Статью подготовила Павлова Елена Геннадиевна, доцент кафедры «Макроэкономическое регулирование» Финансового университета при Правительстве РФ. Связаться с автором
На основании проводившихся исследований эксперты пришли к выводу, что около 50% компаний малого и среднего бизнеса могут в настоящее время пострадать от кибератак мошенников.
В статье рассмотрим, что представляет собой кибербезопасность и как малым компаниям защитить себя в 2025 г.
Что такое кибербезопасность, в чем ее значение для малого бизнеса
Кибербезопасность надо отличать от информационной безопасности Информационная безопасность направлена на защиту любой информации бизнеса — как электронной, так и иной.
Кибербезопасность является видом информационной безопасности. Она охватывает защиту технических систем от кражи, взлома или блокировки электронных данных. Например, при взломе злоумышленником доступа к видеокамерам склада или же в случае, когда бухгалтер открыл подозрительное письмо и ссылку все компьютеры в офисе могут быть заблокированы.
В чем состоит опасность кибератак для бизнеса? Злоумышленники могут преследовать разные цели: завладеть данными о клиентах, сделках, партнерах; остановить работу сервиса, компании; вымогать или украсть деньги; нанести репутационный ущерб; получить доступ к данным третьих лиц. При этом важно учитывать, что исполнитель кибератаки не всегда является ее заказчиком. Например, получить данные о сделках, клиентах и партнерах могут исполнители-хакеры по заказу конкурента.
Из-за атаки сайт или приложение бизнеса перестает работать. Остановка работы может быть частичной или полной. Тогда, например, покупатель может открыть сайт интернет-магазина, а заказать товар уже не получится. Опасность для бизнеса в том, что с остановкой сервиса встает и работа бизнеса: прекращаются продажи и логистика.
Вымогательство. Злоумышленники блокируют сайты, компьютеры и предлагают бизнесу заплатить за разблокировку.
Репутационный ущерб состоит в том, чтобы украсть и опубликовать данные компании с целью испортить отношение к ней клиентов и партнеров.
Доступ к данным третьих лиц. В этом случае атакованный бизнес становится посредником. Мошенниками хотят получить доступы к системам других компаний. Пример: атака на производителя программного обеспечения. Злоумышленники заражают вирусом программу, чтобы получить доступы к компаниям, которые установят эту программу.
Стать жертвой кибератаки может любой бизнес.
Малый бизнес интересен тем, что он менее защищен, чем крупный. У малых компаний и предпринимателей часто нет отдельных сотрудников, которые следят за кибербезопасностью, а из программ защиты установлен только антивирус. При этом на счетах малого бизнеса больше денег, чем у физических лиц, кроме того есть данные других компаний, которые можно атаковать по цепочке. Еще малый бизнес часто попадает и под нецелевые атаки, когда злоумышленники пытаются взломать сразу несколько случайных ресурсов. После атаки они изучают, что именно удалось сломать и какую выгоду из этого можно извлечь.
Виды кибератак
Какие виды кибератак встречаются наиболее часто? К самым популярным типам атак, которым подвержены компании, относятся: DoS- и DDoS-атаки; шифровальщики, или программы-вымогатели; атака на цепочку поставок; фишинг; спуфинг; атаки Man-in-the-Middle.
DoS- и DDoS-атаки имеют целью вывести из строя электронную инфраструктуру бизнеса. Например, заблокировать работу с интернет-заказами. Для этого злоумышленники перегружают сайт запросами, с которыми последний не справляется и перестает работать. Защититься от DDoS-атак помогают специальные сервисы защиты. К примеру, сервис от Kaspersky, StormWall, Yandex DDoS Protection или DDoS-Guard. Подобрать оптимальный сервис защиты можно, сравнивая предложения на сайтах компаний.
Шифровальщики и программы-вымогатели. Это вирусы и программы, которые блокируют работу техники. За разблокировку мошенники требуют деньги. Шифровальщик может попасть в системы компании разными способами. Чаще всего это происходит через электронные письма — фишинг — или установку заведомо зараженной программы. Если шифровальщик уже попал в системы и запущен, защититься от него сложно. Но можно заблаговременно принять меры, чтобы не потерять данные и восстановить их на «чистых» компьютерах. Для этого необходимо чаще делать резервные копии баз данных и сайтов и следить, не сделаны ли копии с уже зараженной инфраструктуры. За это в компании может отвечать системный администратор.
Атака на цепочку поставок решает задачу проникнуть в инфраструктуру конечной компании-жертвы с целью вымогательства, кражи данных или блокировки систем. Один из вариантов — установка зараженного программного обеспечения. Бывает, что производитель ПО не замечает, что в его сеть проникли хакеры и заразили код программы вирусом. Либо же атаке подвергается подрядчик, с которым работает компания. Полностью защититься от этого способа атаки сложно. Снизить риски может помочь следующее: внимательно выбирать подрядчиков: узнавать, как подрядчик защищает свои системы от кибератак; контролировать и ограничивать доступ подрядчиков к системам бизнеса. Дополнительно можно предусмотреть в договоре с подрядчиком штраф в случае кибератаки по его вине.
Фишинг. Цель атаки — заразить инфраструктуры бизнеса и украсть данные сотрудников. Например, логинов и паролей к внутренним системам компании, банковским кабинетам. Приходит такая атака чаще всего в виде email-рассылки, СМС. Хакеры маскируются под известные сервисы и от их имени предлагают пройти по ссылке, зарегистрироваться, ввести логин и пароль, перевести деньги.
Чтобы фишинг сработал, нужно выполнить какое-то действие: нажать кнопку, перейти по ссылке, скачать и запустить файл.
Есть специальные сервисы для защиты от фишинга, но они не дают стопроцентной защиты. Эффективнее всего защититься от атаки поможет обучение сотрудников. Например, в компании можно провести вебинар или лекцию с приглашенным экспертом по кибербезопасности, подготовить памятки по тому, как отличить письма мошенников от писем партнеров. Необходимо сообщить сотрудникам, к кому в компании они могут обратиться с вопросом, если увидят подозрительное письмо, ссылку или сайт. Еще можно найти решения для частичной защиты почтовых ящиков. Например, существует т.н. сервис-песочница, которая проверяет все файлы и ссылки из писем, которые приходят на почту. Однако у мошенников имеются механизмы обхода таких песочниц: в частности, вирус или вредоносный файл в письме активируются не сразу, а спустя некоторое время, когда письмо уже пройдет фильтр песочницы.
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
Спуфинг преследует цель получить доступ к данным. Спуфингом называют попытку мошенников заставить жертву выдать конфиденциальную информацию. Например, мошенник звонит от имени банка и просит определенные данные. Эта атака похожа на фишинг тем, что тоже построена в большей степени на психологических уловках и на обмане, поэтому технических средств защиты от нее нет. Помочь может лишь обучение сотрудников.
Атака Man-in-The-Middle осуществляется в целях перехватить данные. Затем их могут передать третьим лицам или изменить. К примеру, заменять адреса доставки, данные карт, реквизитов.
Для защиты от этого типа атак бизнесу стоит работать с защищенным VPN. Настроить его поможет специалист по кибербезопасности. Если VPN нет, а сотрудник работает в общественных местах и подключается к локальному Вайфай, лучше это делать с 4G-модемом. Также стоит избегать сайтов с незащищенным трафиком. Понять, что сайт не защищен, можно по отметке в браузере или адресу в ссылке — http:// вместо защищенного https://.
Как бизнесу защититься от кибератак?
Одного надежного способа защититься от всех атак киберпреступников нет. Существует комплекс мер, который даст возможность минимизировать риски.
Установка программ для защиты от кибератак. Это не только антивирусные программы, но и расширенные сервисы по защите бизнеса от конкретного типа атак. Такие программы предлагают Kaspersky, Positive Technologies и другие сервисы в сфере киберзащиты.
Аудит технических и электронных систем компании. Проводить аудит рекомендуется как минимум каждый год, даже если в компании есть специалист по кибербезопасности. Иногда для экономии бизнес может привлекать к задачам кибербезопасности системного администратора или разработчика. Но у таких специалистов может не быть нужной компетенции и опыта работы с кибератаками. В случае реальной угрозы такой сотрудник вряд ли поможет. Для аудита лучше приглашать третью независимую сторону, которая проверит степень защиты бизнеса и предложит рекомендацию по улучшению. Стоимость аудита или услуг по обеспечению кибербезопасности бизнеса зависит от масштабов бизнеса, сложности его инфраструктуры, сферы работы.
Использование лицензированного программного обеспечения. Компании малого предпринимательства часто приобретают только небольшое количество лицензированных программ, на которых основывается работа бизнеса. При этом сотрудники могут устанавливать на рабочие компьютеры и ноутбуки дополнительные сервисы, например, скачивать редакторы для работы с файлами. Важно объяснить команде, что можно работать только с лицензированными программами и рассказать сотрудникам, к кому они могут обратиться при намерении установить дополнительный софт на компьютер.
Обучение сотрудников. Не достаточно проводить обучение только скинув статью о кибербезопасности в чат или отправив рассылку с рекомендациями. Лучше пригласить стороннего специалиста, который проведет лекцию или курс по кибербезопасности, а потом провести небольшое тестирование, чтобы убедиться, что команда запомнила основные рекомендации. Юридическая защита в сфере кибератак работает слабо. Найти конечных исполнителей атак и доказать их вину практически невозможно, потому что часто хакеры атакуют из других стран. Компания может предусмотреть штрафы в договоре с подрядчиком, если по его вине бизнес подвергнется кибератаке. Однако ущерб от атаки может быть куда серьезнее штрафа, вплоть до приостановки работы бизнеса из-за технических проблем.
Чтобы опередить хакеров, нужна новейшая сводная информация об их методиках и сценариях. Раньше такие данные можно было получить от зарубежных компаний. Сейчас уже существуют российские продукты со свежей аналитикой уязвимостей, описанием тактик и процедур кибератак и результатами тестирования ПО. Доступ к такой информации поможет компаниям создать действенную стратегию защиты.
В последние годы предприятия малого и среднего бизнеса наряду с крупным все активнее используют цифровые технологии для удаленной работы, производства и продаж. Но, в отличие от крупных организаций, малые и средние компании не всегда уделяют столько же внимания кибербезопасности.
Малый бизнес может быть даже более уязвим для кибератак. У небольших компаний, в отличие от крупных, не хватает ресурсов для защиты от киберугроз. Они меньше тратят на кибербезопасность и чаще используют устаревшее программное обеспечение, которое больше не поддерживается. Из-за этого они становятся легкой мишенью для злоумышленников.
Также сотрудники небольших компаний чаще используют для работы личные устройства. Это дает возможность сэкономить время и деньги, но повышает вероятность стать жертвой кибератаки, так как личные устройства хуже защищены от вредоносного ПО.
Что мотивирует злоумышленников атаковать малый бизнес?
Главный мотив – финансовая выгода. Лишь немногие злоумышленники руководствуются желанием подорвать работу компании или отомстить кому-то. Большинство просто гонится за деньгами.
Иногда атакующие намереваются использовать компьютеры компании в качестве ботов для проведения DDoS-атаки (атаки типа «отказ в обслуживании»). Принцип действия DDoS-атак – генерирование огромных объемов веб-трафика, мешающего нормальной работе сервиса. Скомпрометированные компьютеры присоединяются к армии ботов, направляющих в сеть компании избыточный трафик.
Малая компания может быть связана с другими организациями через цифровые каналы для совершения транзакций, управления цепочками поставок и обмена информацией. Так как в сети крупных компаний проникнуть сложнее, злоумышленники иногда используют лазейки в сетях более мелких компаний для проникновения в систему их старших партнеров.
Существует риск и для сотрудников. Если конфиденциальные данные сотрудников, например личные дела из отдела кадров, дни рождения и финансовая информация, будут украдены злоумышленниками, эти сотрудники могут стать жертвами кражи цифровой личности и других методов киберпреступников.
Как оценить уязвимости и риски?
Всесторонняя оценка текущего состояния кибербезопасности компании - это процесс, который состоит из нескольких ключевых этапов:
Аудит существующих систем безопасности. Необходимо провести тщательную инвентаризацию всех имеющихся систем, инструментов и политик безопасности. Это помогает понять, какие механизмы защиты уже существуют и насколько они эффективны.
Оценка потенциальных рисков. Этот этап включает определение активов компании, наиболее подверженных угрозам. Например, это могут быть серверы с конфиденциальной информацией, финансовые данные или персональные данные сотрудников и клиентов. Важно выявить, какие риски для этих активов наиболее вероятны (вирусы, атаки через сети, фишинг, социальная инженерия и т.д.).
3)Проведение пентестов. Проверки на проникновение или, так называемые пентесты, — это имитация реальных атак на систему для выявления ее уязвимостей. Важно использовать как внешние, так и внутренние пентесты, чтобы учесть как внешние угрозы, так и возможные ошибки внутри компании.
5)Мониторинг сети и систем. После проведения аудита важно внедрить систему мониторинга, которая позволит отслеживать любые аномалии или подозрительную активность. Такие решения, как системы обнаружения и предотвращения вторжений (IDS/IPS), помогут автоматизировать процесс выявления угроз и снизить риски.
Оценка уязвимостей должна проводиться на регулярной основе, так как угрозы и риски постоянно меняются. Это позволяет своевременно обновлять системы и политики безопасности, повышая общий уровень защиты.
Как кибератаки влияют на малый бизнес и что советуют делать эксперты?
Кибератака способна разрушить бизнес: 60% небольших компаний, ставших жертвами атаки, закрываются в течение полугода после инцидента. Это худший вариант развития событий. Другие последствия могут быть также очень неприятными:
финансовые потери вследствие кражи банковских данных;
финансовые потери из-за нарушения бизнес-процессов;
высокие расходы на устранение угроз в сети компании;
репутационный ущерб после информирования клиентов о компрометации их данных.
Необходимо своевременно обновлять программное обеспечение.
Регулярно делать резервные копии файлов. Можно использовать программу, которая будет автоматически создавать резервные копии файлов и отправлять их в хранилище. В случае атаки можно восстановить все файлы из этих резервных копий. Лучше выбрать программу, которая позволяет настроить расписание автоматического резервного копирования и освобождает людей от этой рутинной работы. Сохранять резервные копии следует в хранилище, не подключенном к сети, чтобы они не оказались зашифрованными или заблокированными в случае атаки с использованием шифровальщика.
Необходимо зашифровывать важную информацию.
Если компания регулярно имеет дело с данными банковских карт и счетов или другой конфиденциальной информацией, рекомендуется использовать программу, обеспечивающую шифрование данных. Шифрование заменяет данные, хранимые на устройстве, на нечитаемый код и таким образом защищает их.
Даже в случае кражи данных злоумышленники не смогут извлечь из них выгоды без ключей для расшифровки.
Важно также максимально ограничить количество сотрудников компании, имеющих доступ к критически важным данным.
Нужно использовать сильные пароли.
Следует проверить, что все сотрудники используют надежные пароли на всех устройствах, на которых хранится конфиденциальная информация. Надежный пароль включает минимум 15 символов, в идеале – больше, и содержит заглавные и строчные буквы, цифры и специальные символы. Чем сложнее пароль, тем меньше вероятность того, что его можно будет подобрать путем перебора. Кроме того, рекомендуется не реже чем раз в квартал менять пароли. В качестве дополнительной меры небольшим компаниям специалисты советуют внедрить многофакторную аутентификацию (MFA) для входа на устройства сотрудников и в приложения.
Надежные, уникальные для каждого устройства или учетной записи пароли трудно запоминать. Необходимость вспомнить и ввести длинный пароль при каждом входе может замедлять работу. Поэтому многие компании используют инструменты для управления паролями – менеджер паролей.
Менеджер паролей сохраняет пароли, автоматически генерирует имя пользователя, пароль или даже ответы на контрольные вопросы, необходимые для входа на веб-сайты или в приложения. Пользователям нужно запомнить только один PIN-код или мастер-пароль для доступа к хранилищу учетных данных. Многие менеджеры паролей предупреждают пользователей не использовать слабые или повторяющиеся пароли и регулярно напоминают о необходимости заменить их.
Помогает также использование сетевого экрана. Он защищает устройства и программное обеспечение. Это необходимо любой компании, использующей собственные физические серверы. Сетевой экран также блокирует вирусы и не дает им попасть в корпоративную сеть. Этим он отличается от антивируса, который защищает программное обеспечение от вирусов, уже проникших в сеть.
Сетевой экран защищает трафик в сети компании – как входящий, так и исходящий. Он может блокировать определенные веб-сайты и таким образом не давать атаковать сеть. Также можно настроить ограничения на передачу конфиденциальной информации и отправку конфиденциальных писем из сети компании.
Установив сетевой экран, нужно поддерживать его в актуальном состоянии. Регулярно проверять и устанавливать последние обновления программного обеспечения и прошивки.
Рекомендуется использовать виртуальную частную сеть (VPN), которая обеспечивает дополнительный уровень защиты бизнеса. VPN позволяет сотрудникам компании безопасно использовать корпоративную сеть во время удаленной работы или командировки. Она создает промежуточное безопасное соединение между текущим подключением и веб-сайтом или онлайн-службой, которые нужно использовать, чтобы защитить данные и IP-адрес. Такие решения особенно полезны при нахождении в сетях общего доступа, которые легко могут взломать киберпреступники: в кофейнях, аэропортах, на съемных квартирах. Безопасное соединение не позволяет получить доступ к данным, которые хотят украсть.
Важно внедрить в компании защиту от физической кражи. Украсть можно не только данные из сети, но и само оборудование. Нужно ограничить доступ людей без соответствующих разрешений к корпоративным устройствам: ноутбукам, компьютерам, сканерам и т. д. Меры могут включать в себя физическую защиту устройства или установку аппаратного трекера, который позволит найти устройство в случае потери или кражи.
Если устройство используют несколько сотрудников, для дополнительной защиты следует создать для них разные учетные записи и профили. Кроме того, рекомендуется настроить удаленную очистку данных, чтобы можно было быстро удалить информацию на потерянном или украденном устройстве.
Следует помнить и о мобильных устройствах, которые создают дополнительные сложности для обеспечения безопасности, особенно если на них хранится конфиденциальная информация или они используются для доступа в корпоративную сеть. Необходимо сказать сотрудникам, чтобы они установили на мобильных устройствах пароли, защитные приложения и приложения для шифрования данных, что не позволит злоумышленникам украсть их через публичную сеть. Необходимо установить процедуры сообщения о потере или краже телефонов и планшетов.
Нужно проверить безопасность сторонних компаний, с которыми осуществляется сотрудничество.
Большое значение имеет выбор правильного поставщика защитных решений. Специалисты советуют при выборе обращать внимание на следующие моменты:
- результаты независимых тестов и обзоров;
- стоимость; самые дешевые предложения лучше не рассматривать.
Предпочтение следует отдать тем компаниям, которые предлагают полный перечень систем безопасности для бизнеса, включая такие, которые могут понадобиться в будущем.
Изменения в 2025 году
С 1 января 2025 года начал действовать Указ Президента РФ №250, значительно увеличивающий требования к защите персональных данных. Одновременно предусмотрены поправки в КоАП и Уголовный кодекс, вводящие крупные штрафы за нарушения в сфере информационной безопасности.
В случае утечки данных более 100 тысяч человек, штраф составит до 15 млн рублей вместо прежних 100 тыс. рублей. За повторные нарушения предусматриваются оборотные штрафы с верхним порогом в 500 млн рублей.
По оценкам экспертов, указ президента затрагивает не менее 500 тысяч организаций, или примерно 90–95% всей российской экономики. Компаниям необходимо подготовиться к изменениям, в том числе тем, у которых нет необходимых ресурсов для обеспечения киберзащиты.
В соответствии с законом компании обязаны использовать российские решения в сфере кибербезопасности и иметь в штате ответственного за это сотрудника. Также в указе есть пункт о персональной ответственности руководителя организации за обеспечение киберзащиты компании.
Организациям надо менять сложившуюся годами структуру управления. Если для крупного бизнеса адаптация к новым условиям — вопрос ресурсов, то для малого и среднего это может стать серьезным испытанием по ряду причин:
У малых и средних предприятий часто небольшие бюджеты. Квалифицированные специалисты по кибербезопасности в штате требуют значительных затрат, включая заработные платы, обучение и закупку оборудования. Особенно если учесть, что работа над кибербезопасностью — это постоянный процесс, требующий регулярного мониторинга и обновления систем;
Эксперты отмечают дефицит специалистов по кибербезопасности. Особенно это характерно для регионов. Крупные компании могут позволить себе привлечение специалистов, предлагая им конкурентные зарплаты и пакеты льгот. Малым и средним предприятиям конкурировать за эти кадры практически невозможно. Переучивать имеющихся сотрудников также проблематично — сроки переподготовки эксперты оценивают в 500 часов;
Киберугрозы становятся все более изощренными и сложными. Без знаний и опыта компании могут оказаться не готовы к новым видам атак, что увеличивает риск утечек данных и, как следствие, финансовых потерь;
Предприниматели, особенно владельцы малых и средних бизнесов, часто выполняют множество ролей одновременно, включая управление финансами, операциями и маркетингом. В таких условиях уделить достаточное внимание кибербезопасности бывает сложно, так как это не только требует специальных знаний, но также и отнимает много времени;
Кибербезопасность — это не просто установка антивирусного ПО. Это комплексный процесс, включающий оценку рисков, разработку политики безопасности, обучение сотрудников и постоянный мониторинг угроз. Для многих компаний это может оказаться слишком трудной задачей.
Завершить переход на отечественное ПО и выстроить свою систему безопасности организации обязаны за 2,5 года. Это совсем небольшой срок для компаний, чтобы определиться с продуктом, протестировать его, сделать пилотный проект, а затем внедрить систему в промышленную эксплуатацию.
Компаниям предстоит решить: самостоятельно вкладываться в построение инфраструктуры для защиты от киберугроз или довериться вендору, который сделает все под ключ.
Второй путь, по мнению экспертов, более привлекателен для предпринимателей. Готовые решения позволяют малому и среднему бизнесу обеспечить защиту данных без создания собственной инфраструктуры. Важно только правильно выбрать поставщика таких продуктов, чтобы затраты соответствовали уровню сервиса и необходимой степени защиты.
Здесь на помощь приходят банки, включающие услуги по кибербезопасности в экосистемы своих нефинансовых продуктов.
Во-первых, клиенты уже имеют договоры с банком, который их обслуживает, а значит, есть и сложившийся уровень доверия: банк не будет предлагать непроверенные или сырые решения. Во-вторых, финансовая организация может предложить комплексный подход, который будет включать в себя сразу несколько важных и наиболее подходящих для конкретного бизнеса сервисов. А это, в свою очередь, позволит компании снизить затраты.
Приходит отец домой, а его ребенок плачет. Отец спрашивает ребенка: - Почему ты плачешь? Отвечает ему ребенок: - Почему ты мне папа, а я не сын тебе? Кто же это плакал?
Статью подготовила Павлова Елена Геннадиевна, доцент кафедры «Макроэкономическое регулирование» Финансового университета при Правительстве РФ. 
