Владельцы и клиенты небольших интернет-магазинов чаще становятся жертвами кибератак

Исследования, организованные Национальным советом информационных систем (RIA) и Департаментом статистики Эстонии, показывают, что малые и средние предприятия (МСП) обучают своих сотрудников киберугрозам гораздо реже, чем это принято в крупных компаниях. Однако они часто начинают планировать более крупные инвестиции в кибербезопасность тогда, когда что-то действительно происходит.

- При этом предотвратить угрозы всегда дешевле, чем бороться с последствиями. Всего несколько недель назад одна компания сообщила нам, что удалось предотвратить мошенничество со счетами на сумму более миллиона евро, - рассказал Мярт Хиетамм, руководитель отдела анализа и предотвращения RIA.

По его словам, многие предприниматели довольно мало знают об угрозах, распространяющихся в киберпространстве. "Небольшие компании считают, что они недостаточно привлекательны для преступников, но на самом деле они часто становятся жертвами, потому что у них в среднем более низкий уровень безопасности", - добавил он.

Поэтому в этом году малый и средний бизнес находится в центре внимания информационной кампании RIA, которая пройдет в октябре, то есть в месяце кибербезопасности.

- Кибербезопасность - это не просто расходы на ИТ. В худшем случае кибератака может закончиться банкротством компании и оставить без работы большое количество людей, - подчеркнул Хиетамм.

Одним из самых серьезных случаев последнего времени он назвал атаку программы-вымогателя, поразившую в начале года два промышленных предприятия в Харьюмаа, в результате которой на несколько недель была серьезно нарушена работа предприятий с сотнями сотрудников.

- В своей работе мы часто видим, что кибератака может нанести ущерб не только самой компании, но и ее клиентам и деловым партнерам. Прямой экономический ущерб часто сопровождается ущербом для репутации, - заявил Хиетамм.

Примером таких рисков являются ставшие распространенными в последние годы атаки на поставщика услуг, т.е. атаки на цепочку поставок, при которых проникает, например, сеть компании, предоставляющей ИТ-услугу, а через нее и информационные системы ее клиентов. 

- Мы часто видим, что ответственность и риски в цепочке поставок при предоставлении ИТ-услуги или любой другой услуги вообще не закреплены в договоре. В худшем случае даже некуда написать или позвонить, если возникнет проблема, - пояснил Хиетамм.

Недооценку киберрисков также хорошо иллюстрирует прошлогодний случай, когда Департамент реагирования на инциденты RIA (CERT-EE) обнаружил более 300 интернет-магазинов, которые использовали устаревшее программное обеспечение и, следовательно, были уязвимы к одной конкретной уязвимости безопасности. Несмотря на неоднократные напоминания, около сотни программ интернет-магазинов этим летом так и не были обновлены.

Если преступникам удастся взломать интернет-магазин, они могут установить вредоносное ПО или создать фишинговую страницу для кражи данных клиентов, включая данные банковских карт. Кроме того, халатное обращение с персональными данными может повлечь за собой крупный штраф, размер которого составляет до 20 миллионов евро или до 4% от оборота компании за предыдущий финансовый год согласно Общему регламенту ЕС о защите персональных данных.

Как защитить компанию от киберугроз?

• Знайте, какое аппаратное и программное обеспечение вы используете. Для определения потребностей компании в защите требуется четкое представление о ваших системах и о том, что происходит в ваших внутренних сетях.
• Защитите свою собственность - регулярно обновляйте программное обеспечение и устраняйте уязвимости, разумно предоставляйте права на использование, используйте брандмауэры/защиту от вирусов и т. д.
• Защитите своих сотрудников - создайте безопасную политику паролей, используйте многофакторную аутентификацию.
• Научитесь распознавать атаки - повышайте осведомленность сотрудников, обучайте своих сотрудников и регулярно проверяйте их знания.
• Узнайте, как восстановить: создайте план восстановления, убедитесь, что ваша резервная копия работает, и выполните тестовое восстановление.
• Защитите бренд - будьте в курсе угроз, защитите учетные записи (в социальных сетях), почтовые серверы и т. д.