Малі та середні підприємства все частіше стають мішенню для кібератак і приносять кіберзлочинцям великі гроші. Тому, кількість спроб зламів, атак, підборів паролів збільшується. На відміну від великих компаній, МСП майже в усіх випадках не мають достатньо можливостей для протистояння злочинцям, тому виплачують викупи, або ще гірше — втрачають цінну бізнес-інформацію. Для невеликої компанії такий інцидент може мати значний вплив на її репутацію та подальше існування.
Наведу приклад, що стався нещодавно. Серед ночі на пошту невеликої компанії з продажів прилітає лист з електронної адреси, схожої на адресу e-commerce платформи, на якій працює сайт і ведуться продажі. У темі — аларм-аларм, у тексті — гучні слова, які дуже впливають на емоції. Звісно, менеджер компанії підпадає під емоційний вплив шахраїв і вступає в переписку, яка закінчується вимогою викупу.
Такий же «лист щастя» може отримати на свою адресу будь-який підприємець, який використовує системи документообміну, сервіси підрахунку податків чи будь-який популярний сервіс, лист від якого можливо підробити. І лише особиста уважність може вберегти від передачі надчутливих фінансових та персональних даних.
Чому кібершахраї досягають своїх цілей
Нижче розглянемо декілька основних причин, чому це відбувається.
Незнання базових правил кібербезпеки
Малі підприємства, приватні підприємці та інші представники МСП – це люди-оркестри. Вони ведуть бізнес, нараховують податки, виплачують зарплати, виробляють свої продукти чи послуги, спілкуються з клієнтами. Звісно, знань та уважності до кіберризиків таким універсальним працівникам може не вистачити. Малі підприємства не інвестують у навчання працівників базовій кібергігієні, що може мати негативні наслідки.
Отже, важливо постійно покращувати свій рівень знань:
- стежити за новинами кіберзахисту;
- слухати освітні вебінари;
- читати думки експертів з цієї сфери;
- постійно дізнаватися щось нове.
Кібербезпека – поза пріоритетом
Також невеликі компанії зазвичай не закладають бюджет на захист даних, адже мало приділяють уваги цьому питанню. Проте, як показує практика, через таке нехтування у майбутньому вони можуть витрати ще більші кошти, щоб мінімізувати наслідки кібератак. Авжеж, кожна організація має власні пріоритети. Часто це прагнення розвивати і масштабувати бізнес, що потребує великих інвестицій. Але чим більш розвинутою стає компанія, тим більш ласим шматочком вона є для кіберзлочинців. І тут уже питання технологічного захисту стає актуальнішим.
Брак персоналу та відповідної кваліфікації.
Про часто слабкий рівень кіберзахисту у МСП свідчить й відсутність відповідних спеціалістів у штаті або на аутсорсі. Такі питання зазвичай делегують системним адміністраторам чи іншим ІТ-спеціалістам, котрі не мають глибинних знань і потрібних навичок, аби протистояти кібератакам.
Відсутність комплексного управління безпекою
Намагаючись заощадити, маленькі та середні підприємства роблять ставку на антивіруси для захисту. Вони покладають на них надії, сподіваючись, що за невеликі кошти купують гарантію безпеки. Але рівень складності сучасних кібератак, зазвичай, вищий за технічні можливості таких антивірусних програм. Щоб убезпечитися від вправних кіберзлочинців, компаніям потрібні комплексні рішення для моніторингу роботи програмного забезпечення і дій співробітників.
Чим можуть скористатися кіберзлочинці
По-перше, відсутністю ліцензій на ПЗ або ж їх невідповідністю. Знову ж таки, щоб зекономити, малі компанії купують найдешевші ліцензії. Вони націлені на індивідуальних користувачів, і не допоможуть централізовано відстежувати стан системи підприємства.
По-друге, це відсутність вчасних оновлень програм. Кожен робочий комп’ютер – частина системи, яку треба централізовано моніторити, чим також нехтують МСП. Співробітники самі займаються оновленням своїх робочих ПК чи ноутбуків і інколи можуть проігнорувати сповіщення про необхідне оновлення. Тоді застарілі програми стають ключем для зловмисників, щоб уразити систему компанії та отримати доступ до важливих даних. Розробники їх недарма оновлюють, щоб «закривати» для злочинців потенційні вразливості.
Ще один важливий аспект – неналежне управління доступом до даних. До прикладу, ваші співробітники мають доступ до даних, який не скасовується навіть після звільнення з компанії. Або доступ до даних є у тих, кому не потрібно його мати. Зловмисники можуть скористатися цим, щоб отримати доступ до конфіденційних даних і злити їх конкурентам. Як наслідок, ви втратите дані, майбутні прибутки і репутацію.
Неусвідомлення ризиків для МСП
Часто власники МСП вважають, що чим більша компанія, тим вірогідніше вона привертає увагу кіберзлочинців. Адже великі підприємства – це більші прибутки і більші можливості для крадіжок. Тоді як МСП, на їхню думку, не мають значних обертів коштів і не впливають на правила гри на ринку.
«Зі мною такого не станеться», – саме так ставляться до кібератак малі та середні бізнеси. Така думка є хибною і може коштувати задорого для МСП, фінансово та репутаційно. За статистикою, 60% МСП закриваються чи оголошують про банкрутство саме після першої значної атаки з боку кіберзлочинців.
Що загрожує компаніям із таким підходом до кібербезпеки
Наведу декілька прикладів.
Перший розповсюджений кейс пов’язаний із грошовими переказами. Часто в невеликих компаніях бухгалтер – це і особа, яка ухвалює рішення і є виконавцем переказів. Якщо не навчити працівника правилам кібербезпеки, принципу «чотирьох очей», дуже вірогідно, що переказані кошти можуть потрапити на рахунки шахраїв. Принцип «чотирьох очей» – це затвердження рішень про фінансові операції та їх здійснення за участі мінімум двох працівників. Наприклад, бухгалтер нехай залишається саме виконавцем оплат, але «підписувати» документи до оплати має керівник чи власник бізнесу.
Ще один приклад – це персоналізовані атаки або «атака посередника». Зловмисники легко ідентифікують працівника МСП у соцмережах, збираючи там дані для фішингової атаки. Далі все залежить лише від довірливості співробітника і рівня його знань з кібербезпеки. Адже, просто перейшовши за небезпечним посиланням, співробітник може видати важливі таємниці компанії.
Також варто розглянути випадок з адмініструванням соцмереж. Малі бізнеси зазвичай ведуть комунікацію, представляють і продають товари саме на платформах соціальних мереж. Керує ж усіма сторінками, як правило, один працівник. Тобто уся відповідальність за акаунт компанії в соцмережах лежить саме на ньому. Шахраї можуть скористатися цим, і під виглядом клієнта чи партнера МСП виманити потрібні дані чи змусити перейти за небезпечним посиланням. Унаслідок цього компанія може втратити кошти з прив’язаних платіжних карт, базу клієнтів і, що найголовніше, довіру клієнтів, адже їхні дані можуть потрапити до рук зловмисників.
Стрімкий розвиток стартапів
Компанії, які щойно відкрилися, але швидко розвиваються, теж опиняються під загрозою кібератак. Причинами цього можуть бути брак досвіду й недостатнє фінансування усіх сфер бізнесу. Адже, убезпечити невеликий стартап із єдиним офісом та декількома співробітниками набагато простіше, ніж відстежити всі ризики середнього бізнесу, який швидко розширюється новими філіями у декількох містах чи навіть країнах.
Як дії можуть убезпечити малий бізнес від кіберзлочину
Усі перераховані вище моменти можуть ускладнити функціональність малих та середніх підприємств, а в деяких випадках навіть поставити під загрозу їх існування. Проте, дотримання базових правил допоможе уникнути деяких ризиків.
- Встановлюйте кіберправила. Навіть інвестувавши кошти у кібербезпеку вашої інфраструктури, ви ризикуєте втратити дані, якщо не встановите чіткі кібернорми для співробітників. Вони повинні знати, як поводитися у тій чи іншій ситуації, як захистити корпоративну інформацію, на що звертати увагу, отримавши нового листа від незнайомого адресата тощо.
- Резервуйте дані. Бекап даних за межами вашої інфраструктури, зокрема у хмарі, підвищить їхній захист. Навіть у випадку атаки на ваш бізнес, важливі дані зберігатимуться у надійному просторі, а згодом їх можна буде легко відновити і продовжувати працювати.
- Захищайте дані. Для передачі даних варто застосовувати безпечні рішення. Допоможуть у цьому віртуальна приватна мережа (VPN) і шифрування пристроїв завдяки спеціальному ПЗ. Також у пригоді стане багатофакторна автентифікація (MFA) та PCI DSS (Payment Card Industry Data Security Standard), які забезпечать надійність доступу до інформації і платежів.
- Сегментуйте. Інтернет-мережа вашої компанії обов’язково підлягає сегментації, щоб розділити доступ. Наприклад, відділивши Wi-Fi окремо для клієнтів, співробітників, відділу фінансів, ІТ-фахівців, ви підвищуєте захист кожного сегмента у разі проникнення зловмисників у мережі. Це означає, що при отриманні доступу до даних співробітників, дані відділу фінансів для шахраїв залишаться недоступними.
- Звертайтеся до професіоналів. Щоб не винаходити велосипед, варто довірити безпеку своїх даних тим, хто вже давно на ринку і стежить за тенденціями. Кіберзлочинці відточують свої навички постійно, і провайдери з питань кібербезпеки за цим стежать. Тож звернувшись до таких провайдерів, МСП отримають повний супровід та адаптовані під їхні потреби безпекові рішення.
Отже, постійне тренування персоналу та інвестування в його кіберосвіту, а також впровадження ліцензованих рішень із цифрової безпеки, допоможуть захистити діяльність малих та середніх підприємств. Вибір надійного партнера теж гарантуватиме комплексні й персоналізовані підходи до кібербезпеки, що допоможе в рази підвищити ефективність бізнес-процесів і здатність компаній до масштабування.
