Звучит парадоксально, но корень большинства информационных угроз малому и среднему бизнесу кроется в том, что его просто не защищают. Мотивы владельцев очевидны: собственники небольших компаний склонны оценивать степень опасности кибератак для своего бизнеса как незначительную и полагают, что затраты на информационную безопасность им не по карману. Но обе эти оценки ошибочны.
На первый взгляд все верно: преступники выбирают места высокой концентрации денег (идеальная мишень — банк), а создание собственного подразделения информационной безопасности — удовольствие дорогое. Со случайными угрозами вроде заражения рекламными зловредами вполне справится системный администратор, вооруженный антивирусным пакетом. Но статистика, увы, неумолима: инцидентов происходит все больше, потери все выше, и SMB-сектор получает все больше внимания со стороны хакеров.
Определение «малый и средний бизнес» может ввести в заблуждение. По российскому законодательству малым предприятием считаются компании со штатом до 100 работников и годовой выручкой либо стоимостью активов до 800 миллионов рублей. В среднем предприятии работает до 250 человек, а годовая выручка или стоимость активов — до 2 миллиардов рублей. Цифры солидные, а главное — очень привлекательные для киберпреступников.
Кто защитит малый и средний бизнес? #бизнесбезугроз
Tweet
В прошлом году восемь из десяти малых компаний по всему миру пережили как минимум по одному ИБ-инциденту, а 23% компаний утверждают, что их атаковали каждую неделю. При этом средний ущерб от инцидента в сегменте малого и среднего бизнеса составил $38 тысяч. В этой оценке учтены привлечение специалистов к устранению последствий, упущенные бизнес-возможности, а также недополученная прибыль и прямые потери от простоев. Половина инцидентов обходится компании в $50 тысяч и более.
Злоумышленников интересуют персональные данные клиентов компании, интеллектуальная собственность и, естественно, деньги. Помимо этого все чаще небольшие компании становятся для кибербандитов точкой входа в производственную цепочку, откуда можно успешно атаковать более защищенные крупные корпорации. Так, в 2015 году каждая шестая атака проводилась со стороны внешнего бизнес-партнера или поставщика.
В мире насчитывается 65 миллионов небольших компаний, составляющих около трети всего мирового бизнеса. 78% из них не имеют собственных специалистов по информационной безопасности. Это не значит, что они не защищаются вообще. Однако в большинстве случаев выбранная ими ИБ-стратегия, мягко говоря, неоптимальна.
Так, согласно исследованию B2B International, две трети SMB-компаний используют защитные решения корпоративного класса, которые, во-первых, обходятся чрезмерно дорого, а во-вторых, сложны в управлении (ограниченный контингент IT-специалистов маленькой компании зачастую просто не способен эффективно управлять ими). Еще 12% малых и средних бизнесов, напротив, предпочитают бесплатные «домашние» защитные пакеты. Специализированными решениями для SMB пользуется лишь каждая пятая компания этого сегмента. Но и среди таких фирм далеко не каждая может считать себя надежно защищенной.
Тщательно продуманная система информационной безопасности, даже разработанная для небольшой компании, должна состоять из нескольких уровней защиты и быть легкоуправляемой. И, конечно же, она должна обходиться недорого. Оптимальным решением в данном случае может стать помощь сервис-провайдера (MSP).
Но многие MSP-провайдеры не имеют в своем портфолио сервисов по обеспечению IT-безопасности. И, на наш взгляд, они совершают двойную ошибку. С одной стороны, они игнорируют перспективный сегмент рынка, вынуждая клиента решать вопросы защиты своими силами и упуская выгоду. С другой стороны, без адекватной защиты бизнес клиентов несет потери, что в итоге сказывается и на самих MSP.
Система безопасности должна быть многоуровневой и легкоуправляемой #бизнесбезугроз
Tweet
В силу того что MSP закупает решения оптом, для конечного заказчика они зачастую выходят дешевле, чем при самостоятельной покупке. Но MSP-провайдера нельзя рассматривать просто как поставщика лицензий на некий набор защитного программного обеспечения. Прежде всего это услуги внешнего эксперта, столь необходимые в отсутствие собственных специалистов у большинства SMB-компаний. Наконец, услуги провайдера нередко обходятся дешевле, нежели построение защитного периметра собственными силами.
Дальновидные поставщики MSP-услуг формируют предложения по защитному ПО для SMB-компаний и предлагают услуги по управлению защитными системами без необходимости привлечения внутренних специалистов по информационной безопасности. Не каждый сервис-провайдер хорош для небольших компаний, но наиболее успешные из них фокусируются именно на этом сегменте.
Возникает логичный вопрос: почему же такие услуги предлагают не все MSP-провайдеры? А проблема заключается в специализированных защитных решениях, которые должны удовлетворять ряду требований для эффективного применения поставщиками MSP-услуг. Как показали наши опросы, редкий провайдер доволен существующими решениями для обеспечения информационной безопасности — практически все они страдают от ряда специфических недостатков, проистекающих из направленности на иной рынок.
В первую очередь провайдерам сложно продавать эти решения, так как их работу не так-то просто показать потенциальному клиенту. Ведь если для демонстрации продукта необходимо развернуть пилотный проект, то большинство компаний сегмента SMB заведомо откажутся даже рассматривать такое предложение.
Еще одна сложность заключается в том, что MSP-провайдеры, работающие в сфере информационной безопасности, вынуждены работать с решениями разных вендоров, предназначенными для различных задач: антивирусной защиты, управления обновлениями ПО, резервного копирования, контроля мобильных устройств и многим другим ПО. Специалист, обслуживающий ряд некрупных клиентов, рискует просто запутаться в многочисленных консолях. А это может отразиться на эффективности мониторинга и управления. При этом решений, способных объединить все эти инструменты в рамках единой консоли, на рынке практически нет.
Впрочем, защитные решения для мобильных устройств — это вообще совершенно отдельная проблема. Типичную для малого и среднего бизнеса задачу — централизованное развертывание антивируса на нескольких десятках или сотнях мобильных устройств — с помощью «домашнего» антивируса не решить, а «тяжелые» решения корпоративного класса для малого бизнеса чрезмерно ресурсозатратны.
Мы в «Лаборатории Касперского» осознаем нехватку инструментов, ориентированных именно под нужды MSP-провайдеров, и постоянно совершенствуем свои защитные решения. Часть проблем поможет решить Kaspersky Small Office Security, программа, которая, с одной стороны, обеспечивает надежную защиту компьютеров и серверов, а с другой — может администрироваться через облачный интерфейс. Однако настоящие проблемы поставщиков услуг MSP лучше всего видны им самим. И мы всегда готовы их выслушать, чтобы в дальнейшем учитывать их потребности. Если вы работаете в компании, поставляющей MSP-услуги, и вам есть что сказать на эту тему (объяснить, каких именно инструментов вам в действительности не хватает, обратить внимание на проблемы, которые в данный момент наши продукты не решают), то мы будем рады прочитать о них. Пишите по адресу msp@kaspersky.com.