Компания «Симпэйс» вместе с экспертами обсудили инвестиции в ИБ

ИТ-интегратор «Симпэйс» собрал специалистов по информационной безопасности, чтобы в рамках открытой дискуссии обменяться опытом и обсудить, как малый и средний бизнес может себя защитить от киберугроз. Эксперты разобрали основные причины атак, обсудили, как оправдать инвестиции в кибербезопасность, какие средства базовой защиты существуют, а также затронули тему человеческого фактора, как одной из главных причин уязвимости. 

ИБ — это дорого и сложно  

Собственники малого и среднего бизнеса зачастую откладывают вложения в инструменты информационной безопасности из-за убеждения, что это косвенные и дорогостоящие инвестиции, которые не только не окупятся, но и потребуют наличие высококвалифицированного сотрудника в штате.  

Павел Ерастов, исполнительный директор Sympace 

По нашему опыту работы заказчиками, лишь малая часть МСП вкладываются в кибербезопасность заранее. Основная же масса обращается за такими решениям вынужденно — либо после инцидента, либо под давлением регулятора. Причиной этому, по их мнению, служит распространенное убеждение, что ИБ — это дорогостоящая и сложная сфера, требующая больших инвестиций и отдельного штатного специалиста. 

Как обосновать инвестиции в кибербезопасность  

По мнению экспертов, инвестиции в кибербезопасность, равно как и финансирование любой другой функции компании, должны быть строго бизнес-ориентированными и экономически обоснованными. Это означает, что решения о выделении средств не могут приниматься исключительно под влиянием новостей об очередных хакерских атаках или из-за абстрактного страха перед угрозами. Вместо этого каждый рубль, вложенный в защиту информационных активов, должен быть напрямую увязан с ключевыми бизнес-целями и процессами организации. 

Такой подход предполагает тщательную оценку того, какие именно риски — финансовые, репутационные, операционные — снижают те или иные меры безопасности, и как эти меры способствуют обеспечению непрерывности бизнеса, защите интеллектуальной собственности, выполнению требований регуляторов и сохранению доверия клиентов и партнеров. 

Фактически, кибербезопасность перестает быть просто технической статьей расходов и превращается в стратегический актив, который напрямую влияет на устойчивость, конкурентоспособность и капитализацию компании в долгосрочной перспективе. 

 Антон Бочкарев, основатель компании «Третья Сторона»  

Все инвестиции в кибербезопасность должны рассчитываться, по сути, как обычные инвестиции в какую-либо функцию компании. Все вложения окупается по факту того, что и сколько потенциального ущерба мы закрываем с каждого вложенного рубля.  

Павел Ерастов, исполнительный директор Sympace 

Я верю в полезность функции ИБ. Но при этом считаю, что все расходы на ИБ должны быть целесообразны и дозированы. Бизнес должен предварительно оценить все риски, которые он покупает за содержание отдела по информационной безопасности. 

Базовые инструменты защиты от кибератак  

Вопреки устоявшемуся мнению, современный рынок решений в области кибербезопасности предлагает МСП доступные и эффективные инструменты для построения надежной защиты, не требующие серьезных финансовых вложений или расширения штат. 

 Рустам Гусейнов, Председатель ИБ-кооператива RAD COP 

Я бы посоветовал начать с базовых «средств гигиены»: сканирования внешнего периметра и инвентаризации того, что доступно снаружи о вас. А также, разграничение прав доступа, мониторинг доступа к чувствительным активам, резервное копирование.  

Арсений Маслов, основатель Клуба профессиональных управленцев PMPRO.club  

Мы решили это следующим образом: мы перенесли все в облачные хранилища. Вся инфраструктура, связанная с почтами, календарями и так далее, просто взяли лучшее, что есть на рынке. Таким образом, мы переложили все риски и ответственность на нашего провайдера. Следующий момент. Регламент внутри компании, где четко сказано, что ходить куда угодно ты можешь, но со свои личных устройств. С корпоративных ты не ходишь никуда. Это не запрещается на уровне доступа. Ты можешь это сделать, но тебе говорят нельзя. И это является определенным ситом для сотрудников. Либо у тебя есть осознанность, либо ее нет. Если осознанности нет, то мы прощаемся с сотрудником.    

Кто должен заниматься ИБ в компании  

Ответственность за соблюдение правил безопасности, в том числе информационной, чаще всего лежит на собственнике или владельце бизнеса. 

Александр Петров, руководитель направления систем управления печатью компании «Мастер-РМ» 

 Я считаю, что за ИБ в компании должен отвечать владелец бизнеса в первую очередь. Если у вас нет департамента по информационной безопасности или внутреннего специалиста, то ответственность за организацию ИБ должен взять на себя собственник. Это в первую очередь в его интересах. Во-вторых, прививать эту ответственность и у сотрудников. Это не требует больших финансовых и временных затрат. Мы, например, внутри компании раз в неделю проводим небольшие тренинги для сотрудников. 

  Павел Ерастов, исполнительный директор Sympace 

Я согласен с тезисом, что в первую очередь об ИБ должен заботиться владелец бизнеса или, как вариант, делегировать эту задачу к кому-то из подчиненных. Если провести аналогию компании с домом, то кто как не владелец позаботится о том, чтобы в доме был определенного уровня замок, еще какие-то средства безопасности, может быть камеры и так далее. Если не он, то может быть он заведет собаку, которая будет охранять. Конкретно у нас в компании действуют инструкции и регламенты. Регулярно проводится обновление паролей, а основные риски нивелируются за счет использования облачной инфраструктуры.  

Влияние человеческого фактора  

Согласно последним данным компаний, разрабатывающих продукты защиты от киберугроз, основным источником возникновения кризисных ситуаций является человеческий фактор.  

Александр Петров, руководитель направления систем управления печатью компании «Мастер-РМ» 

Мы часто говорим про айтишную часть, но забываем про человеческий фактор. Мы можем, с одной стороны, закрыть периметр со всех сторон, но мы никогда не сможем избежать ошибок со стороны человека. То есть каждый человек, каждый оператор, диспетчер, бухгалтер, уборщица, которые имеет доступ к инфраструктуре внутренней или внешней, они являются угрозой, но в хорошем смысле угрозой. Мне кажется правильным, чтобы компании, которые продают продукты ИБ, работали не только с бизнесом, но и в том числе, и с простыми обывателями. Например, записывали небольшие обучающие ролики. 

Дмитрия Федосова, менеджер по продажам и проектам компании MyQ 

Не стоит забывать про то, что на практике, одним из наиболее уязвимых звеньев при кибератаках являются печатающие устройства. И, на мой взгляд, этому вопросу у нас уделяется очень мало внимания. Как правило, в любой компании, подойдя к принтеру, вы можете увидеть кипы невостребованных распечатанных документов с финансовой или коммерческой информацией, с информацией о личных данных. Решением проблемы может стать персонализация учетных записей пользователей и разграничение прав доступа. 

В целом, эксперты очень позитивно оценили текущее развитие способов защиты от кибератак, призвали компании говорить чаще об ИБ простым и доступным языком, а также подчеркнули, что МСБ на начальных этапах могут использовать доступный по цене и функционалу «базовый минимум» защиты.