Чому малі та середні підприємства є легшою ціллю, ніж велика компанія?
МСП менш схильні вважати, що стануть мішенню для кібератак
Спілкуючись із нашими клієнтами, ми бачимо, що більшість малих і середніх підприємств думають, що вони не цікаві кіберзловмисникам. Вони занадто малі, не генерують значних коштів, не мають великого впливу, вважають, що «досі нічого не сталося і навряд чи станеться», а тому не бачать сенсу інвестувати час і ресурси в підвищення кіберобізнаності.
Менше працівників, більше індивідуальної відповідальності
Малі підприємства мають значно менше співробітників, які здебільшого знають один одного, тому правила безпеки не завжди розробляються чи їх не дотримуються. Наприклад, не проводяться тренінги з кібергігієни, і власники бізнесу покладаються винятково на відповідальність кожного працівника. Ось лише декілька прикладів ситуацій, які можуть створювати ризики.
Грошові перекази
У випадку МСП особа, що ухвалює рішення, і виконавець часто є однією й тією ж людиною — наприклад, платіж санкціонує та проводить один і той самий бухгалтер. Якщо бухгалтер не володіє достатніми знаннями для розпізнавання шахрайських дій, не дотримується процедур безпеки та принципу «двох очей», це може закінчитися переказом коштів на рахунок шахрая.
Персоналізовані атаки
Чим менше працівників, тим легше зловмисникам ідентифікувати особу, яка виконує певну роботу. Кіберзловмисник може зібрати загальнодоступні дані про конкретного працівника із соціальних мереж, інформації на вебсайті компанії тощо, створити спеціальний фішинговий лист, який викликає довіру, і отримати дані, необхідні для доступу до ресурсів компанії.
Обліковий запис у соціальній мережі адмініструється однією особою
Невеликі бізнеси, фермери, магазини, салони краси, постачальники послуг та інші малі підприємства зазвичай розповідають про свої товари і послуги та реалізовують їх через соціальні мережі, а сторінку адмініструє одна особа. Часто це відбувається без багатофакторної автентифікації. Якщо кіберзловмиснику, який видає себе за клієнта, ділового партнера або службу підтримки соцмережі, вдасться обдурити цю особу, змусивши її перейти за посиланням на шкідливе програмне забезпечення або надати дані для доступу, це може призвести до повного контролю над акаунтом компанії. Зловмисник може витрачати гроші з прив’язаної платіжної картки, отримувати всю клієнтську базу та розсилати повідомлення клієнтам тощо. Окрім фінансових збитків, такі дії завдають великої шкоди репутації компанії.
Неналежне управління ІТ-ресурсами
МСП часто не мають централізованого управління безпекою ІТ-ресурсів, яке не лише керує поводженням з робочими пристроями та стежить за програмним забезпеченням, а й обмежує можливості співробітників здійснювати небезпечні дії. Ось декілька прикладів того, як це може допомогти зловмисникам.
Невідповідний вибір ліцензій чи взагалі їх відсутність
МСП часто вибирають найдешевші ліцензійні пакети програмного забезпечення, які, ймовірніше, призначені для домашніх користувачів і не включають функціонал безпеки або можливість її централізованого моніторингу.
Неоновлені програми
Без централізованого управління ІТ-ресурсами ніхто насправді не стежить за оновленнями програмного забезпечення на всіх робочих комп’ютерах. Наприклад, хтось знайде час, аби встановити оновлення і перезавантажити свій комп’ютер, а хтось відкладе це завдання на потім або взагалі проігнорує попередження системи. Виробники обладнання та ПЗ вбудовують захист від найновіших вразливостей у новіші версії, тому важливо переконатися, що процес оновлення є правильним і повним. Застаріле програмне забезпечення може стати хорошою можливістю для кіберзловмисника проникнути до систем компанії.
Прогалини в управлінні доступом
Централізоване управління доступом співробітників також є важливим, наприклад, у випадку коли працівник змінює роботу та йде працювати на конкурента. Якщо доступ не скасовується, може статися витік конфіденційної інформації: злочинці або конкуренти побачать вашу внутрішню системну інформацію, листування, ціни тощо. Тоді вони зможуть скоригувати пропозиції та ліпше таргетувати рекламу в фейсбуці і т. п.
Зрештою, ваші конкуренти можуть опинитися на крок попереду вас.
Швидке зростання та розширення бізнесу
Хоча загроза існує для будь-якого підприємства, найбільш вразливими вважаються стартапи, які зазвичай швидко зростають, проте не мають достатніх досвіду чи фінансування, аби убезпечити свій бізнес. Наприклад, якщо стартап має чотирьох співробітників, одну адресу та декілька клієнтів, усі процеси легко відстежуються. Проте якщо компанія розширюється, має більше філій, клієнтів і партнерів, в тому числі за кордоном, без належних процедур безпеки інформаційних потоків створюються високі ризики кібератак.
Що робити?
Дотримуйтеся правил кібергігієни
Якими б надійними не були системи кібербезпеки, вони не зможуть повністю захистити вас, якщо колега несвідомо надав дані доступу шахраю. Більшість атак починаються з фішингу. Тому першим, найпростішим і найефективнішим кроком є створення внутрішніх правил безпеки, яких повинні дотримуватися усі співробітники, а також проведення тренінгів з кібербезпеки. Важливо обговорити з працівниками можливі ризики та новітні типи атак, навчити їх розпізнавати шахрайські електронні листи, критично ставитися до посилань і вкладень, прикріплених до електронних листів, а також домовитися про порядок дій у підозрілих ситуаціях.
Робіть резервні копії даних
Важливо регулярно створювати резервні копії даних за межами вашої інфраструктури. Наприклад, не лише робити копію папки на своєму комп’ютері, а й надсилати її в безпечне місце за межами систем компанії чи в хмару. Якщо зловмисник зламає ваш комп’ютер і отримає доступ до всіх даних, видалить або зашифрує їх, копії збережуться в безпечному місці та стануть публічними.
Використовуйте рішення, які захищають дані
Обирайте рішення безпечної передачі даних. Конфіденційні дані слід зберігати й передавати за допомогою віртуальної приватної мережі (VPN) і шифрувати пристрої зі спеціальним програмним забезпеченням. Уникайте технічних рішень, які не дозволяють використовувати багатофакторну автентифікацію (MFA). Її впровадження значно ускладнює зловмисникам доступ до систем, навіть якщо вони дізналися ваші облікові дані, тому використовуйте її всюди, де можливо. Інтернет-магазини, які приймають платіжні картки, повинні обирати постачальників платіжних послуг, що забезпечують дотримання стандарту безпеки PCI DSS (Payment Card Industry Data Security Standard).
Сегментуйте свою інтернет-мережу
Інтернет-мережу компанії обов’язково слід розділити на сегменти відповідно до її використання: Wi-Fi для клієнтів, офісного персоналу, фінансистів, систем відеоспостереження, виробничих приміщень, обладнання, персоналу ІТ-підтримки тощо. Якщо зловмисник проникне, наприклад, у виділену мережу Wi-Fi для клієнтів, він не зможе отримати доступ до фінансових даних або пристроїв відеоспостереження.
Дотримуйтеся найкращих практик кібербезпеки
Мабуть, найоптимальнішим рішенням для невеликих підприємств стане співпраця з професійним постачальником безпекових послуг. МСП можуть звернутися до великих провайдерів, які пропонують як більш дорогі комплексні рішення, так і можливість адаптації послуг відповідно до індивідуальних потреб.
Комплексні рішення забезпечують високий рівень захисту та включають різні заходи: навчання співробітників, моделювання фішингових атак, фільтрацію небажаних вебсайтів, брандмауери, багатофакторну автентифікацію, віртуальні приватні мережі, резервне копіювання даних, діагностику вразливостей. Проте незалежно від вибору — комплексний пакет чи індивідуальні рішення — важливо мати надійного партнера, який допоможе впоратися з викликами та забезпечити безпеку вашому бізнесу.