Чуть больше 6000 рублей может стоить конкуренту DDoS-атака на ваш сайт. При этом аудит — проверка того, насколько ваша компания уязвима в плане информационных угроз — стоит от 400 тысяч до нескольких миллионов рублей. Надо ли малому бизнесу вкладываться в информационную безопасность? И если да, то как это делать, когда бюджет в разы меньше, чем у крупных корпораций?
Коротко о главном
- Вредоносные коды, программы, фишинговые рассылки*, утечка данных, взломы сайтов и программ — способы, при помощи которых киберпреступники могут испортить вам не только настроение, но и деловую репутацию, состояние счетов и отношения с клиентами и партнёрами.
- Потенциальная угроза информационной безопасности — и сами сотрудники. Открытое на рабочем компьютере фишинговое письмо, без предупреждения установленная программа или заражённая вирусами флешка — самые частые нарушения.
- Игнорирование принципов информационной безопасности может привести к серьёзным финансовым и репутационным потерям.
- Если у вас небольшая компания и ограниченный бюджет, стоит начать с обучения сотрудников основам информационной безопасности.
* Фишинговые рассылки — это письма и СМС, которые выглядят как сообщения от надёжных источников. Например, банков, интернет-провайдеров, платёжных систем, известных компаний. Чаще всего в них содержатся две вещи: просьба обновить или прислать какие-то личные данные (номер карты, пароль) и завуалированная угроза («Если данные о карте не поступят в течение недели, ваш счёт будет заблокирован»).
Рынок информационной безопасности в России стабильно растёт. По оценкам аналитического центра TAdviser, его объём в 2018 году достиг 79,5 млрд рублей. В прошлом году он тоже вырос — на 10% — примерно до 87 млрд.
С каждым годом бизнес тратит на информационную безопасность всё больше денег. Одна из главных причин — услуги киберзлоумышленников дешевеют и становятся доступны многим. К примеру, по данным информационного портала SecurityLab, DDoS-атаки можно устроить за сумму от $99. Разрушительное вмешательство в чью-либо жизнь (сюда относятся кража паролей от аккаунтов в соцсетях и почт, постинг и спам-рассылки от имени жертвы, сливы переписки) может стоить от $699. Подрыв репутации компании, включающий в себя, например, плохие отзывы, негативные рекламные кампании, удаление сайта, обойдётся в сумму от $899.
Почему защита информации особенно актуальна в 2020 году? Как позаботиться о компании, если вы — не огромная корпорация и у вас нет бюджета на киберзащиту? Five p.m. поговорил с одним из основателей и коммерческим директором компании «Акстел-Безопасность» Владимиром Соловьевым и попросил составить чек-лист по информационной безопасности для малого бизнеса.
1. Определите, какая именно информация требует защиты
Чаще всего от утечек приходится защищать:
- сведения о клиентах, поставщиках, новых разработках и ноу-хау,
- содержание договоров с партнёрами,
- себестоимость продуктов и услуг,
- аналитические и маркетинговые исследования, их результаты и выводы,
- данные о финансовом состоянии компании и о зарплатах.
2. Оцените реальную стоимость вашей информации
Важно помнить: никакая система защиты информации не может стоить дороже, чем сама информация. То есть тратить десять рублей на протекцию одного заработанного компанией рубля нерационально. Задача собственника — изучить список потенциальных объектов атаки, оценить, каковы риски и возможные потери, рассчитать стоимость закрытия этих рисков и уже после принять решение, каким образом пытаться их избежать.
3. Позаботьтесь о дополнительной защите данных на удалёнке
Сейчас многие работают из дома. Подключаться к корпоративным ресурсам — системам CRM и ERP, почте, хранилищам файлов, внутренним мессенджерам — стало сложнее и небезопаснее. Как минимум по двум причинам — киберпреступникам взломать домашний интернет или личный ноутбук как правило легче. Риск утечки конфиденциальной информации и баз данных увеличивается.
Чтобы снизить уровень угрозы информационной безопасности, попросите работников следовать элементарным правилам:
- Установите надежный пароль на домашнем wi-fi-роутере. Вариант «123» не подойдёт.
- Используя личную электронную почту для работы, не открывайте вложения из писем с незнакомых адресов, не переходите по ссылкам из них.
- Установите на домашний компьютер антивирус, либо последнюю версию операционной системы, в которую уже входит антивирус. Не игнорируйте сообщения с призывом обновить антивирус, эта программа должна быть актуальной.
4. Обучайте сотрудников и формируйте культуру информационной безопасности
Для малого бизнеса наиболее подходящее по затратам и эффективности решение — обучать сотрудников и владельцев. Этому учат офлайн — например, в Сибирской академии информационной безопасности, и онлайн — на площадках вроде «Нетологии» или «Инфобезопасности». Обычно в таких курсах рассказывают, как правильно пользоваться программами, антивирусной защитой и сайтами, учат создавать и правильно обновлять пароли, объясняют особенности работы с корпоративной почтой, жёсткими дисками, флешками и другими носителями.
Свыше 110 тысяч компьютерных атак в 2019 году в Сибири зафиксировал «Ростелеком». Наибольшее их число (34%) касалось распространения вредоносного ПО, в том числе — через фишинговые письма сотрудникам компаний.
5. Используйте специальные облачные сервисы
Ещё один вариант для малого бизнеса — облачные сервисы вроде DataFort и McAfee Web Gateway Cloud Setvice. Они защищают информацию от сетевых угроз примерно на том же уровне, что и аппаратные устройства, которые обычно используют для этого в офисах. Но при этом не надо тратиться на техническое обслуживание. Иногда в дополнение к таким сервисам можно подписаться на антивирусную защиту или систему контроля за утечкой информации.
Ирина Талалаева.
