Малому та середньому бізнесу важко, коли мова заходить про кібербезпеку. Більшість експертів з безпеки вважають за краще обирати для себе інші напрямки, ніж йти працювати в SMB.

Експерти з безпеки мають великий попит. Однак замість малих і середніх підприємств вони зазвичай обирають спеціалізовані компанії по забезпеченню безпеки і займатися тестами на проникнення. Іншим кращим варіантом є великий бізнес, де вони можуть звузити свої завдання і / або мати більш перспективний кар’єрний шлях, аж до CISO.

Ще одна серйозна проблема для малого і середнього бізнесу – бюджет. Великий бізнес або спеціалізовані підприємства зазвичай можуть запропонувати експертам з безпеки набагато більшу заробітну плату або додаткові плюшки. І не дивно, що фахівці з безпеки прискіпливі – вони у виграшній позиції, за них йде боротьба.

Зрештою, багато малих і середніх підприємств наймають сис.адмінів або набирають IТ-команди, які беруть на себе відповідальність за кібербезпеку. Навіть якщо їм вдасться отримати фахівця з безпеки до себе в команду, цей професіонал стане майстром на всі руки, що призведе до швидкого вигорання та звільнення.

Ще одна важлива проблема, пов’язана зі станом кібербезпеки для малого і середнього бізнесу, – це відсутність поінформованості про кібербезпеку і віра в міфи, особливо в рівні топ-менеджерів і керівників. Це часто призводить до того, що безпека відсувається на задній план і розглядається як незначна проблема. І в таких умовах бюджети теж мінімальні, адже в більшості випадків вони орієнтованими на розвиток і прямий прибуток.

Навіть якщо власники малого та середнього бізнесу і топ-менеджери розуміють, що існує серйозний ризик для безпеки, вони часто готові прийняти цей ризик через проблеми, які пов’язані з його зниженням, наприклад, через пошуки персоналу, як описано вище.

Спробуймо розвінчати деякі основні міфи, які дуже погано впливають на стан кібербезпеки в організації.

1. «Нам не потрібно знати про безпеку, тому що ми найняли експерта»

Це дуже небезпечне твердження, яке веде до втрати персоналу. Кібербезпека – це не те, що ви можете просто скинути на плечі однієї людини. Як і в разі фізичної безпеки, навіть якщо у вас найкращі замки і найкраща система сигналізації, досить одного співробітника, щоб забути закрити двері, йдучи з роботи, і всі зусилля марні. І якщо в такому випадку звинувачують тільки одну людину, то ви можете бути впевнені, що він скоро буде шукати краще місце для роботи.

Якщо ви хочете, щоб ваш бізнес процвітав безпечно, всі в компанії повинні знати про кібербезпеку. І мова йде не тільки про одне навчання або про регулярні розсилки з фейковими фішинговими атаками. Мова йде про те, щоб всі співробітники думали про кібербезпеку під час своєї роботи.

Щоб співробітники турбувалися про кібербезпеку, саме керівники повинні піклуватися про це в першу чергу. Замість того, щоб чекати чудес, топ-менеджмент повинен подавати приклад і переконатися, що кіберризики сприймаються, як важлива частина роботи. І це не складно, достатньо того, що кожне рішення приймається, беручи до уваги безпеку, і кожне серйозне обговорення включає тему безпеки, якщо це необхідно.

2. «Ми в безпеці, тому що передаємо свою безпеку на аутсорсинг професіоналам»

Немає жодних шансів, що аутсорсингова компанія може бути настільки ж ефективною в управлінні безпекою, як і ви. Це простий вихід для невеликої організації, яка не може дозволити собі виділити окремі ресурси на кібербезпеку. Підрядник може допомогти вам вибрати стандарти кібербезпеки, такі як NIST1, розробити стратегію кібербезпеки, допомогти вам з управлінням ризиками і аналізом загроз, допомогти вам налаштувати контроль безпеки і навіть взяти участь у реагуванні на інциденти. Однак, вони не можуть бути скрізь і спостерігати за всім, і у них, час реагування на порушення безпеки буде набагато нижчим, ніж у ваших співробітників.

Якщо ви найняли фахівців з безпеки на аутсорс, вам все одно потрібно переконатися, що всі в компанії знають і розуміють важливість безпеки в їх роботі. Наприклад, такі фахівці не завадять вашим розробникам впровадити SQL-вразливості в ваше програмне забезпечення. Аутсорсингові компанії дуже рідко беруть участь в вашому SDLC (життєвий цикл розробки системи).

3. «Ми в безпеці, тому що ми купили комплексне рішення для безпеки»

Немає програмного забезпечення, яке може гарантувати повну безпеку. Крім того, не існує єдиного інструменту безпеки, яке охоплювало б навіть половину потенційних кіберзагроз. Ви можете встановити офісне рішення, яке захистить вас від шкідливих програм, брандмауер для захисту вашої зовнішньої і внутрішньої мережі від певних мережевих атак, і при цьому залишатися вразливим для повного злому системи і втрати всіх даних компанії в результаті однієї SQL-вразливості, тому що ні один з цих інструментів не захищає вас від таких вразливостей навіть в найменшій мірі.

Не піддавайтеся впливу порожніх обіцянок від постачальників і не бійтеся шукати конкретні рішення для конкретних загроз кібербезпеки, такі як спеціалізований сканер веб-вразливостей, щоб захистити себе від загроз, пов’язаних з мережею. Шукайте виробників, які не бояться розповідати вам конкретні кейси і показувати роботу софта, замість набору дипломатичних слів для замилювання очей. Шукайте спеціалізованих виробників, тому що у них є кошти, щоб ефективно захистити вас. І завжди пам’ятайте, що програмне забезпечення – це просто інструмент, і саме те, як ви використовуєте цей інструмент, дійсно має значення.

Інша пов’язана з цим помилка багатьох малих і середніх підприємств полягає в тому, що вони зосереджені на безпеці своїх офісів. У минулому це мало сенс, тому що більшість активів зберігалися в офісі, включаючи сервери. Зараз, малі і середні підприємства в основному покладаються на хмарні рішення, і тому, в першу чергу, кібербезпека повинна бути зосереджена на хмарній безпеці і присутності в інтернеті, оскільки більшість бізнес-активів засновані на веб-технологіях (включаючи мобільні технології і IoT).

Можливо, ще в 2000 році антивірусне рішення і мережевий сканер були важливішими ніж сканер веб-вразливостей, але зараз, у 2020 році, це вже не так. Хоча рішення для захисту від шкідливих програм як і раніше є ключовими для захисту від таких загроз, як програми-вимагачі, захист мережі так само важливий, і його можуть забезпечити тільки сканери вразливостей.

4. «Ми в безпеці, тому що наші дані і програми не є публічними»

Це ще один дуже небезпечний міф, який призводить до серйозних проблем. Менеджери малого і середнього бізнесу часто думають, що, якщо компанія не працює в публічному просторі, вона захищена від атак. Однак це далеко від істини.

Наприклад, якщо ви розробляєте додаток B2B, який використовується обмеженим числом компаній і вимагає аутентифікацію для доступу, він так само підпадає під ризики кібератак, як і загальнодоступний веб-сайт. Якщо, наприклад, ваша форма входу в систему має SQL-вразливість, зловмисник із зовні може отримати доступ до додатка, призначеного для використання тільки визначеними користувачами, а не є загальнодоступним.

Також зверніть увагу, що витік даних відбувається в результаті недбалості або зловмисних дій з боку інсайдерів – наприклад, більшість витоків даних в 2019 році були викликані незахищеними базами даних, які були результатом недбалості співробітника (база даних ніколи не призначалася для широкої публіки).

У той час як наявність загальнодоступних ресурсів збільшує проблеми кібербезпеки, їх відсутність абсолютно не гарантує безпеку від кіберзагроз. Щоб бути в безпеці, ви повинні захищати свої внутрішні активи так само, як ваші зовнішні активи.

5. «Ми в безпеці, тому що немає ніякої користі від нашого злому»

Кіберзлочинність не завжди є результатом того, що можна щось отримати. Це так само часто результат можливості. Деякі кіберзлочинці зосереджуються на цінній інтелектуальній власності або конфіденційних даних (і зроблять майже все, щоб вкрасти ці дані), в той час як інші просто стріляють наосліп і сподіваються застати когось зненацька. Ви насторожі?

Якщо подивитись на найбільші витоки даних за останні роки, дуже мало з них фактично були результатом цілеспрямованої атаки. У деяких випадках, таких як Equifax2, це була дійсно цільова атака, імовірно, китайських спецпідрозділів. Однак головний хіт 2019 року – злом Capital One3, був здійснений емоційно нестабільним хакером, який шукав популярність в колах «чорних капелюхів» 4. Однак більшість зломів були просто результатом того, що хтось сканував публічні адреси і знаходив вразливі місця.

Шлях вперед

Як тільки ваша організація розвінчає для себе ці міфи, вам буде легше підтримувати кібербезпеку без гострої потреб в цьому «чарівному хлопцю, який все виправить». З безпекою, яка є відповідальністю всієї компанії, з належною увагою, а також з правильними автоматизованими рішеннями, такими як програмне забезпечення для оцінки та управління веб-вразливостями, з механізмом сканування вразливостей, таким як Acunetix, ваше майбутнє виглядає набагато безпечніше, ніж у компаній, які все ще живуть в минулому.

1.Інфраструктура кібербезпеки NIST – це посібник з комп’ютерної безпеки, що дозволяє організаціям приватного сектора в США оцінювати і покращувати свої можливості щодо запобігання, виявлення і реагування на кібератаки.

2.Злом американського бюро кредитних історій Equifax, в результаті якого зловмисники отримали доступ до персональних даних 145 мільйонів громадян США, Канади і Великобританії.

3.Американский банк Capital One повідомив про витік даних, що стався 22-23 березня 2019 року. В результаті злому постраждали дані більше 100 млн американців і 6 млн канадців, які зверталися в банк за отриманням кредитної картки в період з 2005 по 2019 рік. У підсумку, в руки третіх осіб потрапила інформація з цих заявок, в тому числі імена, адреси, поштові індекси, номери телефонів, адреси електронної пошти, дати народження і дані про доходи.

4.Хакер в «чорному капелюсі» – синонім зловмисника. Їх найменше цікавить програмування і наукова сторона злому комп’ютерів. Вони часто застосовують існуючі програми для злому і використовують добре відомі вразливості для розкриття важливої ​​інформації для особистої вигоди або заподіяння шкоди атакується комп’ютерів або мереж.

Дані взяті з даного джерела