Россия: кибератаки на малый бизнес усиливаются
Половина предприятий малого и среднего бизнеса сталкивается с информационными атаками.
Малый и средний бизнес (МСБ) привык экономить на защите от IT-угроз ввиду и так большой финансовой нагрузки. Однако за последний год количество атак на небольшие компании удвоилось, и эксперты ждут их дальнейшего роста.
Сейчас каждое второе предприятие МСБ сталкивается с информационными атаками. Средняя сумма убытка — около 300 тыс. рублей. Специалисты рекомендуют предпринимателям не экономить на средствах защиты.
Потери от кибератак растут
Почти половина компаний малого и среднего бизнеса России сталкивалась с различными информационными угрозами в 2017 году, показало исследование Национального агентства финансовой информации (НАФИ). В результате этих угроз финансовые потери понесли 15% малых компаний и 22% всех фирм страны. Средняя сумма убытка в целом по стране — около 300 тыс. рублей.
Общая сумма потерь российского бизнеса в 2017 году, согласно выводам НАФИ, составила 116 млрд рублей. По оценкам аналитиков Сбербанка, размещенных на сайте Росконгресса (организатор крупнейших выставок и форумов), потери от киберпреступлений в 2017 году составили 550-600 млрд рублей, а в 2018 году эта цифра может превысить 1 трлн. По итогам первого квартала 2018 года эксперты банка зафиксировали увеличение количества атак в 1,5 раза.
«И атаки стали несколько другими: речь идет о комплексных, supply-chain-атаках, когда преступники атакуют не конечную цель напрямую, а внедряют уязвимости в программное обеспечение поставщика. Это позволяет получить доступ ко всей системе атакуемой организации», — приводятся в тексте слова заместителя председателя правления Сбербанка Станислава Кузнецова.
По данным «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) подвергалась DDoS-атаке (хакерской атаке на веб-ресурс с целью вызвать «отказ в обслуживании»). В 2016 году таких было в два раза меньше (17%).
При этом количество атак на крупные и малые предприятия практически сравнялись. Среди микропредприятий пострадали 37%, среди малого и среднего бизнеса — 31%, среди крупных компаний — 39%. Почти в половине случаев (47%) DDoS-атаки являются прикрытием для кражи данных. В двух из пяти компаний (43%) атака была призвана замаскировать взлом корпоративной сети, а у трети атакованных (31%) произошло прямое хищение денег.
«Риск подвергнуться DDoS продолжает расти, и пока нет признаков того, что тенденция изменится в ближайшем будущем, — приводит «Лаборатория Касперского» слова Алексея Киселева, менеджера проекта Kaspersky DDoS Protection. — Поэтому сейчас для каждого конкретного бизнеса не стоит вопрос, подвергнется ли он атаке — скорее надо спрашивать, когда именно это произойдет».
Почему малый бизнес не волнует кибербезопасность
Несмотря на риски, о которых говорят специалисты, малый бизнес не сильно озабочен вопросами информационной безопасности. Высокие налоги, административные барьеры, цены на энергоресурсы и еще десяток более насущных, на взгляд предпринимателей, проблем являются предметом обсуждения на мероприятиях и в СМИ, а также в бизнес-объединениях.
Специалисты компаний, выпускающих продукты информационной безопасности, полагают, что малый бизнес недооценивает угрозу. «Кому нужна небольшая компания? Ее никто не заметит и не тронет» — этот тезис больше не работает, убежден Роман Жуков, руководитель экспертного отдела компании «Гарда технологии». «Хакеры понимают, что предприятия МСБ-сегмента не могут себе позволить уделять много времени вопросам информационной безопасности, поэтому с удовольствием атакуют их», — утверждает он.
Григорий Пеньков, руководитель отдела развития компании Falcongaze (тоже разработчик ПО для защиты от информационных угроз), согласен, что руководители небольших компаний редко задумываются о построении системы информационной безопасности. «Как правило, ее пытаются создать уже после инцидента, ведь топ-менежменту кажется, что кибератаки и внутренние утечки их не коснутся», — говорит он.
«Поскольку сейчас практически у любой компании есть сайт, проблема кибербезопасности должна волновать всех предпринимателей, вне зависимости от размера бизнеса, — отмечает директор по развитию компании Variti Эдуард Макаров. — При этом у небольших компаний ресурсы и бюджеты, как правило, невелики, поэтому защита таких сайтов слабее, а значит, взломать их хакерам проще».
Александр Клоков, руководитель направления департамента страхования финансовых рисков «АльфаСтрахование», полагает, что малый бизнес стал для хакеров мишенью даже более привлекательной, чем крупные компании. «Это легкие, быстрые деньги, слабая защита, — говорит он. — Кроме того, представители малого и среднего бизнеса являются действующими поставщиками для крупных компаний. Соответственно, гораздо проще проникнуть в информационное пространство крупной компании путем взлома малого и среднего бизнеса».
Руководитель подразделения информационной безопасности «Первый БИТ:7000» Сергей Иванов считает, что руководители небольших компаний часто вообще не понимают, что существуют такие угрозы, не умеют оценивать стоимость собственных информационных активов. «Если руководитель не знает стоимость часа простоя, не способен оценить цену утечки базы конкурентам, вопросы информационной безопасности будут решаться только после инцидентов, повлекших прямые потери», — говорит он.
Специалист по ремувингу (удаление информации из интернета) компании «Репутация.Москва» Никита Самофракийский считает, что вопросы кибербезопасности поднимаются редко, поскольку в глазах малого и среднего бизнеса это статья расходов, которая не приносит прибыли. Роман Волов, руководитель направления дистрибуции компании TESSIS (продает в России продукцию по кибербезопасности нидерландской фирмы Gemalto), говорит, что если крупные компании могут позволить себе выделить средства на информационную безопасность, у малых предприятий прибыль зачастую не позволяет заложить расходы на подобные риски.
Роман Волов также обращает внимание на проблему использования нелицензионного ПО, особенно в регионах. «Недавние прогремевшие атаки, например, вируса WannaCry, существенно подорвали работу предприятий, после чего [в бизнес-среде] пришло понимание, что изначально дешевле было купить лицензионный антивирус, чем восстановить работу после [заражения вирусом]», — говорит он.
Чего стоит бояться малому бизнесу
По данным НАФИ, чаще всего российские компании сталкиваются с заражением вирусами, в том числе с последующим вымогательством денег (20%), взломом почтовых ящиков (12%) и атаками на сайт компании (10%). С Интернет-мошенничеством имели дело 7% опрошенных, с несанкционированным доступом к информации предприятия — 3%, с кражей персональных данных клиентов — 2%.
Основная цель всех киберпреступников — финансовая выгода, поэтому, если у компании есть что-то, на чем можно заработать, злоумышленники пойдут за этим, говорит Алексей Федоров, глава представительства Avast (производитель антивирусов) в России и СНГ.
Александр Клоков из «АльфаСтрахование» полагает, что наиболее интересными для киберпреступников среди малого и среднего бизнеса являются финансовая отрасль, онлайн-сервисы (включая мобильные приложения), медицина, ИТ-компании, розничная торговля, операторы связи, перевозки пассажиров и грузов. Роман Жуков из «Гарда Технологии» дополняет этот список микрофинансовыми организациями, страховыми и туристическими фирмами.
«Однако не стоит расслабляться и рестораторам, отельерам, иным представителям сферы услуг, поскольку лакомой добычей для киберпреступников сегодня являются [также] личные данные физических лиц — клиентов таких компаний», — поясняет Жуков и приводит в пример случаи с использованием публичной сети Wi-Fi, которая во многих случаях является уязвимой.
Жертвами хакеров в основном становятся компании, для которых сайт является средством привлечения клиентов и основным источником прибыли, считает директор по развитию Variti Эдуард Макаров. «Злоумышленники могут организовать DDoS-атаку, которая делает невозможной доступ к сайту, а также прибегнуть к различным видам мошенничества», — рассказал он.
Основные риски для малых компаний — утеря, повреждение или утечка баз данных клиентов, считает Антон Щеглов, заместитель генерального директора ООО «Страховой брокер "РИФАМС"».
Малый и средний бизнес часто забывает, что помимо внешних угроз, есть также внутренние риски — нарушители внутри компании, говорит руководитель отдела информационной безопасности компании «Системный софт» Яков Гродзенский. По словам Романа Жукова, есть примеры, когда для получения личной выгоды сотрудники продают коммерческие или иные данные конкурентам или на подпольных биржах в интернете.
Анализ «Лаборатории Касперского» также подтверждает серьезность внутренних угроз. По данным компании, в 93% организаций уровень защищенности внутренней сети низкий или крайне низкий.
Как защититься от угроз
По информации НАФИ, самый распространенный способ обеспечения информационной безопасности предприятий — установка антивирусного ПО. Эту меру предпринимают в 88% компаний. Прописанная политика информационной безопасности есть в 47% организаций, ограничение доступа к интернету практикуют в 45% организаций. Реже сотрудникам предоставляется возможность регулярно проходить обучение (29%) по информационной безопасности.
Для защиты на минимальном уровне необходимо иметь и вовремя обновлять лицензионное ПО, иметь полноценную антивирусную защиту, нанять специалиста или отдать вопросы информационной безопасности на аутсорсинг. По подсчетам Никиты Самофракийского, первые два пункта обойдутся примерно в 220 тыс. рублей в год для компании, в которой работает 10 компьютеров. К этой сумме нужно прибавить оплату специалиста по информационной безопасности.
Роман Жуков из «Гарда Технологии» отмечает, что рынок средств защиты информации больше нацелен на крупный бизнес и госсегмент, однако ввиду растущей активности киберпреступников в МСБ-секторе ситуация начинает меняться. «Сегодня существуют специализированные сервисы, предоставляющие базовый уровень защиты по подписной модели. То есть [это] аналогично ежегодному продлению антивируса — покупаются дополнительные средства безопасности с абонентской платой. Основной плюс в том, что не нужно сразу покупать дорогостоящее оборудование и софт, а также самостоятельно производить сложную настройку. Стоимость зависит от провайдера и наполнения, рынок еще недостаточно зрелый, поэтому цены могут варьироваться: от десятка до сотен тысяч рублей в месяц», — говорит он.
Для противостояния внутренним угрозам Григорий Пеньков из Falcongaze рекомендует DLP-системы. «Они мониторят все каналы коммуникации в компании, и, в случае обнаружения подозрительной активности, блокируют сообщение. Информация об инциденте приходит специалисту, отвечающему за безопасность», — рассказывает он.
Поможет ли страховка от киберугроз
Что касается страховки от киберугроз, большинство опрошенных корреспондентом Eurasianet.org экспертов сошлись во мнении, что для малого бизнеса этот вариант малоперспективен. «Дело в том, что стоимость страховки основывается на расчете рисков возникновения инцидентов, который складывается из уровня зрелости системы обеспечения информационной безопасности в компании. Зачастую она находится на зачаточном уровне, стоимость страховки, соответственно, будет непомерно высока», — объясняет Яков Гродзенский.
«Даже если предприятие подвержено таким рискам, ему выгоднее настроить политику IT-безопасности, чем ежегодно покупать страховку», — считает Антон Щеглов.
Однако Александр Клоков из «АльфаСтрахование» утверждает, что некоторые крупные компании начинают требовать у своих поставщиков наличия страхования от киберугроз. По его словам, этот рынок хорошо развит на Западе и теперь активно развивается в России. Какую именно выбрать защиту, зависит от характера угроз, который индивидуален для каждого вида бизнеса, говорят эксперты.
Алина Мусина – псевдоним российского журналиста.
Подписывайтесь на бесплатную еженедельную рассылку Eurasianet (на английском языке).