rss

Профиль компании

Финансовые компании

Блог компании Positive Technologies | 🫣 «Наше дело маленькое, мы хакерам не нужны», — успокаивают себя представители малого и среднего бизнес

Но думать так — все равно что прятать голову в песок. Плохо защищенный небольшой бизнес все чаще становится мишенью атак: взломать его проще, а выгоды для злоумышленников довольно очевидные.

Зачем киберпреступникам МСП

Почти половина атак на бизнес в прошлом году оказалась успешной — тут стоит вспомнить череду взломов, в которых жертвами часто оказывались вовсе не корпорации-гиганты.

1️⃣ Основная цель киберзлодеев — выкуп за восстановление инфраструктуры. На это были направлены примерно три четверти атак. А размер запрошенных сумм для небольших компаний составил от 240 000 до 4 млн рублей.

Злоумышленники пользуются недорогими автоматизированными инструментами, которые позволяют бить по площадям и неплохо зарабатывать на успешных взломах.

2️⃣ Как и «крупняк», компании поменьше могут обладать ценными данными: собственными ноу-хау, коммерческой информацией, базами заказов и клиентов.

3️⃣ Ну и, наконец, МСП может быть прямым поставщиком или субподрядчиком крупного бизнеса. Через таких партнеров киберпреступникам гораздо проще добраться до своей основной жертвы.

Нет сотрудника — нет кибербеза

При этом, согласно недавнему исследованию «Росконгресса», защитная инфраструктура большинства МСП к интересу со стороны хакеров оказалась не готова. Часто их система ИБ — это антивирус, минимальные политики безопасности и один сотрудник, который за все это отвечает. Его болезнь или отпуск фактически могут оставить компанию без киберзащиты.

Руководители осознают проблему, но не готовы платить за ИБ столько же, сколько крупные компании 💰

ИБ на аутсорсе: плюсы и минусы

Выход из этой ситуации — сотрудничество с вендорами, которые возьмут часть работы на себя 🤝

Главные мотивы для бизнеса в таком решении — предсказуемость трат на кибербез, измеримость результата и сокращение времени на восстановление работы. Выглядит это примерно как подписка на ИБ: компания платит, скажем, 1,5 млн рублей в год за гарантированный объем услуг.

При этом важна модель взаимных обязательств (вендор отвечает за защиту, заказчик — за выполнение базовых требований гигиены), которая остается схожей вне зависимости от размера компании и отрасли.

Примерный базовый минимум кибергигиены для МСП, который мы недавно определили вместе с Минэкономразвития:

🟡Двухфакторная аутентификация везде — почта, облачные сервисы, CRM.

🟡Научить сотрудников не кликать по ссылкам из писем с вложениями.

🟡Регулярные резервные копии — не на том же сервере, а в отдельном облаке или на внешнем носителе.

🟡Своевременное обновление всех систем и продуктов.

🟡Разделение доступов и никаких админских прав всем подряд.


Однако ни одно техническое решение не дает стопроцентной защиты, поэтому возникает вопрос: кто будет покрывать киберриски? В этом случае может помочь независимая страховая компания как третья сторона договора между вендором и заказчиком.

Один из главных стопперов для руководителей и владельцев бизнеса, размышляющих о кибербезе на аутсорсе, — передача вовне чувствительных данных. Возможно, поэтому большинство предпочитает не полный переход, а гибридную конструкцию, когда подрядчик берет на себя мониторинг, реагирование и экспертизу, а компания — все остальное. При этом скорость реакции и быстрота развертывания — приоритеты при выборе вендора.

Восстановить важнее, чем предотвратить

МСП становится важнее то, насколько они готовы к инциденту и как быстро смогут восстановиться после него, а не желание оградить бизнес от любых атак (что большинство вендоров считает невозможным) 😏

Это значит, что свои небольшие бюджеты на кибербез такие компании предпочтут тратить, например, на резервное копирование и обеспечение непрерывности бизнес-процессов, а не на превентивную защиту.
 
Это приближает МСП к близкой нам позиции, когда ключевой задачей становится предотвращение недопустимых и разрушительных для бизнеса событий.
🫣 «Наше дело маленькое, мы хакерам не нужны», — успокаивают себя представители малого и среднего бизнес


Данная публикация является личным мнением автора. Мнение владельца сайта может не совпадать с мнением автора.
1.8К
#179 по плюсам, #107 по комментариям
2 комментария
Вот он, киберпанк
Бесполезное ПО без комплексной системы в купе с 1с, почтой и т.д.
Рынок не глупый. Либо дорого, либо нет потребности. А если о вас не знают, и не дорого – значит дело в том, что нет потребности. А нет потребности, нет и смысла.
avatar

теги блога positivetechnologies

....все тэги



UPDONW
Новый дизайн