Два недавних исследования показывают, что эстонские малые и средние предприятия уделяют значительно меньше внимания кибербезопасности, чем крупные компании, и поэтому могут стать жертвой кибератак.
Владельцы и клиенты небольших интернет-магазинов чаще становятся жертвами кибератак
Исследования, организованные Национальным советом информационных систем (RIA) и Департаментом статистики Эстонии, показывают, что малые и средние предприятия (МСП) обучают своих сотрудников киберугрозам гораздо реже, чем это принято в крупных компаниях. Однако они часто начинают планировать более крупные инвестиции в кибербезопасность тогда, когда что-то действительно происходит.
- При этом предотвратить угрозы всегда дешевле, чем бороться с последствиями. Всего несколько недель назад одна компания сообщила нам, что удалось предотвратить мошенничество со счетами на сумму более миллиона евро, - рассказал Мярт Хиетамм, руководитель отдела анализа и предотвращения RIA.
По его словам, многие предприниматели довольно мало знают об угрозах, распространяющихся в киберпространстве. "Небольшие компании считают, что они недостаточно привлекательны для преступников, но на самом деле они часто становятся жертвами, потому что у них в среднем более низкий уровень безопасности", - добавил он.
Поэтому в этом году малый и средний бизнес находится в центре внимания информационной кампании RIA, которая пройдет в октябре, то есть в месяце кибербезопасности.
- Кибербезопасность - это не просто расходы на ИТ. В худшем случае кибератака может закончиться банкротством компании и оставить без работы большое количество людей, - подчеркнул Хиетамм.
Одним из самых серьезных случаев последнего времени он назвал атаку программы-вымогателя, поразившую в начале года два промышленных предприятия в Харьюмаа, в результате которой на несколько недель была серьезно нарушена работа предприятий с сотнями сотрудников.
- В своей работе мы часто видим, что кибератака может нанести ущерб не только самой компании, но и ее клиентам и деловым партнерам. Прямой экономический ущерб часто сопровождается ущербом для репутации, - заявил Хиетамм.
Примером таких рисков являются ставшие распространенными в последние годы атаки на поставщика услуг, т.е. атаки на цепочку поставок, при которых проникает, например, сеть компании, предоставляющей ИТ-услугу, а через нее и информационные системы ее клиентов.
- Мы часто видим, что ответственность и риски в цепочке поставок при предоставлении ИТ-услуги или любой другой услуги вообще не закреплены в договоре. В худшем случае даже некуда написать или позвонить, если возникнет проблема, - пояснил Хиетамм.
Недооценку киберрисков также хорошо иллюстрирует прошлогодний случай, когда Департамент реагирования на инциденты RIA (CERT-EE) обнаружил более 300 интернет-магазинов, которые использовали устаревшее программное обеспечение и, следовательно, были уязвимы к одной конкретной уязвимости безопасности. Несмотря на неоднократные напоминания, около сотни программ интернет-магазинов этим летом так и не были обновлены.
Если преступникам удастся взломать интернет-магазин, они могут установить вредоносное ПО или создать фишинговую страницу для кражи данных клиентов, включая данные банковских карт. Кроме того, халатное обращение с персональными данными может повлечь за собой крупный штраф, размер которого составляет до 20 миллионов евро или до 4% от оборота компании за предыдущий финансовый год согласно Общему регламенту ЕС о защите персональных данных.
Как защитить компанию от киберугроз?
- Знайте, какое аппаратное и программное обеспечение вы используете. Для определения потребностей компании в защите требуется четкое представление о ваших системах и о том, что происходит в ваших внутренних сетях.
- Защитите свою собственность - регулярно обновляйте программное обеспечение и устраняйте уязвимости, разумно предоставляйте права на использование, используйте брандмауэры/защиту от вирусов и т. д.
- Защитите своих сотрудников - создайте безопасную политику паролей, используйте многофакторную аутентификацию.
- Научитесь распознавать атаки - повышайте осведомленность сотрудников, обучайте своих сотрудников и регулярно проверяйте их знания.
- Узнайте, как восстановить: создайте план восстановления, убедитесь, что ваша резервная копия работает, и выполните тестовое восстановление.
- Защитите бренд - будьте в курсе угроз, защитите учетные записи (в социальных сетях), почтовые серверы и т. д.