Хорошее статистическое подтверждение тому, о чем мы ранее уже говорили. Согласно свежему обзору предприятий по всему миру от «Лаборатории Касперского» — 2014 IT Security Risks summary report, малый бизнес (very small business) – компании со штатом сотрудников менее 25 человек – наименее готов принимать ИТ-стратегию в качестве одного из приоритетов для беспокойства. Только 19% VSB по всему миру поставили ИТ-стратегию в качестве одной из своих первых двух стратегических проблем, в отличие от 30% предприятий, насчитывающих свыше 100 сотрудников, и 35% предприятий с 5000 сотрудников и более. Вызывает тревогу тот факт, что эта бизнес-категория, которой часто пренебрегают, включает в себя политики использования интернета и обеспечения безопасности данных.
Основная причина всё та же: «Мы слишком малы, чтобы заботиться о чем-то, чего может никогда и не случиться, о кибератаках». Действительно, VSB– это зачастую стартапы, только пытающиеся встать на ноги, и чаще всего им просто не достает средств или ИТ-специалистов, чтобы должным образом реализовать жизненно важные ИТ-компоненты вроде защитного ПО.
Владелец нового бизнеса, скорее, пустит все ресурсы на рост продаж своих основных продуктов или услуг. Кому нужны все эти инвестиции в бизнес-инфраструктуру, если сам бизнес рухнет?
Когда мелкому бизнесу пора задумываться о своей ИТ-безопасности?
Tweet
Но тогда возникает вопрос, а в какой момент мелкому бизнесу следует начинать выстраивать план ИТ-безопасности на будущее? И опять же, каковы могут быть последствия, если с этим запоздать?
По оценкам IDC, во всем мире насчитывается около 80 миллионов компаний, штат которых не превышает 10 сотрудников. В их среде вышеупомянутая концепция «безопасности из незаметности» процветает. В таких компаниях уверены, что они слишком малы, для того чтобы стать мишенями киберпреступников, и не владеют никакими данными из тех, что киберпреступников могут заинтересовать. Тем не менее, отчет компании Verizon о расследованиях краж данных в 2013 году, который сводит воедино информацию криминалистов со всего мира, показывает, что из 621 случая взломов, включенных в анализ, 193 — более 30% — произошли в компаниях со 100 или менее сотрудниками в штате. Вполне логично предположить, что малые компании составляют значительную часть этих жертв.
Проблема в том, что киберпреступники не обращают внимания на размер или ценность «заочных» данных в атакуемой компании. Они просто шарят везде и всюду в поисках слабых мест и доступа к деньгам, и как только находят, атака последует обязательно.
Как только бизнес начинает обрабатывать платежи по банковским картам, хранить информацию о клиентах или строить планы по выпуску новой продукции, то это уже обладание данными, ценными для киберпреступников.
В действительности некоторые злоумышленники могут предпочитать такие «лёгкие цели», которые заведомо отличаются плохой ИТ-безпасностью. Итоговый выигрыш с каждой такой жертвы нападения не велик, но зато требует меньше усилий от преступника для успешной атаки многочисленных малых предприятий вместо одного крупного бизнеса.
А вот тут и кроется главное отличие. Более крупные предприятия располагают средствами, позволяющими оправиться после инцидента в сфере ИТ-безопасности. Однако издержки от потери данных клиентов, выход в оффлайн на значительный период времени и связанные с ними расходы на восстановление могут исчисляться тысячами долларов в зависимости от типа инцидента и оказаться достаточными, чтобы развалить мелкий бизнес до основания.
Интересно, что опрос «Лаборатории Касперского» также показал, что владельцы мелких компаний на самом деле знают о сетевых угрозах и опасностях, которые они представляют. Когда их попросили обозначить важнейшие проблемы, связанные с ИТ, 35% представителей малого бизнеса поместили «защиту данных» в число трех самых важных аспектов, показав высший рейтинг среди всех сегментов бизнеса (то же сделали 26% средних предприятий и 29% крупных).
Малый бизнес хорошо осведомлен об угрозах безопасности ИТ, но у них иные приоритеты.
Tweet
По той же причине малый бизнес ставит вопрос обеспечения бесперебойной работы критичных для бизнеса систем в тройку важнейших забот ИТ-отделов – на уровне, сопоставимом с оценкой в крупных предприятиях (всего на 2% меньше общего среднего значения).
Другими словами, руководители малых компаний знают, что ИТ-стратегия играет жизненно важную роль в защите конфиденциальных данных и защите ежедневной бизнес-деятельности от ущерба, полученного в результате действия вредоносных программ и злоумышленников. Но приоритеты, все-таки, не в том.
Кроме того, малый бизнес хорошо осведомлен о преимуществах и рисках безопасности при использовании мобильных устройств в работе. 34% малых компаний подтвердили интеграцию мобильных устройств в ИТ-системы за последние 12 месяцев. Такие темпы почти идентичны внедрению на крупных предприятиях (32% крупных компаний и 35% средних предприятий ввели мобильные устройства).
Более того, малые компании фактически лидируют по осведомленности в деле безопасности мобильных устройств. 31% представителей малого бизнеса указали защиту мобильных/портативных вычислительных устройств в числе трех приоритетов ИТ-безопасности на ближайшие 12 месяцев. Это количество удивительно велико, по сравнению со средними по миру 23% всех предприятий, которые уделили особое место безопасности мобильных устройств в предстоящем году.
Кажется, эти данные оспаривают любые претензии на то, что малый бизнес является менее «подкованным» в использовании мобильных устройств или рисках мобильной безопасности, чем более крупные бизнесы. И это на самом деле легко объяснить. Сотрудники стартапов пользуются собственными устройствами с первого дня, так что парадигма BYOD формируется у них естественным образом. А вместе с ней, скорее всего, приходит и осознание киберугроз в целом: небольшие стартапы, как правило, организуют молодые люди, которые привыкли к ИТ с раннего детства. Но опять же, знакомство с компьютерами, мобильными устройствами и вопросами безопасности не делает из них экспертов.
Новое исследование ясно показывает, что осознание интернет-угроз довольно высоко, но все же приоритеты пока не в ИТ-стратегии, а в чем-то другом. Это, скорее всего, означает, что такой низкий уровень приоритета у вопроса ИТ-безопасности определяется бюджетом. VSB просто не имеют достаточно средств на внедрение более продвинутых ИТ и мер безопасности в ИТ.
Таким образом, «Лаборатория Касперского» советует малым компаниям инвестировать в меры безопасности, которые обеспечат немедленную отдачу при возможных угрозах, с которыми обычно сталкивается мелкий бизнес. По данным опроса VSB, сообщивших о потере бизнес-данных из-за кибератаки, 32% указали «вредоносные программы» в качестве причины серьезных инцидентов. Этот показатель вдвое больше, чем было сообщено предприятиями (16%). Еще одной важной причиной потерь данных в среде малого бизнеса стали «уязвимости программного обеспечения», о чем сообщили 9% опрошенных, что примерно равно среднему по миру значение в 8% сославшихся на данный фактор. Это означает, что программные уязвимости – это вопрос безопасности, который затрагивает любой бизнес почти в равной степени, независимо от размера.
С учетом этих фактов «Лаборатория Касперского» рекомендует свой пакет Kaspersky Small Office Security в качестве цели для инвестиций малого бизнеса. KSOS разработан с учетом привлечения технологий бизнес-класса в такой форме, которая не требует специальных ИТ-знаний для работы. В его состав включен ведущий антивирусный движок в отрасли и сканер уязвимостей ПО для выявления любых машин, которые могут использоваться злоумышленниками. Kaspersky Small Office Security оснащен и защитой от вредоносных программ, и противоугонными функциями для мобильных устройств, которые малые компании активно задействуют, а также инструментами шифрования данных, для того чтобы обезопасить данные клиентов от кражи или случайного удаления.