Большие требования к малым компаниям: как управлять рисками ИБ

МСБ в зоне риска

Представители МСБ уже давно стали привлекательной целью для киберпреступников. По данным Positive Technologies, за 2023 год 80 % от общего количества атак пришлось на МСБ. Бюджеты в условиях стартапа ограничены, и на первых этапах развития компании рискам ИБ не уделяется должного внимания. И часто, когда стартап начинает развиваться, ситуация не меняется. При этом нередко у собственников бизнеса отсутствует понимание, что их компания является уязвимой целью для киберпреступников и необходимо задумываться о подобных рисках, выделяя бюджет на системы защиты и специалистов.

Места размещения похищенных данных

Часто руководители компаний узнают об утечке базы их клиентов или сотрудников только из публикаций в СМИ. Злоумышленники размещают базы на теневых форумах, где всегда присутствует описание, что за компания стала жертвой. В фокусе внимания преступников находятся компании самых разных профилей. За последние два года таким образом было опубликовано огромное количество баз компаний, среди которых есть магазины одежды и обуви, сервис по продаже билетов, гипермаркеты, издательства и книжные магазины, медицинские центры и лаборатории, курьерские службы, агентства недвижимости, кафе, рестораны и пр.

И это только те случаи, о которых стало известно. Трудно представить, сколько подобных взломов осталось «в тени». Но есть еще один «товар», который пользуется огромным спросом — это доступы к инфраструктуре взломанной компании, чтобы в дальнейшем можно было «прятать свои следы» при других атаках.

Спрос есть на любые данные

Мишенью для злоумышленников могут стать абсолютно любые данные. Это могут быть базы данных клиентов/сотрудников, бизнес-идеи и стратегии, финансовые операции, технологические или производственные процессы. Кража такой информации ведет к финансовому и репутационному ущербам, и часто он становится для бизнеса фатальным. Есть случаи, когда ставшие жертвами киберпреступников малые предприятия банально закрывались после инцидента, так как восстановление обходилось слишком дорого.

Ответственность

Не стоит забывать и об административной и даже уголовной ответственности для руководства компании. Например, для организации работы с клиентами компании применяют облачные информационные системы, где хранят персональные данные клиентов (ПДн). Серверы таких информационных систем должны размещаться только на территории РФ. В противном случае, это нарушение требований 152-ФЗ «О персональных данных», штрафы здесь доходят до 6 млн руб.

В случае выявления регулятором нарушений, которые могут нанести ущерб субъекту ПДн (клиенту), он может заблокировать сайт компании, на котором происходит сбор ПДн (ЛК клиентов), что парализует работу бизнеса. Также с началом СВО многие компании получили статус предприятия оборонно-промышленного комплекса, что автоматически приравнивает их к субъекту критической информационной структуры (КИИ) и требует выполнения норм 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». При успешной атаке, повлекшей за собой остановку бизнеса, генеральному директору может грозить уголовная ответственность на срок до 6 лет.

Одно из самых серьезных последствий — попадание в поле зрения спецслужб. Это становится абсолютно реальным, когда из скомпрометированной инфраструктуры компании проводится атака на ресурсы государственных органов. 

Главная цель кражи данных — мошенничество

Постоянное повышение требований к ИБ является единственным действенным рычагом, который может минимизировать последствия подобных взломов для граждан и государства в целом. Кроме прямых последствий для бизнеса существует высокая вероятность наступления негативных последствий и для тех, чьи данные были похищены. В самых безобидных сценариях это увеличение количества спам звонков/смс и рекламы. В худшем случае — таргетированный фишинг или мошенничество, направленные на саму жертву и от имени жертвы в сторону ее ближайшего окружения.

Три шага для построения эффективной системы защиты

С учетом вышесказанного, от руководителей и владельцев бизнеса сегодня требуется всерьез задумываться о рисках ИБ для своих компаний. Цифровая среда в силу ее сложности и изменчивости требует постоянного контроля. Он включает в себя процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятия решения о контрмерах для снижения риска до приемлемого уровня.

Данный процесс можно представить в виде нескольких основных последовательных этапов:

1. Инвентаризация. Чтобы начать что-то контролировать, нужно это изучить. В силу рутинности данного процесса многие им пренебрегают, но именно инвентаризация ИТ-активов является закономерной первой ступенью в алгоритме работы с рисками.
2. Аудит ИБ. Он позволяет понять источники угроз или слабые места этих активов, являясь наиболее действенным методом. Лучше всего привлечь к этой работе компетентного внешнего контрагента, имеющего соответствующие методики, опыт и инструменты.
3. Построение модели угроз и определение характерной для конкретной инфраструктуры модели нарушителя. Эта работа осуществляется на основе данных из аудита, часто эти модели готовит тот же контрагент, который проводил аудит, это вполне стандартная практика.

Эти три этапа закладывают основу менеджмента риска ИБ. И это не единоразовые акции, а вполне самостоятельные процессы. Их необходимо вести параллельно с развитием бизнеса, выделяя соответствующие ресурсы.

Заключение

Сегодня существует большое количество стандартов, ГОСТов и методик, описывающих процесс менеджмента рисков ИБ. Это довольно сложные и массивные документы, разобраться с которыми может только подготовленный специалист. По этой причине рекомендуется иметь в штате компании хотя бы одного специалиста по ИБ, который сможет систематизировать нужные процессы и сформировать план по минимизации соответствующих рисков.