1679
Кибербезопасность малого и среднего бизнеса
Ранее никто публично не исследовал эту тему и не писал об ней, ведь все привыкли, что безопасность – дело крупного бизнеса. Однако за последнее время выяснились некоторые новые аспекты:
· МСП начали действительно часто «ломать» (45% атакованы, 15% понесли значимый ущерб);
· Информирование важно: МСП хотят понять, как работает ИБ;
· На ИБ начинают тратить после уже произошедших инцидентов;
· Более крупные МСП опасаются за системы автоматизации (АСУТП и CRM), малые — за свои сайты.
Вместе с цифровизацией набирают обороты и действия киберпреступников, получающих все новые технологические возможности и пользующихся недостаточным пониманием возможных угроз и нехваткой инструментов противодействия со стороны участников рынка. Киберпреступления каждый год наносят ущерб на триллионы долларов по всему миру.
Существенное влияние на рост числа кибератак в России оказала геополитическая ситуация. Статистические данные различных источников существенно отличаются, но все они говорят, что в 2022–2023 гг. такие атаки увеличились в несколько раз.
Одним из ключевых изменений нового времени стал серьезный рост кибератак на малые и средней предприятия (МСП). Если раньше они довольно редко становились целью злоумышленников из-за низкой экономической целесообразности, а под ударом оказывались крупный бизнес и объекты государственной критической инфраструктуры, то сейчас ситуация существенно изменилась.
Данное некоммерческое исследование подготовлено АНО «Агентство стратегических инициатив по продвижению новых проектов» совместно с ООО «Третья сторона» и является первой в России попыткой оценить защищенность субъектов малого и среднего предпринимательства, количество и последствия атак в условиях стремительного роста киберинцидентов в 2022–2023 годах.
Киберугрозы нового времени
Еще несколько лет назад действия хакеров наносили ущерб в первую очередь крупным компаниям. Сейчас угрозе подвергаются бизнесы любого размера.
В 2022 году количество инцидентов в сфере ИБ по данным Positive Technologies выросло на 20,8%. По данным «Ростелеком-Солар», основной целью злоумышленников стали государственные структуры: количество атак увеличилось в 7 раз. В то же время Group-IB оценивает рост числа финансово-мотивированных атак на российский бизнес на уровне 300%. Почти половина сегмента МСП столкнулась с кибератаками, при том что до 2022 года для злоумышленников такие компании не представляли особого интереса. Разве что – при атаках шифровальщиков, которые шли в поисках потенциальных жертв с достаточно широким неводом своих поисковиков.
Здесь можно выделить две ключевые причины: изменение геополитической обстановки, приведшее к уходу западных вендоров, и многократный рост числа кибератак в России. Одной из причин сложившейся ситуации является и нехватка специалистов в сфере ИБ. В госорганизациях ситуация еще сложнее. Всего в России, по разным оценкам, не хватает от 50 до 100 тыс. ИБ-специалистов.
Игнорирование опасности
Долгое время стратегия «игнорирования угрозы» была позволительна для МСП и в России, и в мире, так как небольшие компании взламывались достаточно редко в силу того, что такие атаки не были экономически привлекательными для киберпреступников. Впрочем, в России до 2022 года многие компании становились жертвами шифровальщиков — программ-вымогателей, создатели которых требовали деньги за восстановление зашифрованной информации.
Главные причины, по которым российские МСП все еще игнорируют ИБ-угрозы, — высокая стоимость услуг и ориентированность отрасли на крупнейшие компании, особенно на банки и других игроков финансового сектора. Работать с такими клиентами проще, прибыльнее, они традиционно тратят значительные деньги на защиту, часто покупают множество как продуктов, так и услуг.
Расходы на ИБ малого и среднего бизнеса в мире, по оценке «Лаборатории Касперского», оказались в среднем на довольно высоком уровне – 38 тыс. долл. в год (3 млн руб. по курсу на начало 2023 года).
С бюджетами на ИБ в России ситуация кардинально иная, и зачастую расходы находятся на минимальном уровне. В связи с этим на рынке не так много продуктовых решений, ориентированных на МСП.
При этом стоимость только одной проверки защищенности инфраструктуры (пентеста) в большинстве случаев составляет 1–2 млн руб. Поэтому многие МСП зачастую были вынуждены ограничиваться только самым очевидным — покупкой антивирусных программ и базовыми настройками безопасности.
Проблему дороговизны услуг можно назвать общемировой — на Западе крупный бизнес не раз платил десятки миллионов долларов за восстановление данных и тратил сопоставимые суммы на защиту, а МСП нередко несли ущерб в сотни тысяч долларов.
В 2021 году российские МСП в среднем платили 3 млн руб. за расшифровку данных, но сопоставимый бюджет на ИБ есть далеко не у всех компаний. Собственники бизнеса и менеджмент не привыкли инвестировать в информационную защиту.
Еще одна причина — слабая информированность сегмента МСП о возможных угрозах и способах защиты от них. Даже при наличии бюджета на безопасность МСП не имеют возможности грамотно им распорядиться.
Между тем с каждым годом массовая цифровизация увеличивает долю компаний, которые создают, хранят и передают данные о деятельности своего бизнеса, клиентах и партнерах. За последние два года картина для сегмента МСП сильно изменилась. Киберугрозы и последствия атак все сильнее зависят от отраслевой принадлежности бизнеса. Для технологических, производственных компаний или сектора логистики уровень угрозы и потенциальных потерь от атак гораздо выше, чем, например, для представителей сектора услуг. Причина понятна: стоимость простоя оборудования, восстановления работы парка станков или остановки грузоперевозок на несколько суток может быть критически высокой для любого бизнеса. Кроме того, мошенники активно атакуют небольшие торговые онлайн-площадки, чтобы добраться до их клиентов, а мобильные приложения — ради доступа к платежной информации.
При этом для некоторых отраслей даже сейчас стратегия «игнорирования угроз» по-прежнему является приоритетной в управленческих действиях.
Угрозы по типам атак
В современных российских реалиях эксперты выделяют три основных типа угроз для МСП.
1. Шифровальщики и программы-вымогатели.
Три года назад компания CISCO именно шифровальщиков назвала одной из главных цифровых угроз для бизнеса. Их создатели, как правило, имеют финансовую мотивацию — зашифровать данные и получить за них выкуп. Для МСП они опасны из-за возможной потери данных и остановки технологических процессов, тем более что в отличие от крупных организаций резервное копирование в МСП настроено ощутимо хуже или вовсе отсутствует. После 2022 года количество атак с использованием шифровальщиков на МСП выросло в 5 раз.
2. Действия недовольных
Основная цель — нанесение максимального ущерба. Для таких людей и организаций финансовая мотивация уходит на второй план, они выбирают жертв по принадлежности к отдельной стране, индустрии или просто атакуют бывшего работодателя.
Самым ярким примером «финансово немотивированной» атаки можно назвать взлом МосгорБТИ — государственного предприятия, которое занимается сбором и обработкой технической информации о московской недвижимости. Эта организация хранит сведения об истории перепланировок в московских квартирах. Так, получение выкупа даже в случае исключительно успешной атаки здесь было невозможным, злоумышленники это понимали, но их это не останавливало.
Точно такая же ситуация сложилась с МСП, атаковать которых для злоумышленников раньше было неразумно из-за малой стоимости выкупа. Сейчас их цель — не прибыль, а максимальный ущерб.
С подобными ситуациями регулярно сталкиваются и небольшие коммерческие компании: злоумышленники требуют от них выкуп, который может быть сопоставим с годовым оборотом компании. В некоторых случаях невозможность восстановления зашифрованных данных приводила к банкротству бизнеса.
3. Мошенничество.
Оно особенно актуально для маркетплейсов и компаний, занимающихся электронной коммерцией. Мошенники нередко получают доступ к базе клиентов и начинают звонить от имени компании, предлагая «уникальные условия» и «огромные скидки». В худшем случае они действуют заодно с действующими сотрудниками — вспоминаем историю Wildberries, когда злоумышленники продавали рекламу на продвижение товаров, имея доступ к внутренним инструментам.
Последствия атак для МСП
Киберугрозы порождают множество совершенно разных рисков для бизнеса — это прямой финансовый ущерб, репутационные потери, издержки и штрафы.
Прямые финансовые потери
По данным «Лаборатории Касперского», средний ущерб от одной кибератаки для МСП составил порядка 32 тыс. долл., причем с высокой вероятностью эта цифра в реальности несколько меньше, а общее количество успешных атак со сравнительно небольшим ущербом — больше. Успешные атаки наносят прямой ущерб бизнесу, препятствуют его нормальному функционированию и создают дополнительные затраты как на восстановление данных и инфраструктуры, так и на организацию функции информационной безопасности, включая покупку лицензий на ПО, дополнительные расходы на заработные платы и услуги сторонних подрядчиков по ИБ.
В соответствии с КоАП юрлицо могут оштрафовать на сумму до 300 тыс. руб. по ст. 13.11 за нарушение правил о персональных данных в случае повторных утечек.
В настоящее время в России используется практика минимальных либо отсутствующих штрафов за утечку персональных данных, но внимание государства к этому вопросу в скором времени может привести к ужесточению законодательства и правоприменительной практики.
Репутационные потери
Клиенты компании, которая по собственной халатности допустила утечку персональных данных, станут к ней менее лояльны.
В случае если в сеть попадет критическая клиентская информация, способность такой компании эффективно вести бизнес окажется под угрозой. Репутационные потери приводят к сокращению количества клиентов.
Особо следует отметить угрозу использования злоумышленниками зараженной компьютерной инфраструктуры жертвы для проведения дальнейших атак. В 2023 году имели место несколько примеров использования инфраструктуры отдельных
предприятий МСП для распространения вредоносного ПО, о котором владельцы систем узнавали только после визита правоохранительных органов. Применение МСП злоумышленниками «втемную» может привести не только к очевидным юридическим
последствиям, но и к изъятию оборудования в случае, если таковое использовалось для атаки на критическую инфраструктуру страны. Как правило, распространение вредоносного ПО в этой ситуации идет в автоматическом режиме, но для МСП этот факт особого значения не имеет.
МСП в России сталкиваются с недостаточностью понимания проблем киберугроз, а также опыта и компетенций по защите бизнеса. Необходимо повышать осведомленность предпринимателей, создавать условия для подготовки специалистов ИБ, обеспечить доступ к качественным и недорогим инструментам и технологиям.
К сожалению, в России сегодня сформировался некий замкнутый круг — представители малого и среднего бизнеса зачастую не понимают, как им строить ИБ, количество кибератак с каждым годом растет, а специалистов по ИБ катастрофически не хватает. В итоге в зоне риска оказываются именно небольшие компании, особенно располагающие ИT-инфраструктурой, но не имеющие возможностей для эффективной защиты.
Статистические данные:
· Порядка 45% опрошенных в ходе данного исследования компаний сталкивались с инцидентами в сфере ИБ либо кибератаками за 2023 год.
· Приблизительно 30% из компаний, столкнувшихся с ИБ-инцидентами, оценивает его как умеренный или критический.
· В 55% случаев МСП боятся нанесения репутационного ущерба как наибольшей угрозы бизнесу, реже всего (в 33% случаев) — кражи внутренних документов.
· Переход к полноценному бюджетированию ИБ является ключевым фактором положительного изменения восприятия компанией защищенности от киберугроз. 61,5% респондентов, занимающихся полноценным бюджетированием ИБ и внедрения, сообщили о том, что их уровень защищенности вырос.
