МСБ — легкая мишень для хакеров: 5 ошибок предпринимателей в кибербезопасности

Только за семь месяцев прошлого года ущерб от IT-преступлений в России достиг 99 млрд руб., а преступления в сфере кибермошенничества составляют более 30% от общего числа правонарушений. На восстановление после атаки могут уйти месяцы, а в некоторых случаях исправить ситуацию в принципе невозможно.

Ошибка №1. Иллюзия безопасности

Малый бизнес — более легкая добыча, потому что у него слабее защита. А злоумышленникам не важно, насколько большая у вас фирма, — им нужны данные, доступ к финансам и уязвимые системы, которые можно использовать для атак на других.

Что делать

• Провести аудит информационной безопасности — заказать услугу, результатом которой будут перечень уязвимых мест в инфраструктуре организации и рекомендации по их устранению.
• Настроить многоуровневую защиту — даже для небольших компаний.
• Обучать сотрудников, чтобы минимизировать риск атак через фишинг и другие методы социальной инженерии. Нужно внедрить процесс постоянного обучения сотрудников навыкам кибербезопасной работы — для этого существуют специализированные курсы от вендоров.

Пример из практики

Небольшая консалтинговая компания по внедрению систем электронного документооборота и бухгалтерского ПО. В штате — три топ-менеджера, 10 консультантов, один бухгалтер, один секретарь. Злоумышленники взломали компьютер бухгалтера и вывели все денежные средства с расчетных счетов организации. 

Два руководителя покинули компанию, а оставшийся попытался спасти бизнес за счет личных средств. За пять месяцев выйти на приемлемый уровень доходности не удалось, и компания объявила о банкротстве.

При этом оплата выкупа не гарантирует возврат украденного — более того, после первого платежа преступники могут потребовать еще. Последствием могут стать штрафы за утечку персональных данных и возможные обвинения в финансировании терроризма, если выкуп попадет не в те руки.

Что делать

Вместо того чтобы полагаться на «новые компьютеры», стоит заранее создать план реагирования на киберинциденты. В нем необходимо учесть следующее:

• какая информация критически важна для бизнеса. Это данные бухгалтерского и управленческого учета: договоры, графики отгрузок и платежей, проектная документация по открытым проектам;
• как быстро восстановить работу компании после атаки. Для этого нужна надежная система резервного копирования, а также пошаговое руководство. В нем должно быть описано, как вернуть технике работоспособность, где взять последнюю копию резервных данных, как именно восстановить утерянную информацию и функциональность критических IT-систем;
• как минимизировать потери и исключить необходимость платить выкуп. Важно также разработать запасной план на случай потери резервных копий.

Пример из практики

Компания по производству оборудования для бизнес-центров. Более 1 тыс. серверов и рабочих станций. Из-за позиции руководства (будет киберинцидент — купим новые компьютеры), расходы на кибербезопасность были номинальными: низкооплачиваемый ИБ-специалист и разрозненное внедрение антивирусного ПО по инициативе отдельных подразделений.

В апреле 2022 года фирму атаковал шифровальщик. Остановились несколько производственных площадок, были утеряны все данные по договорной и проектной деятельности, а также данные операционного и бухгалтерского учета без возможности восстановления из резервных копий. Компания смогла полностью восстановить свою деятельность лишь через два месяца с потерей 90% клиентов и лидерских позиций в своем сегменте.

Очень часто владельцы бизнеса уверены: у них есть системный администратор, и он во всем разберется. Поэтому они не вникают в вопросы кибербезопасности и полностью доверяют IT-специалисту.

Проблема в том, что не каждый системный администратор обладает компетенцией в сфере информационной безопасности. У всех разный опыт: кто-то до этого работал в компании, где было важно любыми путями минимизировать бюджет IT, поэтому предлагает бесплатные или пиратские ПО, кто-то сознательно выбирает простые и бесплатные решения, которые не требуют сложных настроек. А кому-то удобнее сказать «это не нужно», чтобы избежать дополнительных задач.

Что делать

Собственнику важно не просто делегировать, но и контролировать:

• ввести KPI для системного администратора, связанный с отсутствием киберинцидентов. Например, выплата бонусов только в том случае, если за квартал не было атак и потерь данных;
• задокументировать ответственность. Если специалист утверждает, что защита не нужна или бесплатного антивируса достаточно, он должен подписать документ о готовности отвечать за последствия.

Пример из практики

Производитель оборудования для бизнес-центров (из предыдущего примера) пользовалась услугами «приходящего» IT-специалиста, который считал вероятность кибератаки маловероятной и никакой инициативы в вопросах ИБ не проявлял. Результатом стал описанный ранее кейс. Инцидент заставил топ-менеджмент пересмотреть свои взгляды и создать в организации отдел, который занимается ИБ.

Многие компании хранят резервные копии на том же устройстве, что и основные данные, из-за чего в случае атаки шифровальщика они могут быть утрачены вместе с остальными файлами. Некоторые полагаются на автоматические облачные хранилища, но не внедряют дополнительные меры безопасности, что увеличивает риск утечки информации. Кроме того, многие организации не тестируют процесс восстановления, из-за чего в критический момент может выясниться, что резервные копии повреждены, устарели или оказались в том же контуре, что и основные данные, и также были зашифрованы.

Что делать

• Разнести резервные копии: хранить их в разных местах, включая офлайн-носители. В том числе минимум раз в неделю сохранять данные на внешних носителях, не подключенных к корпоративной сети.
• Использовать специализированные сервисы для резервного копирования. Они позволяют автоматизировать процесс создания резервных копий и защитить резервные данные от киберугроз.
• Периодически проверять возможность восстановления данных. Для этого проводить тестовое восстановление данных из резервных копий.

Пример из практики

Отсутствие резервных копий стало причиной, по которой производитель оборудования из второго примера был вынужден остановить деятельность на два месяца.