Новости
О защищенности малого и среднего бизнеса от киберугроз
21 августа 2023
Автономная некоммерческая организация «Агентство стратегических инициатив по продвижению новых проектов» в рамках программы «Предприниматели для предпринимателей» и поддержки лидерских проектов финалистов Форума «Сильные идеи для нового времени» 2023 реализует ряд проектов, направленных на поддержку и развитие малого и среднего бизнеса, формирование и масштабирование эффективных инструментов, увеличение доступа к современным технологиям. Одним из проектов является «Кибербезопасность для МСП».
В рамках проекта проводится исследование защищенности субъектов МСП в сфере информационной безопасности. Цель исследования — оценить реальную ситуацию с безопасностью МСП, их информированность о кебругрозах, оценить частоту атак и реальный ущерб, а также понять (в зависимости от вида бизнеса), какие продукты и услуги уже используются. На основании данного опроса планируется создание тепловой карты киберугроз для МСП, а также «публичной формы самооценки» для того, чтобы каждый предприниматель мог получить необходимую статистическую информацию о защищенности и подходу к кибербезопасности схожих видов бизнеса.
Опрос проводится в период с 31 июля по 3 сентября 2023 года с использованием российского функционала Яндекс.Облако на условиях анонимности. Прохождение опроса займет не более 7-10 минут. Для участия в опросе необходимо перейти по ссылке: https://forms.yandex.ru/u/64c2738beb6146039d683abb/
Тульский областной гарантийный фонд
Разработка корпоративного сайта интернет-агентство BREVIS
Извините, но произошла ошибка во время отправки вашей заявки, позвоните по телефону или попробуйте позже отправить еще раз! Извините за неудобства!
Пожалуйста, заполните все обязательные поля *
Заявка оформлена
Ваша заявка на получение займа на бизнес успешно оформлена. Мы с вами свяжемся для уточнения информации в ближайшее время, спасибо!
По любым вопросам звоните по телефону:
+7 (4872) 52-20-71
Извините, но произошла ошибка во время отправки вашего вопроса, позвоните по телефону или попробуйте позже отправить еще раз! Извините за неудобства!
Пожалуйста, заполните все обязательные поля *
Вопрос отправлен
Спасибо за ваш вопрос! Мы ответим вам на указанный email!
По любым вопросам вы также можете позвонить по телефону:
+7 (4872) 25-75-61
Бизнес под ударом: как защитить компанию от киберугроз
Пандемия COVID-19 запустила новую волну угроз на рынке кибербезопасности. Переход на удаленную работу и бум цифровых сервисов мобилизовали киберпреступников.
По оценкам Всемирного экономического форума (ВЭФ), глобальные потери от киберпреступлений, совершаемых против государственных организаций, коммерческих предприятий и отдельных граждан, составляют $600 млрд в год. Этот показатель постоянно растет и, по прогнозам ВЭФ, составит $5,2 трлн суммарно за период 2019–2023 годов. «Это сделает киберпреступления одним из наиболее разрушительных для глобальной экономики типом преступлений», — отмечает менеджер практики кибербезопасности и непрерывности бизнеса PwC в России Михаил Толчельников.
Количество инцидентов, регистрируемых в 2021 году центром мониторинга кибератак компании «Информзащита», выросло более чем в полтора раза по сравнению с аналогичным периодом 2020 года. «Растет не только уровень сложности атак, но и их скорость, тенденция будет сохраняться соразмерно темпу цифровизации организаций и повсеместного внедрения и развития технологий», — отмечает директор центра противодействия кибератакам компании «Информзащита» Иван Мелехин.
Согласно результатам международного исследования консалтинговой компании EY по информационной безопасности за 2021 год, 81% респондентов-руководителей отмечают, что из-за пандемии COVID-19 и бюджетных ограничений компании не уделяют должного внимания управлению киберрисками. Существенный рост числа киберугроз и последствий от их реализации связан с повсеместным распространением удаленного или гибридного форматов работы. «В период пандемии структурные подразделения ИТ и информационной безопасности (ИБ) фокусировались в большей степени на увеличении существующих мощностей и масштабируемости компонентов ИТ-инфраструктуры, развитии ландшафта технических средств и выборе новых, зачастую нестандартных, инструментов коллаборации», — поясняет директор практики консалтинга, услуг в области управления рисками ИТ и кибербезопасности EY Андрей Абашев. На этом фоне хакерские атаки становились более изощренными, а достигаемый негативный эффект распространяется теперь уже не только на компанию-жертву, но и на всю цепочку поставок или экосистему, частью которой она является.
В «Лаборатории Касперского» также отмечают рост числа кибератак за последнее время. Здесь ежедневно обнаруживают до 350 тыс. новых образцов вредоносных программ, и этот показатель продолжает расти. В числе наиболее дорогостоящих для крупного бизнеса киберинцидентов — электронные утечки данных из внутренних систем, целевые атаки, утечки, вызванные атаками вредоносного ПО на мобильные устройства сотрудников или произошедшие вследствие физической их потери. А для малого и среднего бизнеса наиболее дорогостоящими в 2021 году, по данным «Лаборатории Касперского», стали инциденты, вызванные несоблюдением внутренних ИБ-политик, атаки вирусов-майнеров, инциденты на стороне партнеров, с которыми компания обменивается информацией, а также атаки на филиалы.
По мнению более чем 60% респондентов, опрошенных PwC в рамках исследования 2022 Global Digital Trust Insights Survey, число киберпреступлений продолжит расти. «Предполагается, что основными мишенями станут мобильные устройства, интернет вещей, облачные сервисы. При этом также можно ожидать существенного роста атак на цепочки поставок, включая технологические поставки и ПО», — считает Михаил Толчельников.
Проблемные зоны
В центре мониторинга «Информзащиты» фиксируют в настоящий момент три основных тренда, связанных с киберрисками, — промышленный шпионаж (18% от общего количества инцидентов), программы-вымогатели (27%) и майнеры криптовалюты (36%). Самые серьезные последствия и сложные техники атак демонстрируют APT-группировки при попытках шпионажа, направленного на крупные промышленные предприятия и госсектор. «Растет активность программ-вымогателей, набирает обороты так называемый Big Game Hunting — атаки на крупные компании в целях получения выкупа, появляются коллаборации кибергруппировок», — перечисляет Иван Мелехин.
По словам Михаила Толчельникова, злоумышленники продолжат держать в фокусе атак предприятия финансовой сферы, а также организации с высокой степенью зависимости от доступности их цифровых сервисов или наличием существенного объема интеллектуальной собственности. Среди основных методов воздействия — повреждение цифровой инфраструктуры, захват вычислительных мощностей, разрушение цепочки поставок и создание потоков дезинформации.
«Стоит разделить кибермошенничество по типам мотивации: коммерческие кибератаки в целях наживы (составляют подавляющее большинство), а также более редкие и сложные целевые атаки и кибершпионаж», — поясняет управляющий директор по России и СНГ «Лаборатории Касперского» Михаил Прибочий. В первом случае отрасль для мошенников не играет роли: чем крупнее компания и чем более уязвима ее система безопасности, тем больше у нее шансов стать жертвой кибератаки. Во втором — злоумышленников интересуют государственные структуры, научно-исследовательские и конструкторские предприятия, объекты критической инфраструктуры, крупные центры хранения и обработки данных, военные объекты. При этом количественно эти атаки занимают единицы процентов от всего объема киберугроз.
Возможности защиты
По результатам проведенного EY в 2021 году международного опроса директоров по рискам, лишь 9% респондентов уверены в том, что существующие в их организации меры по минимизации киберрисков способны защитить от серьезных кибератак (по сравнению с 20% в 2020 году). 58% опрошенных заявили, что их компания внедряет новые технологии в сроки, которые не позволяют провести надлежащую оценку киберрисков или осуществлять эффективный надзор за ними.
Усилить устойчивость бизнеса по отношению к киберугрозам поможет развитие риск-ориентированной культуры, повышение зрелости функции управления киберрисками, а также установление прозрачной коммуникации как между советом директоров и службой киберзащиты, так и при взаимодействии с бизнес-партнерами и третьими лицами, включенными в цифровую платформу компании, считает Михаил Толчельников.
Компаниям необходимо постоянно укреплять и совершенствовать свою инфраструктуру безопасности, используя современные комплексные защитные решения, отмечает Михаил Прибочий: «В числе таких решений, к примеру, сервисы безопасного доступа, с помощью которых можно собирать данные телеметрии из сетевого трафика, останавливать атаки в периметре и сети». Также, по мнению эксперта, важно развернуть расширенную систему обнаружения и устранения угроз, которая сможет в автоматическом режиме реагировать на инциденты на всех конечных устройствах.
Приобретением любого количества продуктов для кибербезопасности в настоящее время защититься от атак практически невозможно. В первую очередь необходимы высококвалифицированные специалисты, способные выявлять атаки и противостоять хакерам, дополняет Иван Мелехин. Здесь, по его мнению, для большинства организаций наиболее простым выходом будет обратиться к MSSP-провайдерам, которые в рамках сервисной модели предоставляют необходимые продукты и услуги квалифицированного персонала.
«Применение подхода, когда служба информационной безопасности является одним из ключевых участников этапа планирования бизнес-инициатив, позволяет заранее продумать элементы контрольной среды, а использование концепции нулевого доверия существенно повысит уровень кибербезопасности при взаимодействии информационных систем как внутри компании, так и с системами других участников цепочки поставок», — резюмирует Андрей Абашев.
Кибербезопасность с человеческим лицом: как донести проблему до каждого
Пандемия обострила многие проблемы бизнеса, включая кибербезопасность. Работая удаленно, компаниям сложнее защитить свои данные от киберугроз. Но что если составить инструкции с учетом личных особенностей сотрудников?
Об исследовании
На онлайн-форуме «Открытые инновации» Джон Хэкстон, глава отдела интеллектуального лидерства The Myers-Briggs Company, представил исследование, посвященное проблемам кибербезопасности. Коллеги Хэкстона опросили более 500 респондентов напрямую, а также через LinkedIn, Facebook и онлайн-форумы. Они задавали им вопросы о кибербезопасности и хакерских атаках, а затем сопоставили данные с полом, возрастом, родом занятий и особенностями личности. Проанализировав взаимосвязи, авторы исследования вывели определенные закономерности. На их основе они разработали индивидуальные инструкции по кибербезопасности, которые, по их словам, работают эффективнее, чем стандартные.
Киберугрозы выходят на первый план
По данным Cyberedge Group, в 2019 году 78% ИТ-специалистов сообщали о кибератаках. Опрос The Myers-Briggs Company дает цифру в 64%. Во время пандемии ситуация ухудшилась: работая дома, сотрудники не соблюдают элементарных мер защиты данных, а мошенники активно используют новые схемы. При этом нагрузка на ИТ-поддержку возросла, а доступ к ней заметно усложнился.
- Синтаксические — те, что используют технические несовершенства и уязвимости в ПО и системах защиты персональных данных.
- Семантические — те, что опираются на манипуляции людьми с опорой на психологию.
«Человеческий фактор» в последнее время выходит на первый план: помимо самих злоумышленников, данные компаний страдают из-за того, что их сотрудники не соблюдают элементарных правил при работе с компьютерами и ПО.
Именно с этим «слабым звеном» и нужно работать в первую очередь — считают авторы исследования The Myers-Briggs Company.
Самые распространенные ошибки
Вот что чаще всего делают опрошенные авторами исследования:
- Используют простой пароль — включая кличку животного, дату рождения или девичью фамилию.
- Используют один и тот же пароль для нескольких сервисов и устройств, не меняя его длительное время.
- Сохраняют логины и пароли от своих аккаунтов на других компьютерах. Сообщают свои пароли членам семьи или коллегам.
- Вводят свои данные на сайтах, которые не гарантируют их защиту — без SSL, https: или значка «замок» в адресной строке.
- Не устанавливают или не обновляют антивирусное ПО.
- Используют публичные Wi-Fi-сети.
Как отвечали респонденты на вопросы о кибербезопасности (Фото: The Myers-Briggs Company)
Кто больше подвержен кибератакам?
Исследование показало, что нет существенной взаимосвязи между соблюдением мер кибербезопасности и групповыми особенностями опрашиваемых: такими, как страна, пол, возраст или сфера деятельности.
Но некоторые отличия все же есть. Так, люди старшего возраста, в среднем, показали себя лучше, чем молодые. Те, кто уже сталкивался с сетевыми мошенниками или фишингом ведут себя гораздо осмотрительнее. Англичане и сотрудники крупных компаний (500+ человек) реже сообщают свой пароль близким, чем американцы и сотрудники небольших организаций. Те, кто работает полный рабочий день сталкиваются с атаками чаще, чем те, кто занят частично.
Также на проблемы с кибербезопасностью существенно влияет и то, как близок сотрудник к ИТ-сфере и насколько хорошо работает ИТ-поддержка в его компании.
Разница между тем, как относятся к кибербезопасности ИТ-специалисты и остальные (Фото: The Myers-Briggs Company)
А вот личные особенности влияют гораздо больше. Чтобы оценить это, авторы применили методику MBTI.
Что такое MBTI-методика и как она работает?
MBTI — Myers–Briggs Type Indicator, типология Майерс — Бриггс — типология личности, которая возникла в 1940-е годы в Европе и США на базе типологии Юнга.
В ее основе — четыре шкалы с полярными значениями:
1. E—I — ориентация сознания:
- Е (Еxtraversion, экстраверсия) — ориентация сознания наружу, на объекты,
- I (Introversion, интроверсия) — ориентация сознания внутрь, на субъекта;
2. S—N — способ ориентировки в ситуации:
- S (Sensing, ощущение) — ориентировка на материальную информацию,
- N (iNtuition, интуиция) — ориентировка на интуитивную информацию;
3. T—F — основа принятия решений:
- T (Thinking, мышление) — логическое взвешивание альтернатив;
- F (Feeling, чувство) — принятие решений на эмоциональной основе этики;
4. J—P — способ подготовки решений:
- J (Judging, суждение) — рациональное предпочтение планировать и заранее упорядочивать информацию,
- P (Perception, восприятие) — иррациональное предпочтение действовать без детальной предварительной подготовки, больше ориентируясь по обстоятельствам.
Объединяя буквенные значения шкал, методология выделяет 16 типов личности: ENTP, ISFJ и так далее. Ежегодно более 2 млн человек проходят опросы на базе MBTI, а в США ее используют, чтобы помочь выпускникам школ с выбором профессии.
Как тип личности влияет на поведение в сети
Изучая рекомендации по кибербезопасности, авторы исследования опирались, в частности, на программу «Основы кибербезопасности» правительства Великобритании (Национальный центр кибербезопасности, 2019 год), научные статьи (например, Sotira, 2018 год) и руководства коммерческих организаций.
На основе этих правил они вывели три главных подхода к кибербезопасности (по убыванию):
- Строгое следование правилам.
- Защита паролей и устройств.
- Игнорирование мер кибербезопасности.
Три разных подхода к кибербезопасности (Фото: The Myers-Briggs Company)
Аналитики The Myers-Briggs Company пришли к выводу, что тип личности по MBTI — ключ к тому, какого из трех подходов придерживается человек.
Как выглядит связь между типом личности и соблюдением мер безопасности (Фото: The Myers-Briggs Company)
К примеру, экстраверты охотнее предоставляют любую информацию в ответ на письма и сообщения, а интроверты относятся к ним осторожнее. Те, кто больше опирается на ощущения по шкале S–N и суждения по шкале J–P, более дисциплинированны по части кибербезопасности, чем их противоположности.
Люди с предпочтениями ISTJ хорошо усваивают негативный опыт. Поэтому они вряд ли во второй раз поддадутся на манипуляции мошенников. А вот ISFJ или ESFP — наоборот, слишком доверчивы и запросто перейдут по фишинговой ссылке.
Как компаниям защитить себя от кибератак?
Авторы исследования советуют уделить внимание сетевой грамотности сотрудников, ввести периодическую смену паролей и требования их повышенной сложности, а также регулярно обновлять ПО и устанавливать надежное шифрование всех локальных ресурсов.
Какие шаги нужно предпринять компаниям в рамках кибербезопасности (Фото: The Myers-Briggs Company)
Но главный вывод — в том, что сотрудников необходимо тестировать по методике MBTI и выдать каждому персональные инструкции, на основе его типа личности.
Пример инструкции по кибербезопасности для типа INTP (Фото: The Myers-Briggs Company)
Это поможет добиться максимального отклика даже от тех, кто ничего не знает о фишинге и кибермошенниках.
Подписывайтесь также на Telegram-канал РБК Тренды и будьте в курсе актуальных тенденций и прогнозов о будущем технологий, эко-номики, образования и инноваций.
При подготовке материала использовались источники:
https://xn--c1avlk.xn--p1ai/news/o-zashchishchennosti-malogo-i-srednego-biznesa-ot-kiberugroz/
https://plus.rbc.ru/news/619a7fd37a8aa971c8028ec5
https://trends.rbc.ru/trends/industry/5fa460199a7947a946d4b37e