Киберпреступники атакуют по всем фронтам: ежедневно фиксируются атаки и на коммерческие компании, и на госструктуры, и на частных лиц. Хакеры взламывают базы данных, крадут конфиденциальную информацию, вскрывают банковские счета и т.д. И не стоит успокаивать себя тем, что взламывают только большие и известные компании – это не так, небольшие бизнесы тоже часто становятся жертвами кибер-атак. О том, как предпринимателям повысить уровень кибербезопасности, порталу Biz360.ru рассказал Евгений Соболев, директор компании Practical Security Lab.
Евгений Соболев – генеральный директор компании Practical Security Lab. Компания работает в сфере информационной безопасности и реализует проекты в России, странах СНГ, ЕС, Северной Америки, Африки и Азии.
С точки зрения информационной безопасности специфика малого бизнеса в том, что, как правило, в компании отсутствуют специально выделенные специалисты, которые отвечают за кибербезопасность. Нет ответственных – защищённость бизнеса хромает на обе ноги.
Компаний малого бизнеса в России – сотни тысяч, большинство из них, вероятно, не слишком интересны злоумышленникам: объём ресурсов или ценной информации, которые можно присвоить, относительно невелик. Поэтому небольшие бизнесы могут годами находиться в уязвимом состоянии без инцидентов, и попадаться только на случайные и массовые взломы.
Хакеры-активисты или политически мотивированные взломщики, которые активизировались в последние два-три года, сканируют тысячи сайтов на предмет старой или новой уязвимости. Работает это так: хакеры находят уязвимость в системе одной компании и потом используют тот же приём для других. Часто одним таким «ключом» можно открыть несколько компаний – пока отделы кибербезопасности остальных не узнают о такой лазейке и не устранят её у себя.
Взломанные сайты используются, например, для размещения политических лозунгов или как плацдарм для проведения атак на другие компании. Если такая компания-жертва – интернет-магазин, базу данных клиентов могут слить, а данные эквайринга подменить для кражи денег.
Иногда атаки на небольшие компании точечно заказывают конкуренты. Например, к нам для защиты обращалась компания по установке окон, так как в сезон конкуренты осуществляли взломы и другие атаки, чтобы забрать себе больше заказов.
Набор уязвимостей у компаний чаще всего уникальный, однако небольшие компании объединяют многие типичные признаки.
Некачественная разработка сайта
Часто у малого бизнеса нет «лишних» денег на безопасность, главное – экономическая эффективность. Поэтому компании экономят на качестве услуг и сервисов: например, заказывают разработку сайта как можно дешевле и без последующего аудита безопасности кода сторонним аудитором.
Поэтому одна из распространённых болезней малого бизнеса – «дырявый» сайт. Если это просто сайт-визитка с формой обратной связи – проблема не представляет большой угрозы. Однако если сайт – интернет-магазин, то данные пользователей и деньги компании под угрозой.
Использование пиратского и не обновлённого софта
Типичная ситуация для малого бизнеса – скачать нелицензионный софт или купить официальный, но не обновлять его регулярно. Основная проблема пиратских программ в том, что в публичный доступ обычно выкладывается взломанная версия, в которую часто встраивают вредоносный код.
Лицензионный, но не обновлённый софт также подвергает компанию опасности. Он не предохраняет от новых угроз и уязвимостей.
Использование ненадёжных паролей
Ещё одно следствие отсутствия отдела по информационной безопасности – в компании нет парольных политик. Это значит, что никто не контролирует сложность пароля, сотрудники могут беспрепятственно использовать комбинации в стиле P@ssw0rd или 12345Aa.
Один из наших клиентов – небольшая бухгалтерская компания – пользовался услугами IT-аутсорсинга. Они делегировали другой компании все вопросы, связанные с технической поддержкой. Однако компания-подрядчик тоже была небольшой и не уделяла должного внимания безопасности. Её сотрудники использовали слабые пароли: злоумышленники могли бы взломать не только саму аутсорсинговую компанию, но и всех её клиентов.
Рассказываем бизнес-истории, предупреждаем об изменениях в законодательстве, делимся опытом автоматизации
Подписываясь на рассылку, вы соглашаетесь с политикой персональных данных
Во-первых, посмотрите в сторону замены собственного софта на сервисы крупных компаний. Так вы сможете получить их защиту без привлечения дополнительных специалистов на обслуживание. У технологических гигантов больше ресурсов и отлаженные процессы по устранению угроз. Лучше не покупать разработку интернет-магазина и не размещать его на хостинге самим – воспользуйтесь готовыми SaaS-решениями крупных компаний.
Например, email. Практически весь малый бизнес сидит на полностью или почти бесплатных почтовых сервисах типа yandex, mail.ru, gmail.com и т.д. Через почтовые серверы такие аккаунты не взломать – они будут всегда актуально защищены. Конечно, пользователь сам может поставить на email слабый пароль или ввести пароль на фишинговый сайт. Однако это уже вне зоны прямой ответственности почтового сервиса, а вопрос кибергигиены.
Второе, что стоит сделать компании – внешний аудит. Поскольку бюджет малого бизнеса очень ограничен, нанять в штат специалистов, которые будут все рабочие часы тратить на поиск и устранение уязвимостей, невыгодно. Единственный вариант – эпизодическое привлечение сторонней аудиторской проверки квалифицированных специалистов по информационной безопасности.
Аудиты помогают вовремя корректировать развитие безопасности компании, но при этом экономить на штате. Кроме того, независимая оценка даёт более объективное представление о состоянии системы и рисках.
Третье – выделить бюджет на компенсирование рисков, выявленных аудитором. Знать об уязвимостях – одно, а исправлять их – другое. Не обязательно браться за всё и сразу: скорее всего, бюджет будет ограничен. Выберите, какие риски для вас наиболее приоритетны и наиболее опасны для ресурсов и клиентов компании – их и нужно устранить в первую очередь.
Безопасность продукта или системы – это процесс. Техники и методы взлома постоянно развиваются, появляются новые уязвимости в ПО. Даже если вчера компания была защищена, то сегодня из-за найденной уязвимости в софте все бизнесы, использующие его, автоматически попадают под угрозу.
Кибербезопасность для небольшой компании – дополнительные вложения, зачастую довольно чувствительные. Однако по мере роста компании «желательные» инвестиции в IT-безопасность станут «обязательными»: чем заметнее бизнес, тем больше охотников за его ресурсами.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
