Материал Кибербезопасность малого и среднего бизнеса, портал ПЛАС

14.03.2024, 10:48

1175

Недавно было представлено первое в России исследование защищенности компаний малого и среднего предпринимательства (МСП). В исследовании приняли участие компания «Третья сторона» и Агентство стратегических инициатив. Подробнее о его результатах порталу PLUSworld рассказывает Антон Бочкарев, сооснователь компании «Третья сторона».

Кибербезопасность малого и среднего бизнеса — Фото: Предоставлено автором

Ранее никто публично не исследовал эту тему и не писал об ней, ведь все привыкли, что безопасность – дело крупного бизнеса. Однако за последнее время выяснились некоторые новые аспекты:

· МСП начали действительно часто «ломать» (45% атакованы, 15% понесли значимый ущерб);

· Информирование важно: МСП хотят понять, как работает ИБ;

· На ИБ начинают тратить после уже произошедших инцидентов;

· Более крупные МСП опасаются за системы автоматизации (АСУТП и CRM), малые — за свои сайты.

Вместе с цифровизацией набирают обороты и действия киберпреступников, получающих все новые технологические возможности и пользующихся недостаточным пониманием возможных угроз и нехваткой инструментов противодействия со стороны участников рынка. Киберпреступления каждый год наносят ущерб на триллионы долларов по всему миру.

Существенное влияние на рост числа кибератак в России оказала геополитическая ситуация. Статистические данные различных источников существенно отличаются, но все они говорят, что в 2022–2023 гг. такие атаки увеличились в несколько раз.

Одним из ключевых изменений нового времени стал серьезный рост кибератак на малые и средней предприятия (МСП). Если раньше они довольно редко становились целью злоумышленников из-за низкой экономической целесообразности, а под ударом оказывались крупный бизнес и объекты государственной критической инфраструктуры, то сейчас ситуация существенно изменилась.

Данное некоммерческое исследование подготовлено АНО «Агентство стратегических инициатив по продвижению новых проектов» совместно с ООО «Третья сторона» и является первой в России попыткой оценить защищенность субъектов малого и среднего предпринимательства, количество и последствия атак в условиях стремительного роста киберинцидентов в 2022–2023 годах.

Киберугрозы нового времени

Еще несколько лет назад действия хакеров наносили ущерб в первую очередь крупным компаниям. Сейчас угрозе подвергаются бизнесы любого размера.

В 2022 году количество инцидентов в сфере ИБ по данным Positive Technologies выросло на 20,8%. По данным «Ростелеком-Солар», основной целью злоумышленников стали государственные структуры: количество атак увеличилось в 7 раз. В то же время Group-IB оценивает рост числа финансово-мотивированных атак на российский бизнес на уровне 300%. Почти половина сегмента МСП столкнулась с кибератаками, при том что до 2022 года для злоумышленников такие компании не представляли особого интереса. Разве что – при атаках шифровальщиков, которые шли в поисках потенциальных жертв с достаточно широким неводом своих поисковиков.

Здесь можно выделить две ключевые причины: изменение геополитической обстановки, приведшее к уходу западных вендоров, и многократный рост числа кибератак в России. Одной из причин сложившейся ситуации является и нехватка специалистов в сфере ИБ. В госорганизациях ситуация еще сложнее. Всего в России, по разным оценкам, не хватает от 50 до 100 тыс. ИБ-специалистов.

Игнорирование опасности

Долгое время стратегия «игнорирования угрозы» была позволительна для МСП и в России, и в мире, так как небольшие компании взламывались достаточно редко в силу того, что такие атаки не были экономически привлекательными для киберпреступников. Впрочем, в России до 2022 года многие компании становились жертвами шифровальщиков — программ-вымогателей, создатели которых требовали деньги за восстановление зашифрованной информации.

Главные причины, по которым российские МСП все еще игнорируют ИБ-угрозы, — высокая стоимость услуг и ориентированность отрасли на крупнейшие компании, особенно на банки и других игроков финансового сектора. Работать с такими клиентами проще, прибыльнее, они традиционно тратят значительные деньги на защиту, часто покупают множество как продуктов, так и услуг.

Расходы на ИБ малого и среднего бизнеса в мире, по оценке «Лаборатории Касперского», оказались в среднем на довольно высоком уровне – 38 тыс. долл. в год (3 млн руб. по курсу на начало 2023 года).

С бюджетами на ИБ в России ситуация кардинально иная, и зачастую расходы находятся на минимальном уровне. В связи с этим на рынке не так много продуктовых решений, ориентированных на МСП.

При этом стоимость только одной проверки защищенности инфраструктуры (пентеста) в большинстве случаев составляет 1–2 млн руб. Поэтому многие МСП зачастую были вынуждены ограничиваться только самым очевидным — покупкой антивирусных программ и базовыми настройками безопасности.

Проблему дороговизны услуг можно назвать общемировой — на Западе крупный бизнес не раз платил десятки миллионов долларов за восстановление данных и тратил сопоставимые суммы на защиту, а МСП нередко несли ущерб в сотни тысяч долларов.

В 2021 году российские МСП в среднем платили 3 млн руб. за расшифровку данных, но сопоставимый бюджет на ИБ есть далеко не у всех компаний. Собственники бизнеса и менеджмент не привыкли инвестировать в информационную защиту.

Еще одна причина — слабая информированность сегмента МСП о возможных угрозах и способах защиты от них. Даже при наличии бюджета на безопасность МСП не имеют возможности грамотно им распорядиться.

Между тем с каждым годом массовая цифровизация увеличивает долю компаний, которые создают, хранят и передают данные о деятельности своего бизнеса, клиентах и партнерах. За последние два года картина для сегмента МСП сильно изменилась. Киберугрозы и последствия атак все сильнее зависят от отраслевой принадлежности бизнеса. Для технологических, производственных компаний или сектора логистики уровень угрозы и потенциальных потерь от атак гораздо выше, чем, например, для представителей сектора услуг. Причина понятна: стоимость простоя оборудования, восстановления работы парка станков или остановки грузоперевозок на несколько суток может быть критически высокой для любого бизнеса. Кроме того, мошенники активно атакуют небольшие торговые онлайн-площадки, чтобы добраться до их клиентов, а мобильные приложения — ради доступа к платежной информации.

При этом для некоторых отраслей даже сейчас стратегия «игнорирования угроз» по-прежнему является приоритетной в управленческих действиях.

Угрозы по типам атак

В современных российских реалиях эксперты выделяют три основных типа угроз для МСП.

1. Шифровальщики и программы-вымогатели.

Три года назад компания CISCO именно шифровальщиков назвала одной из главных цифровых угроз для бизнеса. Их создатели, как правило, имеют финансовую мотивацию — зашифровать данные и получить за них выкуп. Для МСП они опасны из-за возможной потери данных и остановки технологических процессов, тем более что в отличие от крупных организаций резервное копирование в МСП настроено ощутимо хуже или вовсе отсутствует. После 2022 года количество атак с использованием шифровальщиков на МСП выросло в 5 раз.

2. Действия недовольных

Основная цель — нанесение максимального ущерба. Для таких людей и организаций финансовая мотивация уходит на второй план, они выбирают жертв по принадлежности к отдельной стране, индустрии или просто атакуют бывшего работодателя.

Самым ярким примером «финансово немотивированной» атаки можно назвать взлом МосгорБТИ — государственного предприятия, которое занимается сбором и обработкой технической информации о московской недвижимости. Эта организация хранит сведения об истории перепланировок в московских квартирах. Так, получение выкупа даже в случае исключительно успешной атаки здесь было невозможным, злоумышленники это понимали, но их это не останавливало.

Точно такая же ситуация сложилась с МСП, атаковать которых для злоумышленников раньше было неразумно из-за малой стоимости выкупа. Сейчас их цель — не прибыль, а максимальный ущерб.

С подобными ситуациями регулярно сталкиваются и небольшие коммерческие компании: злоумышленники требуют от них выкуп, который может быть сопоставим с годовым оборотом компании. В некоторых случаях невозможность восстановления зашифрованных данных приводила к банкротству бизнеса.

3. Мошенничество.

Оно особенно актуально для маркетплейсов и компаний, занимающихся электронной коммерцией. Мошенники нередко получают доступ к базе клиентов и начинают звонить от имени компании, предлагая «уникальные условия» и «огромные скидки». В худшем случае они действуют заодно с действующими сотрудниками — вспоминаем историю Wildberries, когда злоумышленники продавали рекламу на продвижение товаров, имея доступ к внутренним инструментам.

Последствия атак для МСП

Киберугрозы порождают множество совершенно разных рисков для бизнеса — это прямой финансовый ущерб, репутационные потери, издержки и штрафы.

Прямые финансовые потери

По данным «Лаборатории Касперского», средний ущерб от одной кибератаки для МСП составил порядка 32 тыс. долл., причем с высокой вероятностью эта цифра в реальности несколько меньше, а общее количество успешных атак со сравнительно небольшим ущербом — больше. Успешные атаки наносят прямой ущерб бизнесу, препятствуют его нормальному функционированию и создают дополнительные затраты как на восстановление данных и инфраструктуры, так и на организацию функции информационной безопасности, включая покупку лицензий на ПО, дополнительные расходы на заработные платы и услуги сторонних подрядчиков по ИБ.

В соответствии с КоАП юрлицо могут оштрафовать на сумму до 300 тыс. руб. по ст. 13.11 за нарушение правил о персональных данных в случае повторных утечек.

В настоящее время в России используется практика минимальных либо отсутствующих штрафов за утечку персональных данных, но внимание государства к этому вопросу в скором времени может привести к ужесточению законодательства и правоприменительной практики.

Репутационные потери

Клиенты компании, которая по собственной халатности допустила утечку персональных данных, станут к ней менее лояльны.

В случае если в сеть попадет критическая клиентская информация, способность такой компании эффективно вести бизнес окажется под угрозой. Репутационные потери приводят к сокращению количества клиентов.

Особо следует отметить угрозу использования злоумышленниками зараженной компьютерной инфраструктуры жертвы для проведения дальнейших атак. В 2023 году имели место несколько примеров использования инфраструктуры отдельных

предприятий МСП для распространения вредоносного ПО, о котором владельцы систем узнавали только после визита правоохранительных органов. Применение МСП злоумышленниками «втемную» может привести не только к очевидным юридическим

последствиям, но и к изъятию оборудования в случае, если таковое использовалось для атаки на критическую инфраструктуру страны. Как правило, распространение вредоносного ПО в этой ситуации идет в автоматическом режиме, но для МСП этот факт особого значения не имеет.

МСП в России сталкиваются с недостаточностью понимания проблем киберугроз, а также опыта и компетенций по защите бизнеса. Необходимо повышать осведомленность предпринимателей, создавать условия для подготовки специалистов ИБ, обеспечить доступ к качественным и недорогим инструментам и технологиям.

К сожалению, в России сегодня сформировался некий замкнутый круг — представители малого и среднего бизнеса зачастую не понимают, как им строить ИБ, количество кибератак с каждым годом растет, а специалистов по ИБ катастрофически не хватает. В итоге в зоне риска оказываются именно небольшие компании, особенно располагающие ИT-инфраструктурой, но не имеющие возможностей для эффективной защиты.

Статистические данные:

· Порядка 45% опрошенных в ходе данного исследования компаний сталкивались с инцидентами в сфере ИБ либо кибератаками за 2023 год.

· Приблизительно 30% из компаний, столкнувшихся с ИБ-инцидентами, оценивает его как умеренный или критический.

· В 55% случаев МСП боятся нанесения репутационного ущерба как наибольшей угрозы бизнесу, реже всего (в 33% случаев) — кражи внутренних документов.