Киберугрозы для СМБ: ошибки безопасности, которые допускает малый бизнес

Количество кибератак на российские компании растет: за 2024 год их число выросло в 2,5 раза по сравнению с прошлым. Под удар может попасть организация любого масштаба. Малый бизнес часто недооценивает риски, связанные с кибератаками, полагая, что злоумышленникам интересны только крупные корпорации с миллиардными  оборотами. Из-за подобных заблуждений, а также в связи с нехваткой ресурсов для обеспечения необходимых мер безопасности небольшие компании становятся легкой мишенью для киберпреступников. 

В 2023 году 38% утечек данных пришлось на малый бизнес и, по прогнозам экспертов, их доля будет расти. При этом последствия инцидентов для небольших организаций могут быть гораздо разрушительнее, чем для крупных. Нередко у нас есть хотя бы один пример закрытия из-за кибератаки.

Чтобы не достигнуть «критической точки», важно учиться на печальном опыте других. Пять ошибок, которых стоит избегать, чтобы защититься от потенциальных атак.

Недостаток внимания обучению сотрудников

Многие компании делают акцент на технических мерах защиты, забывая уделять внимание повышению цифровой грамотности персонала. Тем временем более чем в 70% случаев успешных кибератак решающую роль играет человеческий фактор. Без регулярного обучения работников и повышения их осведомленности  о киберугрозах даже самые продвинутые системы защиты могут оказаться неэффективными. Небрежное отношение к правам доступа, низкий уровень цифровой грамотности персонала и неспособность противостоять социальной инженерии — все это часто приводит к утечкам и взломам. 

Более 33% входящих e-mail в российских компаниях содержат спам, фишинговые ссылки и вредоносное ПО. Письмо от мошенников может быть замаскировано под сообщения от государственных органов, контрагентов,  финансовую или иную документацию. Без умения распознавать подозрительный контент сотрудники могут открыть опасное вложение или авторизоваться на фишинговом сайте, тем самым передав злоумышленникам доступ к своему аккаунту и корпоративной информации. 

Электронная почта — не единственный путь, по которому вирусы и другие вредоносные файлы оказываются на устройствах сотрудников. Ими можно случайно обзавестись при скачивании пиратских версий программного обеспечения — это особенно актуально для небольшого бизнеса, который не всегда закладывает в бюджет закупку лицензионного софта. 

Инвестиции в повышение квалификации сотрудников по вопросам цифровой грамотности в современных условиях становятся обязательными. Необходимо организовывать регулярные семинары или тренинги по основам кибербезопасности, охватывая такие темы, как создание надежных паролей и двухфакторная аутентификация, распознавание подозрительных писем, безопасное использование интернета и облачных сервисов. 

Периодически стоит оценивать, насколько сотрудники освоили меры безопасности. Это можно сделать через опросы, тесты или даже практические задания. Проведение имитаций фишинговых атак может помочь сотрудникам лучше распознавать мошеннические действия и предотвращать случайное раскрытие данных. Обученный персонал становится первой линией защиты, способной самостоятельно и своевременно выявить потенциальные угрозы и минимизировать риски. 

Непродуманная защита для дистанционной работы

В условиях распространения удаленного и гибридного форматов работы и распределенных команд многие организации недостаточно внимания уделяют кибербезопасности удаленных сотрудников — это создает значительные риски. Например, если работники подключаются к открытым или слабо защищенным Wi-Fi сетям в общественных местах, злоумышленники могут легко получить доступ к их устройствам и, соответственно, к корпоративным ресурсам. 

Удаленщики  часто используют свои личные устройства, которые могут не иметь необходимых мер защиты, таких как антивирусное ПО, фаерволы или обновления системы. Если устройство заражено, злоумышленники могут получить доступ к учетным записям, паролям и другим конфиденциальным данным. Кроме того, смешение личных и профессиональных данных создает дополнительные проблемы для конфиденциальности и усложняет задачу по защите корпоративной информации. Например, личные файлы могут быть случайно отправлены в рабочие каналы, а корпоративные данные — в личные, что может привести к их утечке. Кроме того, смешение данных позволяет вредоносным программам, загруженным во время личной активности, проникать в корпоративную инфраструктуру.

Эффективным инструментом защиты являются DLP-системы (Data Loss Prevention). Это специализированное ПО, которое предотвращает утечки, контролируя потоки информации в корпоративной сети. Алгоритмы таких систем отслеживают передачу данных и блокируют несанкционированные действия или отправляют оповещения специалистам по информационной безопасности. Причем DLP-система контролирует все каналы, по которым передаются данные, и все места, где они  хранятся: съемные накопители, буферы обмена на локальных машинах сотрудников, базы данных и общие файловые хранилища, каналы коммуникации (email, мессенджеры и так далее).

Старые версии ПО

Использование устаревшего программного обеспечения создает значительные риски для безопасности. Разработчики продуктов регулярно выпускают обновления, которые не только улучшают функциональность, но и закрывают уязвимости, выявленные в предыдущих версиях. Если компания не актуализирует свой софт, хакеры могут использовать известные пробелы в защите для взлома систем. 

Отсутствие обновлений особенно опасно, когда компания продолжает использовать программное обеспечение, которое более не поддерживается производителем. В современных реалиях, когда многие зарубежные компании ушли с российского рынка, это стало особенно актуально. Такие продукты уже не получают патчей безопасности, и любая новая уязвимость останется без исправления. Это создает лазейки для киберпреступников, которые могут легко получить доступ к критическим данным или системам.

Чтобы минимизировать эти риски, у компании должна быть четкая политика управления обновлениями, особенно для критически важных систем и программ. Она может включать в себя регулярный мониторинг доступных версий, автоматизацию процесса установки и создание расписания для проверки и обновления программного обеспечения, а также регулярную и централизованную актуализацию версий ПО на корпоративных устройствах ИТ-отделом. 

Ненадежные пароли

Компании, часто полагаясь на ограниченные ресурсы и бюджеты, порой недооценивают важность безопасного управления паролями и перекладывают всю ответственность на сотрудников. Однако, статистика показывает, что многие пользователи легкомысленно относятся к этой задаче. Почти четверть россиян используют в качестве пароля свое имя или кличку питомца. Более половины — задают одинаковые комбинации для разных учетных записей. В 2024 году в мире и России наибольшей популярностью пользовались пароли: «123456», «123456789» и «qwerty123». 

Нельзя исключать, что и при работе с корпоративными данными сотрудники будут использовать легкие для запоминания пароли. Это значительно увеличивает вероятность успешных кибератак на компании: злоумышленники могут легко взломать корпоративный аккаунт при помощи автоматизированных инструментов для подбора пароля. Причем для особенно распространенных комбинаций им понадобятся на это считанные секунды. Проанализировав 193 млн паролей, эксперты «Лаборатории Касперского», выяснили, что мошенники могут взломать 45% из них менее чем за одну минуту. Большинство паролей могут быть скомпрометированы при помощи интеллектуальных алгоритмов и специальных программ: 14% паролей можно подобрать за час, еще 8% — за сутки. Лишь 23% комбинаций оказались устойчивыми к взлому — на их компрометацию ушло бы более года. 

При обучении персонала основам кибербезопасности необходимо донести до сотрудников важность создания сложных паролей: он должен состоять из 12 и более символов, и лучше всего использовать случайную комбинацию букв, цифр и других символов. При создании пароля нужно избегать использования последовательных или повторяющихся символов, таких как 12345 или qwerty, а также имена близких, названия любимых команд и т.д. Для дополнительной защиты можно обязать сотрудников периодически менять пароли от корпоративных учетных записей. Можно воспользоваться любым из доступных на рынке менеджеров паролей, который позволит легко генерировать надежные пароли для каждой из учетных записей, сохраняя их в безопасном месте. 

Для минимизации рисков также следует по возможности внедрять двухфакторную аутентификацию для всех критически важных систем и учетных записей. Это значительно увеличивает уровень защиты, так как требует подтверждения входа через дополнительный фактор, например, код, отправленный на мобильный телефон в СМС или в форме пуш-уведомления. 

Отсутствие резервных копий данных 

Организации любого масштаба стоит иметь план действий на случай удачной кибератаки. Один из распространенных сценариев: сотрудник открывает вредоносную ссылку, после чего вирус-шифровальщик автоматически запускается, блокируя доступ к данным компании. За восстановление информации хакеры обычно требуют выкуп, а его оплата не гарантирует, что данные действительно будут восстановлены. 

За прошлый год количество подобных атак в мире выросло на 20%, по темпам их роста Россия находится на втором месте. Скорее всего, это неполная статистика, так как некоторые компании не заявляют об инцидентах, опасаясь репутационного ущерба, и предпочитают заплатить выкуп. Однако это рискованный шаг, так как никто не может дать  гарантию, что преступники выполнят свою часть сделки и дешифруют данные. Нередко они выдвигают новые требования или просто исчезают с деньгами. В этой связи, чтобы не остаться без ценных для бизнеса данных, важно создавать их резервные копии и делать это регулярно и грамотно.  

Стратегия резервного копирования должна включать дублирование данных на внешних носителях или в облачных хранилищах. Чтобы повысить надежность хранения резервных копий, следует руководствоваться правилом «3-2-1», которое гласит: иметь не менее трех копий данных, хранить копии как минимум на двух физических носителях разного типа, одну копию хранить удаленно, вне офиса. Также следует проверять носители на предмет возможности восстановления данных из них. Это гарантирует, что в случае атаки компания сможет быстро все наладить и минимизировать время простоя.

Кроме того, важно проводить регулярные учения по восстановлению после инцидентов, чтобы сотрудники знали, как действовать в случае взломов и утечек. Это поможет выявить слабые места в существующих процедурах и улучшить их. 

Сегодня практически все отрасли в той или иной мере цифровизированы, потому кибербезопасность должна быть неотъемлемой частью корпоративной культуры бизнеса любого масштаба. Это потребует совместных усилий всей команды, от руководства до каждого сотрудника. Только с помощью активных мер можно эффективно защитить компанию от кибератак, обеспечить непрерывность бизнеса и сохранить доверие клиентов и партнеров.