствие физической их потери. А для малого и среднего бизнеса наиболее дорогостоящими в 2021 году, по данным «Лаборатории Касперского», стали инциденты, вызванные несоблюдением внутренних ИБ-политик, атаки вирусов-майнеров, инциденты на стороне партнеров, с которыми компания обменивается информацией, а также атаки на филиалы.

По мнению более чем 60% респондентов, опрошенных PwC в рамках исследования 2022 Global Digital Trust Insights Survey, число киберпреступлений продолжит расти. «Предполагается, что основными мишенями станут мобильные устройства, интернет вещей, облачные сервисы. При этом также можно ожидать существенного роста атак на цепочки поставок, включая технологические поставки и ПО», — считает Михаил Толчельников.

Проблемные зоны

В центре мониторинга «Информзащиты» фиксируют в настоящий момент три основных тренда, связанных с киберрисками, — промышленный шпионаж (18% от общего количества инцидентов), программы-вымогатели (27%) и майнеры криптовалюты (36%). Самые серьезные последствия и сложные техники атак демонстрируют APT-группировки при попытках шпионажа, направленного на крупные промышленные предприятия и госсектор. «Растет активность программ-вымогателей, набирает обороты так называемый Big Game Hunting — атаки на крупные компании в целях получения выкупа, появляются коллаборации кибергруппировок», — перечисляет Иван Мелехин.

По словам Михаила Толчельникова, злоумышленники продолжат держать в фокусе атак предприятия финансовой сферы, а также организации с высокой степенью зависимости от доступности их цифровых сервисов или наличием существенного объема интеллектуальной собственности. Среди основных методов воздействия — повреждение цифровой инфраструктуры, захват вычислительных мощностей, разрушение цепочки поставок и создание потоков дезинформации.

«Стоит разделить кибермошенничество по типам мотивации: коммерческие кибератаки в целях наживы (составляют подавляющее большинство), а также более редкие и сложные целевые атаки и кибершпионаж», — поясняет управляющий директор по России и СНГ «Лаборатории Касперского» Михаил Прибочий. В первом случае отрасль для мошенников не играет роли: чем крупнее компания и чем более уязвима ее система безопасности, тем больше у нее шансов стать жертвой кибератаки. Во втором — злоумышленников интересуют государственные структуры, научно-исследовательские и конструкторские предприятия, объекты критической инфраструктуры, крупные центры хранения и обработки данных, военные объекты. При этом количественно эти атаки занимают единицы процентов от всего объема киберугроз.

Возможности защиты

По результатам проведенного EY в 2021 году международного опроса директоров по рискам, лишь 9% респондентов уверены в том, что существующие в их организации меры по минимизации киберрисков способны защитить от серьезных кибератак (по сравнению с 20% в 2020 году). 58% опрошенных заявили, что их компания внедряет новые технологии в сроки, которые не позволяют провести надлежащую оценку киберрисков или осуществлять эффективный надзор за ними.

Усилить устойчивость бизнеса по отношению к киберугрозам поможет развитие риск-ориентированной культуры, повышение зрелости функции управления киберрисками, а также установление прозрачной коммуникации как между советом директоров и службой киберзащиты, так и при взаимодействии с бизнес-партнерами и третьими лицами, включенными в цифровую платформу компании, считает Михаил Толчельников.

Компаниям необходимо постоянно укреплять и совершенствовать свою инфраструктуру безопасности, используя современные комплексные защитные решения, отмечает Михаил Прибочий: «В числе таких решений, к примеру, сервисы безопасного доступа, с помощью которых можно собирать данные телеметрии из сетевого трафика, останавливать атаки в периметре и сети». Также, по мнению эксперта, важно развернуть расширенную систему обнаружения и устранения угроз, которая сможет в автоматическом режиме реагировать на инциденты на всех конечных устройствах.

Приобретением любого количества продуктов для кибербезопасности в настоящее время защититься от атак практически невозможно. В первую очередь необходимы высококвалифицированные специалисты, способные выявлять атаки и противостоять хакерам, дополняет Иван Мелехин. Здесь, по его мнению, для большинства организаций наиболее простым выходом будет обратиться к MSSP-провайдерам, которые в рамках сервисной модели предоставляют необходимые продукты и услуги квалифицированного персонала.

«Применение подхода, когда служба информационной безопасности является одним из ключевых участников этапа планирования бизнес-инициатив, позволяет заранее продумать элементы контрольной среды, а использование концепции нулевого доверия существенно повысит уровень кибербезопасности при взаимодействии информационных систем как внутри компании, так и с системами других участников цепочки поставок», — резюмирует Андрей Абашев.

Кибербезопасность с человеческим лицом: как донести проблему до каждого

Фото: Maximalfocus / Unsplash

Пандемия обострила многие проблемы бизнеса, включая кибербезопасность. Работая удаленно, компаниям сложнее защитить свои данные от киберугроз. Но что если составить инструкции с учетом личных особенностей сотрудников?

Об исследовании

На онлайн-форуме «Открытые инновации» Джон Хэкстон, глава отдела интеллектуального лидерства The Myers-Briggs Company, представил исследование, посвященное проблемам кибербезопасности. Коллеги Хэкстона опросили более 500 респондентов напрямую, а также через LinkedIn, Facebook и онлайн-форумы. Они задавали им вопросы о кибербезопасности и хакерских атаках, а затем сопоставили данные с полом, возрастом, родом занятий и особенностями личности. Проанализировав взаимосвязи, авторы исследования вывели определенные закономерности. На их основе они разработали индивидуальные инструкции по кибербезопасности, которые, по их словам, работают эффективнее, чем стандартные.

Киберугрозы выходят на первый план

По данным Cyberedge Group, в 2019 году 78% ИТ-специалистов сообщали о кибератаках. Опрос The Myers-Briggs Company дает цифру в 64%. Во время пандемии ситуация ухудшилась: работая дома, сотрудники не соблюдают элементарных мер защиты данных, а мошенники активно используют новые схемы. При этом нагрузка на ИТ-поддержку возросла, а доступ к ней заметно усложнился.

Фото:Thomas Breher / Pixabay

  1. Синтаксические — те, что используют технические несовершенства и уязвимости в ПО и системах защиты персональных данных.
  2. Семантические — те, что опираются на манипуляции людьми с опорой на психологию.

«Человеческий фактор» в последнее время выходит на первый план: помимо самих злоумышленников, данные компаний страдают из-за того, что их сотрудники не соблюдают элементарных правил при работе с компьютерами и ПО.

Именно с этим «слабым звеном» и нужно работать в первую очередь — считают авторы исследования The Myers-Briggs Company.

Самые распространенные ошибки

Вот что чаще всего делают опрошенные авторами исследования:

  • Используют простой пароль — включая кличку животного, дату рождения или девичью фамилию.
  • Используют один и тот же пароль для нескольких сервисов и устройств, не меняя его длительное время.
  • Сохраняют логины и пароли от своих аккаунтов на других компьютерах. Сообщают свои пароли членам семьи или коллегам.
  • Вводят свои данные на сайтах, которые не гарантируют их защиту — без SSL, https: или значка «замок» в адресной строке.
  • Не устанавливают или не обновляют антивирусное ПО.
  • Используют публичные Wi-Fi-сети.

Как отвечали респонденты на вопросы о кибербезопасности

Как отвечали респонденты на вопросы о кибербезопасности (Фото: The Myers-Briggs Company)

Кто больше подвержен кибератакам?

Исследование показало, что нет существенной взаимосвязи между соблюдением мер кибербезопасности и групповыми особенностями опрашиваемых: такими, как страна, пол, возраст или сфера деятельности.

Но некоторые отличия все же есть. Так, люди старшего возраста, в среднем, показали себя лучше, чем молодые. Те, кто уже сталкивался с сетевыми мошенниками или фишингом ведут себя гораздо осмотрительнее. Англичане и сотрудники крупных компаний (500+ человек) реже сообщают свой пароль близким, чем американцы и сотрудники небольших организаций. Те, кто работает полный рабочий день сталкиваются с атаками чаще, чем те, кто занят частично.

Также на проблемы с кибербезопасностью существенно влияет и то, как близок сотрудник к ИТ-сфере и насколько хорошо работает ИТ-поддержка в его компании.

Разница между тем, как относятся к кибербезопасности ИТ-специалисты и остальные

Разница между тем, как относятся к кибербезопасности ИТ-специалисты и остальные (Фото: The Myers-Briggs Company)

А вот личные особенности влияют гораздо больше. Чтобы оценить это, авторы применили методику MBTI.

Что такое MBTI-методика и как она работает?

MBTI — Myers–Briggs Type Indicator, типология Майерс — Бриггс — типология личности, которая возникла в 1940-е годы в Европе и США на базе типологии Юнга.

В ее основе — четыре шкалы с полярными значениями:

1. E—I — ориентация сознания:

  • Е (Еxtraversion, экстраверсия) — ориентация сознания наружу, на объекты,
  • I (Introversion, интроверсия) — ориентация сознания внутрь, на субъекта;

2. S—N — способ ориентировки в ситуации:

  • S (Sensing, ощущение) — ориентировка на материальную информацию,
  • N (iNtuition, интуиция) — ориентировка на интуитивную информацию;

3. T—F — основа принятия решений:

  • T (Thinking, мышление) — логическое взвешивание альтернатив;
  • F (Feeling, чувство) — принятие решений на эмоциональной основе этики;

4. J—P — способ подготовки решений:

  • J (Judging, суждение) — рациональное предпочтение планировать и заранее упорядочивать информацию,
  • P (Perception, восприятие) — иррациональное предпочтение действовать без детальной предварительной подготовки, больше ориентируясь по обстоятельствам.

Объединяя буквенные значения шкал, методология выделяет 16 типов личности: ENTP, ISFJ и так далее. Ежегодно более 2 млн человек проходят опросы на базе MBTI, а в США ее используют, чтобы помочь выпускникам школ с выбором профессии.

Как тип личности влияет на поведение в сети

Изучая рекомендации по кибербезопасности, авторы исследования опирались, в частности, на программу «Основы кибербезопасности» правительства Великобритании (Национальный центр кибербезопасности, 2019 год), научные статьи (например, Sotira, 2018 год) и руководства коммерческих организаций.

На основе этих правил они вывели три главных подхода к кибербезопасности (по убыванию):

  1. Строгое следование правилам.
  2. Защита паролей и устройств.
  3. Игнорирование мер кибербезопасности.

Три разных подхода к кибербезопасности

Три разных подхода к кибербезопасности (Фото: The Myers-Briggs Company)

Аналитики The Myers-Briggs Company пришли к выводу, что тип личности по MBTI — ключ к тому, какого из трех подходов придерживается человек.

Как выглядит связь между типом личности и соблюдением мер безопасности

Как выглядит связь между типом личности и соблюдением мер безопасности (Фото: The Myers-Briggs Company)

К примеру, экстраверты охотнее предоставляют любую информацию в ответ на письма и сообщения, а интроверты относятся к ним осторожнее. Те, кто больше опирается на ощущения по шкале S–N и суждения по шкале J–P, более дисциплинированны по части кибербезопасности, чем их противоположности.

Люди с предпочтениями ISTJ хорошо усваивают негативный опыт. Поэтому они вряд ли во второй раз поддадутся на манипуляции мошенников. А вот ISFJ или ESFP — наоборот, слишком доверчивы и запросто перейдут по фишинговой ссылке.

Как компаниям защитить себя от кибератак?

Авторы исследования советуют уделить внимание сетевой грамотности сотрудников, ввести периодическую смену паролей и требования их повышенной сложности, а также регулярно обновлять ПО и устанавливать надежное шифрование всех локальных ресурсов.

Какие шаги нужно предпринять компаниям в рамках кибербезопасности

Какие шаги нужно предпринять компаниям в рамках кибербезопасности (Фото: The Myers-Briggs Company)

Но главный вывод — в том, что сотрудников необходимо тестировать по методике MBTI и выдать каждому персональные инструкции, на основе его типа личности.

Пример инструкции по кибербезопасности для типа INTP

Пример инструкции по кибербезопасности для типа INTP (Фото: The Myers-Briggs Company)

Это поможет добиться максимального отклика даже от тех, кто ничего не знает о фишинге и кибермошенниках.

Подписывайтесь также на Telegram-канал РБК Тренды и будьте в курсе актуальных тенденций и прогнозов о будущем технологий, эко-номики, образования и инноваций.

При подготовке материала использовались источники:
http://www.sberbank.ru/ru/s_m_business/pro_business/kak-malomu-biznesu-zashchitit-dannye/
https://plus.rbc.ru/news/619a7fd37a8aa971c8028ec5
https://trends.rbc.ru/trends/industry/5fa460199a7947a946d4b37e

Сейчас смотрят:

  1. «Распорядиться переплатой» в личном кабинете налогоплательщика что это такое?
  2. Лучшая программа для просмотра тв на компьютере через интернет бесплатно
  3. Убедитесь что контроллер данного диска включен в меню bios компьютера
  4. Причины появления и устранение ошибки d3dx9 43.dll и d3dx10 43.dll
  5. Как называется человек который перепечатывает тексты на компьютер