В этом году количество предприятий малого и среднего бизнеса в России выросло и достигло 6,59 млн. Это весомая доля в экономике страны — 21,7%. Среднемесячный объем выручки у всех малых и средних предприятий составляет 2,5 трлн. рублей.

Добавьте к этому высокий риск-аппетит такого бизнеса. В условиях, когда все усилия сосредоточены на развитии и выходе на максимальную прибыльность, а бюджеты ограничены, владельцы компаний редко задумываются о построении процессов информационной безопасности. Большая часть предприятий малого и среднего бизнеса вообще не имеет средств защиты. Это делает их привлекательными для злоумышленников, которые атакуют как непосредственно такие компании, так и используют их взломанную инфраструктуру для того, чтобы внедриться в системы партнеров из числа крупного бизнеса.

При этом эксперты отмечают стабильный рост количества киберугроз в нашей стране: утечек информации все больше, количество атак шифровальщиков за год выросло на 44%, почти в два раза увеличилось число APT-групп, атакующих цели в России.

Самые привлекательные для злоумышленников сферы — это ритейл, финансовые сервисы, сервис-провайдеры для крупного бизнеса. Но в целом любой бизнес с публичными ресурсами всегда привлекает внимание злоумышленников. Вы опубликовали свой сайт в Интернете? В течение пары десятков минут его автоматически просканируют на наличие уязвимостей и, возможно, попытаются взломать. Ведете бизнес офлайн? Не теряйте бдительность — стоит «поймать» по электронной почте вирус или программу-шифровальщик, и данные вашей компании (и ее клиентов) окажутся под угрозой.

Базовый сценарий атаки на компанию выглядит так: работник компании получает письмо по электронной почте или в общедоступный мессенджер от поддельного отправителя, мимикрирующего под легального коллегу (партнера, клиента, ФНС) с просьбой срочного ответа. Письмо содержит зловредное вложение или ссылку. При этом вложение выглядит как обычный файл, например, pdf, а ссылка отличается от привычной на одну букву. В таком случае, один невнимательный клик отделяет компанию от инцидента.

Самые распространенные вредоносные программы:

  1. Шифровальщик. Это программа-вымогатель, который шифрует всю информацию на компьютерах и серверах организации. Атака обычно происходит перед выходными или праздничными днями, чтобы дать время на шифрование как можно большего объема данных. На следующий рабочий день после клика по зловредному вложению все документы компании будут зашифрованы и для дешифровки придется заплатить преступнику или долго восстанавливать информацию.
  2. Стилер. Это программа, также незаметно устанавливаемая на компьютер невнимательного работника из вложения или по ссылке. Предназначены стилеры для тайной кражи паролей и другой корпоративной информации. Полученная информация используется злоумышленниками для организации более масштабной атаки на компанию и получению коммерчески-ценной информации.
  3. Фишинговая страница. Это поддельный веб-сайт, имитирующий легитимный ресурс, как правило, страницу ввода логина и пароля. Внешне страница ничем не отличается от оригинальной. Невнимательный работник попадает на такой сайт по ссылке из срочного письма или сообщения. Получив логин и пароль жертвы, хакеры воруют все данные и файлы, доступные пользователю и пытаются скомпрометировать учетные записи других работников, направляя сообщения от имени жертвы.

С чего начать построение процессов информационной безопасности

Построение процессов информационной безопасности всегда начинается с первичной инвентаризации. Половина успеха — это правильное определение объекта защиты. Это те активы компании, которые критически важны для бизнеса. Данные, компроментация которых нанесет ущерб бизнесу. Процессы, нарушение которых ставит под вопрос дальнейшую работу компании. Причем важно понимать, что человек, который должен дать старт построению процессов информационной безопасности и определить объекты защиты — это руководитель компании. Именно у него есть полное понимание того, как устроен весь бизнес. И чем больше времени удастся руководителю уделить вопросам информационной безопасности, тем более качественный результат получится.

После того, как первичная инвентаризация будет проведена, можно начинать выстраивать меры защиты. И здесь нет задачи задокументировать все процессы — для старта это может быть избыточным. Что действительно важно — это понимать, что построение информационной безопасности — постоянный процесс с целями адекватно соответствующими контексту компании. Для того, чтобы он продолжался, нужно иметь точки контроля и мероприятия, которые вы выполняете системно и регулярно, обеспечивая достижение целей безопасности бизнеса. И ещё одна вещь, которой стоит уделить пристальное внимание — это обучение сотрудников основам информационной безопасности: 90% успешных атак становятся возможными из-за человеческих ошибок, а не из-за несовершенства компьютерных программ.

Модели построения информационной безопасности

Есть три основных подхода к организационному построению процессов информационной безопасности. Вот их плюсы и минусы.

  • ИБ-специалист в штате. Самое очевидный подход — нанять профессионала в области ИБ и периодически подключать аутсорс-команды для анализа защищенности периметра организации. Партнер по информационной безопасности будет глубоко погружен в процессы компании и сможет гибко их настраивать. Минусы у этого подхода: это стоимость такого специалиста, которая может быть велика для небольшой компании; также затруднителен поиск средне-квалифицированного кандидата, готового работать в малом бизнесе.
  • Аутсорсинг ИБ-функций, Security-as-a-Service. Это может быть не очень дорого, но требует ответственного подхода. Вам нужно будет разобраться в своих процессах, самостоятельно определить потребности компании, сформулировать требования и постоянно контролировать их реализацию. Не пожалейте времени на поиск хорошего подрядчика. Обращайте внимание на наличие лицензий регуляторов у консультантов, их репутацию и портфолио, количество специалистов в штате, предоставляемые SLA.
  • Построение ИБ силами ИТ-специалистов. Это самый бюджетный подход, и реализовать минимальный набор мер вполне можно по этому сценарию. При выборе этого подхода важно учитывать, что в нем пересекаются не только функции ИТ и ИБ, но и их роли. Может возникнуть конфликт интересов: ИТ эксплуатирует информационные системы, а ИБ их контролирует. Нужно обладать достаточной зрелостью, чтобы удержать правильный баланс. Возможно, при выборе такого подхода стоит всё же нанять аудитора, который поможет составить план работы на первоначальном этапе, а затем проверить его исполнение.

Минимум, который нужно сделать

  • Работа с доступами. Разграничивайте доступ к вашим информационным системам в зависимости от роли сотрудников в компании. Отзывайте доступы, когда они перестают быть нужны для выполнения задач.
  • Регулярные обновления. Уделяйте внимание актуализации операционных систем и программного обеспечения. Хакеры часто эксплуатируют известные уязвимости с уже готовыми эксплойтами, чтобы не тратить много сил и времени на взлом.
  • Использование антивирусного ПО. Зачастую именно то, что в компании не было такой защиты, и становится причиной инцидентов информационной безопасности.
  • Использование надежных паролей и их регулярная смена. По данным исследования «Битрикс24», только 12% представителей бизнеса меняют пароли ежемесячно, еще 37% делают это раз в год. А 51% опрошенных делают это реже или вовсе не меняют пароли. Однако эти простые действия — весомый вклад в безопасность организации.
  • Использование двухфакторной аутентификации. Даже если мошенники перехватят или подберут пароли, дополнительное подтверждения личности (код, биометрия) сильно усложнят доступ к вашим системам. На рынке существуют решения со встроенной двухфакторной аутентификацией — выбирайте их для работы.
  • Резервное копирование данных. Сейчас для этой задачи есть множество сервисов, в том числе облачных. В ее решении вполне может помочь администратор системы. Главное — не только постоянно выполнять резервное копирование, но и регулярно проводить тестирование системы на восстановление.
  • Использование корпоративной почты и мессенджеров. Разделять личное и корпоративное — порой сложная задача для небольших бизнесов. Но тем не менее, её стоит решать. Для небольших компаний часто предоставляются недорогие тарифы решений для рабочих коммуникаций.
  • Обеспечение безопасности Wi-Fi. Для защиты корпоративных данных от утечек и несанкционированного доступа важно вовремя обновлять прошивку устройств беспроводной связи, разделять сети на гостевую и рабочую и использовать современные стандарты связи.
  • Использование межсетевого экрана. Файервол фильтрует и блокирует подозрительные подключения и вредоносные программы. Без него злоумышленники могут напрямую атаковать внутренние системы — утечки данных в этом случае неизбежны. Если нет бюджета на отдельное решение, базовые правила межсетевого экранирования можно настроить на «умном» граничном маршрутизаторе или с использованием open source-решений.
  • Защита удаленного доступа. Мы можем решать рабочие вопросы из любой точки мира, но не стоит забывать о безопасности передачи данных. Её поможет повысить использование базовых крипторешений и алгоритмов.
  • Обучение сотрудников основам информационной безопасности. Коллеги, которые не умеют распознать фишинг или попытку применить социальную инженерию, могут случайно открыть доступ к данным злоумышленникам. Регулярные обучения снижают риски таких ошибок.

Заключение

Для малого и среднего бизнеса защита данных не требует сложных решений. Достаточно базовых мер: антивирус, надёжные пароли, регулярные обновления программного обеспечения и операционных систем, подключенный межсетевой экран.

Если компания сосредоточена на развитии, и нет времени строить собственную защищенную инфраструктуру, стоит подобрать облачное решение по автоматизации бизнеса, которое уже размещено в безопасной среде. Такие платформы берут на себя обновления, защиту периметра, мониторинг трафика, содержат встроенные механизмы шифрования и двухфакторной аутентификации, выполняя требования регуляторов по защите персональных данных.

Правильно выстроенные процессы информационной безопасности — это не просто техническая задача, а основа устойчивости бизнеса. Надёжная работа сервисов без сбоев и утечек укрепляет репутацию в глазах клиентов, создавая конкурентное преимущество. Вложения в ИБ окупаются не только снижением рисков, но и доверием партнеров. А оно, в свою очередь, становится драйвером роста.

Леонид Плетнев, бизнес-партнер по информационной безопасности “1С-Битрикс”