Исследование: 31% МСП доверяют киберзащиту офис-менеджеру

На фоне растущих угроз большинство МСП в России до сих пор не подходят к вопросам информационной безопасности системно: в большинстве компаний вопросы ИБ решаются по остаточному принципу, у 13% вообще нет ответственных, а 16% не применяют никаких технических решений для обеспечения кибербезопасности. Такие данные представлены в исследовании ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру».

От встреч с курьером до защиты от кибератак: в каждой третьей компании МСБ задачи ИБ доверяют офис-менеджеру

Исследование показало, что только у 28% МСП есть штатный специалист по ИБ, еще у 13% — полноценная ИБ-команда. Однако в большинстве компаний (31%) вопросы информационной безопасности берут на себя ИТ-специалист, системный администратор или даже офис-менеджер. Еще 15% передают ответственность за ИБ внешним подрядчикам, квалификация которых не всегда подтверждена или достаточна. При этом почти каждая десятая организация МСП (13%) вообще не имеет ответственных за обеспечение информационной безопасности.

Подходы МСП к информационной безопасности: 4 модели  

Базового уровня защиты придерживаются 42% компаний в сегменте МСП: за ИБ отвечает один из специалистов ИТ по совместительству, применяются минимально достаточные средства защиты — антивирус, резервное копирование, парольная политика, а в ИБ не закладывают дополнительные вложения.

20% малых компаний стремятся к постепенному усилению защиты с выделением отдельного  специалиста, но без создания полноценного отдела, а на информационную безопасность выделен дополнительный бюджет, например, на сканеры уязвимостей, шифрование мобильных устройств, сетевую безопасность (WAF, NGFW). 

Столько же компаний (20%) придерживаются высокого уровня защиты с отдельным подразделением ИБ, где руководитель подчиняется генеральному директору. Также предварительно оцениваются риски, определяются метрики и проводятся внешние аудиты.

Еще 18% рассматривают аутсорсинг как эффективную альтернативу внутренним ресурсам. В таких случаях бизнес делает ставку на внешнюю экспертизу, готовые решения «под ключ» и профессиональную поддержку со стороны специализированных компаний. Однако на практике это могут быть и приходящие специалисты, чья квалификация не всегда подтверждена или соответствует уровню угроз. Аутсорсинг может как полностью заменять внутренние меры, так и дополнять их — особенно в вопросах мониторинга, реагирования на инциденты или проведения аудитов.

От антивирусов до обучения: как компании выстраивают киберзащиту

Самыми популярными мерами защиты в сегменте МСП остаются антивирусное ПО, VPN, парольная политика, резервное копирование и шифрование данных. Однако 16% компаний в принципе не применяют никаких защитных решений. 

При этом  специализированное обучения сотрудников регулярно проводят 27% компаний, еще 16% — только после произошедших киберинцидентов. 17% респондентов не обучают персонал вовсе и не планируют, а  16% опрошенных собираются внедрить соответствующие программы.

DDoS, вредоносное ПО и фишинг — главные тревоги МСП

Среди наиболее тревожащих угроз респонденты называли DDoS-атаки — их упомянули 19% опрошенных, также отметили  вредоносное программное обеспечение (17%), фишинговые атаки и взлом корпоративных аккаунтов (по 16%), а также уязвимости в ПО (15%). Среди прочего социальная инженерия вызывает опасения у 7% респондентов, действия инсайдеров — у 4%, компрометация поставщиков или подрядчиков — у 3%. Несмотря на это, по данным исследования Orion soft 85% ИТ-специалистов считают основной причиной взломов и утечек данных человеческий фактор. Лишь 1% участников исследования заявили, что не испытывают тревоги перед киберугрозами.

Юридические риски — главный страх МСП в случае атаки

Респонденты отметили сразу несколько последствий кибератак как наиболее значимые: 83% упомянули юридические риски, 76% — финансовые потери, 75% — репутационные риски, включая снижение доверия со стороны клиентов и партнеров, 71% — приостановку бизнес-процессов и нарушение работы ИТ-систем, 50% — потерю доступа к важной информации, например, из-за действий вирусов-шифровальщиков.

«Сегодня значительная часть МСП по-прежнему выстраивает киберзащиту по остаточному принципу: без выделения ответственных специалистов, без четких регламентов и зачастую — без понимания реального уровня риска. Мы видим, что даже базовые меры применяются не всегда , а обучение сотрудников и вовсе остается точечным или в принципе  отсутствует. Это делает бизнес уязвимым — особенно на фоне роста числа инцидентов и расширения потенциальных угроз. Чтобы выйти из этой уязвимой зоны, важно не только внедрять технологии, но и повышать осведомленность сотрудников, уделяя внимание  кибергигиене как элементу общей культуры управления», — отметила Елена Бочерова, исполнительный директор компании «Киберпротект».