аналитикановостиэкономика

Каждая третья малая компания доверяет киберзащиту офис-менеджеру

На фоне растущих угроз большинство малых и средних предприятий (МСП) в России по-прежнему не подходят к вопросам информационной безопасности (ИБ) системно. В большинстве компаний вопросы ИБ решаются по остаточному принципу, у 13% вообще нет ответственных за эту сферу, а 16% не применяют никаких технических решений для обеспечения кибербезопасности. Такие данные представлены в исследовании ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру». 

Исследование показало, что только у 28% МСП есть штатный специалист по ИБ, а у 13% — полноценная ИБ-команда. Однако в большинстве компаний (31%) вопросы информационной безопасности берут на себя ИТ-специалисты, системные администраторы или даже офис-менеджеры. Еще 15% передают ответственность за ИБ внешним подрядчикам, чья квалификация не всегда подтверждена или достаточна. При этом 13% респондентов вообще не имеют ответственных за обеспечение информационной безопасности. 

В исследовании были выделены четыре основные модели подхода к ИБ в МСП. Базового уровня защиты придерживаются 42% компаний: за ИБ отвечает один из специалистов ИТ по совместительству, применяются минимально достаточные средства защиты — антивирус, резервное копирование, парольная политика, а в ИБ не закладывают дополнительные вложения. 20% малых компаний стремятся к постепенному усилению защиты с выделением отдельного специалиста, но без создания полноценного отдела. На информационную безопасность выделяется дополнительный бюджет, например, на сканеры уязвимостей, шифрование мобильных устройств, сетевую безопасность. 

Столько же компаний (20%) придерживаются высокого уровня защиты с отдельным подразделением ИБ, где руководитель подчиняется генеральному директору. Также предварительно оцениваются риски, определяются метрики и проводятся внешние аудиты. Еще 18% рассматривают аутсорсинг как эффективную альтернативу внутренним ресурсам. В таких случаях бизнес делает ставку на внешнюю экспертизу, готовые решения «под ключ» и профессиональную поддержку со стороны специализированных компаний. Однако на практике это могут быть и приходящие специалисты, чья квалификация не всегда подтверждена или соответствует уровню угроз. 

Самыми популярными мерами защиты в сегменте МСП остаются антивирусное ПО, VPN, парольная политика, резервное копирование и шифрование данных. Однако 16% компаний в принципе не применяют никаких защитных решений. Специализированное обучение сотрудников регулярно проводят только 27% компаний, еще 16% — только после произошедших киберинцидентов. 17% респондентов не обучают персонал вовсе и не планируют это делать, а 16% собираются внедрить соответствующие программы. 

Среди наиболее тревожащих угроз респонденты называли DDoS-атаки (19%), вредоносное программное обеспечение (17%), фишинговые атаки и взлом корпоративных аккаунтов (по 16%), а также уязвимости в ПО (15%). Социальная инженерия вызывает опасения у 7% респондентов, действия инсайдеров — у 4%, а компрометация поставщиков или подрядчиков — у 3%. По данным исследования Orion Soft, 85% ИТ-специалистов считают основной причиной взломов и утечек данных человеческий фактор. Лишь 1% участников исследования заявили, что не испытывают тревоги перед киберугрозами. 

Респонденты отметили сразу несколько последствий кибератак как наиболее значимые: 83% упомянули юридические риски, 76% — финансовые потери, 75% — репутационные риски, включая снижение доверия со стороны клиентов и партнеров, 71% — приостановку бизнес-процессов и нарушение работы ИТ-систем, 50% — потерю доступа к важной информации, например, из-за действий вирусов-шифровальщиков. 

Сегодня значительная часть МСП по-прежнему выстраивает киберзащиту по остаточному принципу: без выделения ответственных специалистов, без четких регламентов и зачастую — без понимания реального уровня риска, говорит исполнительный директор компании «Киберпротект»  Елена Бочерова. Мы видим, что даже базовые меры применяются не всегда, а обучение сотрудников и вовсе остается точечным или в принципе отсутствует. Это делает бизнес уязвимым — особенно на фоне роста числа инцидентов и расширения потенциальных угроз. Чтобы выйти из этой уязвимой зоны, важно не только внедрять технологии, но и повышать осведомленность сотрудников, уделяя внимание кибергигиене как элементу общей культуры управления». 

Необходимо вводить определение уровней информационной безопасности, считает исполнительный директор «СиСофт Разработка» Михаил Бочаров. Поскольку различные организации, включая госкорпорации, по-разному оценивают возможность управлениями данных. «Поэтому должен быть единый порядок, чтобы все виды организаций подчинялись единому федеральному законодательству. А чтобы департаменты по информбезопасности корпораций и госструктур не увлеклись запретами на использования данных, логично ввести KPI о цифровизации предприятия», — пояснил эксперт.

Исследование подчеркивает, что многие МСП остаются уязвимыми перед современными киберугрозами, что может привести к серьезным последствиям для бизнеса.

Фото: freepik