У вас нечего красть? Ошибаетесь! Киберугрозы для малого и среднего бизнеса и способы защиты от них

Малый и средний бизнес ставит перед предпринимателями множество задач, из-за чего зачастую проблемам информационной безопасности уделяется меньше внимания. Прошедший год для них был особенно сложным: сокращения, переход на удаленку и рост киберпреступлений.

По данным аналитиков Сбербанка, в 2018 году количество атак на малые и крупные предприятия сравнялись. В 2020 году количество DDoS-атак на российские онлайн-магазины выросло по сравнению с годом ранее в два раза. Если раньше уделом хакеров были крупные компании, то сегодня они переключились на малый и средний бизнес. Происходит это потому что представители СМБ уверены, что охотятся преступники только за «крупной рыбой». Именно это делает их идеальной мишенью для киберпреступников.

Давайте будем честны: многие владельцы бизнеса уверены, что их компания в безопасности. Чаще всего они сталкиваются с заблуждениями, связанными с тем, что СМБ-сегмент никому не нужен и в нем нечего красть. Однако согласно аналитике международного разработчика антивирусного программного обеспечения ESET, за последние два года с внешними угрозами сталкивались 94% российских предпринимателей в СМБ-секторе, с внутренними — 87%. Наиболее распространенными проблемами стали спам (73%) и вредоносное ПО (60%). 45% столкнулись с шифраторами, 21% — с DDoS-атаками и 31% — с фишингом.
  
Что касается заражения вредоносным ПО, то в подавляющем большинстве случаев оно происходило через внутренние каналы из-за невнимательного отношения персонала к вопросам ИБ. Сотрудники отключают антивирус, скачивают файлы с ненадежных ресурсов и пользуются внешними носителями, на которых может оказаться нежелательная программа.

О киберинцидентах, с которыми приходится сталкиваться малым и средним компаниям, а также о способах защиты и профилактики бизнеса рассказывает Станислав Жураковский, предприниматель и IT-эксперт.


Атаки на сайт

Самые частые в секторе СМБ — это DDoS и дефейсы сайта. Первая — это хакерская атака на вычислительную систему с целью довести ее до отказа, чтобы он «лёг» под нагрузкой и перестал работать. Избежать этого помогут специальные сервисы, которые смогут отбить атаку. 

Дефейс — это взлом сайта напрямую и изменение данных на нем. Если нет двухфакторной авторизации – когда для входа нужен не только пароль, но второй ключ или данные из SMS – простым перебором мощный сервер злоумышленника легко и быстро подберет ваш пароль. В этом случае нужно проверить, у кого есть доступ к сайту, кому он на самом деле принадлежит как интеллектуальная собственность и включена ли двухфакторная авторизация.


Фишинг

Фишинг — это атака, при которой злоумышленник прикидывается каким-то другим сервисом, чаще полезным, например, отправляет сотрудникам письма из «банка» или присылает радостную новость о премии или выплате. 

Такой вид атаки сегодня еще часто используется телефонными мошенниками: «Здравствуйте, вам звонит служба безопасности банка». В этом виде атак самая слабая часть системы – это сам человек. Чтобы обезопасить себя, необходимо регулярно – раз в квартал – проводить простейшие учения со всеми сотрудниками. Полчаса рабочего времени помогут сэкономить миллионы рублей и килотонны нервов.


Утечки информации о платежных картах и кража персональных данных

Одна из актуальных проблем российского среднего и малого бизнеса — утечка данных. Согласно исследованию ESET, от внутренних утечек пострадала каждая четвертая компания, от внешних — 7% организаций. Компрометация данных может нанести серьезный финансовый и репутационный ущерб компании, особенно на начальных этапах ее развития. Более того, нейтрализация последствий утечек нередко требует непосильных для небольшого предприятия вложений.
 
Сколько раз вы с лёгкостью раздавали копии документа, с помощью которых можно проводить разные манипуляции с бизнесом? 

Существует, например, реальная история человека, на которого без его ведома записали 5 компаний. В комментариях к этой статье можно найти бесценный для любого генерального директора совет – не давать паспорт на руки, делать копии самому и в формате PDF, а также редактировать изображение с указанием получателя копии.




Программы-вымогатели, например, WannaCry

Зловред заразит все файлы и на компьютере, и в облаке следующим образом: создаст запароленный архив, который ничем не открыть, закроет в нем все данные и попросит денег. Возможно, сумма будет невелика – 5–10 тыс. долларов. Возможно, вы согласитесь ее заплатить. Однако после перечисления средств на ВТС-кошелек, преступник может пропасть вместе с ключом от архива, в котором хранится вся информация. 

Бизнес настолько доверяет облакам, что даже один перехваченный пароль может стать угрозой. Данные будут или удалены, или проданы, а затем удалены. Без резервной копии данных восстановить их будет невозможно, а провайдер облачного хостинга не сможет помочь, поскольку доступа к аккаунту больше нет, а значит, и резервной копии.

Первое правило, если заразились, — не платить! Никогда и никому. И да, правило номер ноль — делать регулярные резервные копии важных данных.
 
Второе важное правило — использовать комплекс специальных программ для защиты компьютера и мобильных устройств. Один антивирус тоже полезен, но гораздо лучше, если есть правильный файрвол и программа для хранения персональных данных. Также кроме ноутбуков и стационарных компьютеров нужно защищать и серверы компании, и мобильные устройства сотрудников, особенно если они работают под операционной системе Android. Нужно понять, что проблему всегда легче предотвратить, чем устранять.

---

Читайте также: Сколько и как можно сэкономить на кибербезопасности и каналах связи

---

Кража интеллектуальной собственности

Собственность компании бывает патентуемой и обычной. В России собственностью принято считать только первый случай, а именно патентуемую интеллектуальную собственность. Однако в действительности ее гораздо больше: персональные и коммерческие данные клиентов, методы работы, бизнес-процессы, картинки на сайте, тексты в социальных сетях, шаблоны писем. 

Проведите базовую инвентаризацию такой собственности, чтобы понять, что бы вы не хотели, чтобы скопировали ваши конкуренты?


Нарушение конфиденциальности

Сотрудники зачастую используют личную почту вместо корпоративной и собственные устройства. Разрозненность источников хранения информации может стать потенциальной угрозой, чтобы этого избежать стоит провести ревизию и проверить, насколько все находится под контролем.


Что нужно сделать?

Работа с угрозами — это работа «по ситуации», реагирование на уже случившиеся события. Кроме реагирования на них важна и профилактика.

● Инвентаризация «железа». Нужно составить точный список оборудования, которое используется для рабочих задач – телефоны, ноутбуки, рабочие компьютеры, серверы должны быть не просто описаны и пронумерованы. В компании должны работать два главных правила: неукоснительное соблюдение политики BYOD и регулярное обслуживание всего парка техники. BYOD — это Bring Your Own Device или возможность работать с личных устройств. 

Однако в этом случае существенно выше риск пробоя в информационной безопасности, потому как компании перекладывают на сотрудника не только закупку самого устройства, но и его обслуживание и его настройку. Поэтому необходимо к личным устройствам сотрудников относиться гораздо строже: так, если разрешаете на них работать, то и контролировать информационную безопасность нужно гораздо тщательнее.

Кроме ноутбуков есть почти забытая категория устройств – видеонаблюдение и роутеры. Роутер — это первый рубеж обороны, поэтому необходимо выбирать устройства, которые обновляют свои прошивки (это нужно для заделывания дыр в безопасности, реже для новых функций) и имеют нормальную техническую поддержку. С видеонаблюдением ровно такая же история. Заодно крайне важно проверить, что на устройствах регулярно обновляются прошивки и меняются пароли, доступ к которым есть только у строго ограниченного круга лиц.



● Следующий пункт — это инвентаризация программного обеспечения. Софт должен регулярно обновляться и быть лицензионным. Проверьте, все ли функции вашего офисного пакета или специализированного ПО вам нужны? Может быть, можно найти более дешевый аналог с тем же нужным набором функций? Этот простой пункт может сэкономить тысячи и тысячи рублей ежемесячно.

● Сегментация сотрудников по доступу к необходимым данным. Делим сотрудников на тех, кому нужен доступ к данным и без него. Таким образом отсекается нужная группа и сокращаются затраты.

● Обучение сотрудников. Причем не только реагирование в процессе текущей работы, но и обязательно обучить тому, что нужно делать в экстренных случаях. Куда бежать, к кому обращаться и как исправлять последствия. Мини-курс по ИБ все же придется написать, но большая часть работы придется на первый раз. Затем уже знания будут обновляться в ежеквартальном режиме. 

● Постоянная смена паролей – процесс, который можно и нужно автоматизировать. К тому же автоматизация будет предполагать централизованное хранилище таких данных. Но политика в отношении паролей должна быть жёсткой. Особенно стоит провести ревизию всех текущих паролей вида qwerty123. Каждый сотрудник при этом может получить не только требование к генерации сложного пароля, но и помощь.
 
Так, исследование ESET показало, что пользователи стали более ответственно относиться к кибербезопасности и чаще всего применяют для защиты сложные пароли или менеджер паролей. Бизнесу стоило бы перенять эту практику, тем более, что есть множество сервисов и рекомендаций, которые смогут помочь в создании сложных паролей, как случайных по своей сути, так и фонетически и по смыслу понятных каждому сотруднику.

● Ещё один бесплатный метод защиты — это внедрение двухфакторной аутентификации. При приеме на работу, в процессе текущей деятельности, при утере оборудования или его краже, при попытках взлома. И заодно вместо SMS часть вендоров может давать возможность использовать специальные приложения, вроде Google Authenticate или «Яндекс.Ключ». Это бесплатно, надёжнее SMS и работает даже без подключения к интернету и сотовой связи.

● Финальный этап — это учения. Просто, прямо, по военным методам. С попытками фишинга в сторону сотрудников, имитацией взломов, потерь и других неприятностей.

Может показаться, что всё сразу внедрить не получится, что не отменяет того, что делать это можно поэтапно. И чем быстрее эти этапы пройдут, тем лучше. Атак и взломов меньше не становится. 

Станислав Жураковский, 
предприниматель и IT-эксперт.

Для New Retail