Малому и среднему бизнесу тяжело, когда речь заходит о кибербезопасности. Большинство экспертов по безопасности предпочли бы выбрать другую рабочую среду, нежели идти работать в SMB.

Эксперты по безопасности пользуются большим спросом. Однако вместо малых и средних предприятий они обычно предпочитают работать в специализированных компаниях по обеспечению безопасности и заниматься тестами на проникновение. Другим предпочтительным выбором являются большой бизнес, где они могут сузить свои задачи и / или иметь более перспективный карьерный путь, вплоть до CISO.

Ещё одна серьёзная проблема для малого и среднего бизнеса — бюджет. Большой бизнес или специализированные предприятия обычно могут предложить экспертам по безопасности гораздо большую заработную плату и дополнительные плюшки. И неудивительно, что специалисты по безопасности придирчивы — они в выигрышной позиции, за них идёт борьба.

В конце концов, многие малые и средние предприятия нанимают сис.админов или набирают IТ-команды, которые берут на себя ответственность за кибербезопасность. Даже если им удастся получить специалиста по безопасности к себе в команду, этот профессионал станет мастером на все руки, часто выгорая на роботе и рано увольняясь, ища другой карьерный путь.

Ещё одна важная проблема, связанная с состоянием кибербезопасности для малого и среднего бизнеса, — это отсутствие осведомлённости о кибербезопасности и вера в мифы, особенно в случае топ-менеджеров и руководителей. Это часто приводит к тому, что безопасность отодвигается на задний план и рассматривается как незначительная проблема. И в таких условиях бюджеты тоже минимальные, ведь в большинстве случаев они ориентированными на развитие и прямую прибыль. Даже если владельцы малого и среднего бизнеса и топ-менеджеры понимают, что существует серьёзный риск безопасности, они часто готовы принять этот риск из-за проблем, связанных с его смягчением, например, из-за поиска персонала, как описано выше.

Давайте попробуем развенчать некоторые основные мифы, которые очень плохо влияют на состояние кибербезопасности в организации.

1. «Нам не нужно знать о безопасности, потому что мы наняли эксперта»

Это очень опасное утверждение, которое ведёт к потере персонала. Кибербезопасность — это не то что вы можете просто скинуть на плечи одного человека. Как и в случае физической безопасности, даже если у вас самые лучшие замки и лучшая система сигнализации, достаточно одного сотрудника, чтобы забыть закрыть двери, уходя с работы, и все усилия бесполезны. И если в таком случае обвиняют только одного человека, то вы можете быть уверены, что он скоро будет искать лучшее место для работы.

Если вы хотите, чтобы ваш бизнес процветал безопасно, все в компании должны знать о кибербезопасности. И речь идёт не только об одном обучении или о регулярной рассылке всем поддельных фишинговых писем. Речь идёт о том, чтобы все сотрудники думали про кибербезопасность во время своей работы.

Чтобы сотрудники беспокоились о кибербезопасности, именно руководители должны заботиться об этом в первую очередь. Вместо того, чтобы ожидать чудес, топ-менеджмент должен подавать пример и убедиться, что киберриски воспринимаются как важная часть работы. И это не сложно, достаточно того, что каждое решение принимает во внимание безопасность, и каждое серьёзное обсуждение включает тему безопасности, если это необходимо.

2. «Мы в безопасности, потому что передаём свою безопасность на аутсорсинг профессионалам»

Нет никаких шансов, что аутсорсинговая компания может быть столь же эффективной в управлении безопасностью, как и вы. Это простой выход для небольшой организации, которая не может позволить себе выделить отдельные ресурсы на кибербезопасность. Подрядчик может помочь вам выбрать вашу среду кибербезопасности, такую ​​как NIST1, разработать стратегию кибербезопасности, помочь вам с управлением рисками и анализом угроз, помочь вам настроить контроль безопасности и даже принять участие в реагировании на инциденты. Однако они не могут быть везде и наблюдать за всем, и у них, время реагирование на нарушения безопасности будет гораздо ниже, чем у ваших сотрудников.

Если вы наняли безопасников на аутсорсе, вам все равно нужно убедиться, что все в компании знают и понимают о важности безопасности в их работе. Например, такие компании не помешают вашим разработчикам внедрить SQL-уязвимости в ваше программное обеспечение. Аутсорсинговые компании очень редко участвуют в вашем SDLC (жизненный цикл разработки системы).

3. «Мы в безопасности, потому что мы купили комплексное решение безопасности»

Нет программного обеспечения, которое может гарантировать полную безопасность. Кроме того, не существует единого инструмента безопасности, которое охватывало бы даже половину потенциальных киберугроз. Вы можете установить офисное решение, которое защитит вас от вредоносных программ, брандмауэр для защиты вашей внешней и внутренней сети от определенных сетевых атак, и при этом оставаться уязвимым для полного взлома системы и потери всех данных компании в результате одной SQL-уязвимости, потому что ни один из этих инструментов не защищает вас от таких уязвимостей даже в малейшей степени.

Не поддавайтесь влиянию пустых обещаний от поставщиков и не бойтесь искать конкретные решения для конкретных угроз кибербезопасности, такие как специализированный сканер веб-уязвимостей, чтобы защитить себя от угроз, связанных с сетью. Ищите производителей, которые не боятся рассказывать вам конкретные кейсы и работу софта, вместо набора дипломатических слов для замыливания глаз. Ищите специализированных производителей, потому что у них есть средства, чтобы эффективно защитить вас. И всегда помните, что программное обеспечение — это просто инструмент, и именно то, как вы используете эти инструменты, действительно имеет значение.

Другая связанная с этим ошибка многих малых и средних предприятий заключается в том, что они сосредоточены на безопасности своих офисов. В прошлом это имело смысл, потому что большинство активов хранились в офисе, часто включая серверы. В настоящее время малые и средние предприятия в основном полагаются на облачные решения, и поэтому средства управления кибербезопасностью должны быть сосредоточены на облачной безопасности и присутствии в интернете, поскольку большинство бизнес-активов основано на веб-технологиях (включая мобильные технологии и IoT).

Возможно, ещё в 2000 году антивирусное решение и сетевой сканер были важнее сканера веб-уязвимостей, но сейчас, в 2020 году, это уже не так. Хотя решения для защиты от вредоносных программ по-прежнему являются ключевыми для защиты от таких угроз, как программы-вымогатели, защита сети, по крайней мере, так же важна, и её могут обеспечить только сканеры уязвимостей.

4. «Мы в безопасности, потому что не раскрываем наши приложения или данные общественности»

Это ещё один очень опасный миф, который приводит к серьёзным проблемам. Менеджеры малого и среднего бизнеса часто думают, что, если компания не работает в публичном пространстве, она защищена от атак. Однако это далеко от истины.

Например, если вы разрабатываете приложение B2B, которое используется ограниченным числом компаний и требует доступа для аутентификации, оно так же подвержено рискам кибербезопасности, как и общедоступный веб-сайт. Кибератака может проводиться не только сотрудником вашего клиента. Если, например, ваша форма входа в систему имеет SQL-уязвимость, злоумышленник из вне может получить доступ к приложению, предназначенному для использования только определенными юзерами, а не является общедоступной.

Также обратите внимание, что многие утечки данных происходят в результате небрежности или злонамеренных действий со стороны инсайдеров — например, большинство утечек данных в 2019 году были вызваны незащищёнными базами данных, которые были результатом небрежности сотрудника (база данных никогда не предназначалась для широкой публики).

В то время как наличие общедоступных ресурсов увеличивает проблемы кибербезопасности, их отсутствие абсолютно не гарантирует безопасность от киберугроз. Чтобы быть в безопасности, вы должны защищать свои внутренние активы и аутентифицированные активы так же, как ваши внешние активы.

5. «Мы в безопасности, потому что нет никакой пользы от нашего взлома»

Киберпреступность не всегда является результатом того, что можно что-то заполучить. Это так же часто результат возможности. Некоторые киберпреступники сосредотачиваются на ценной интеллектуальной собственности или конфиденциальных данных (и сделают почти все, чтобы её украсть), в то время как другие просто стреляют вслепую и надеются застать кого-то врасплох. Вы настороже?

Если вы посмотрите на самые большие утечки данных за последние годы, очень немногие из них фактически были результатом целенаправленной атаки. В некоторых случаях, таких как Equifax2, это была действительно целевая атака, предположительно, китайского спецназа. Однако главный хит 2019 года — взлом Capital One3, был осуществлён эмоционально нестабильным хакером, который искал популярность в кругах «чёрных шляп»4. Однако большинство других взломов были просто результатом того, что кто-то сканировал публичные адреса и находил уязвимые места.

Путь вперёд

Как только ваша организация избавится от вышеупомянутых мифов, вам будет легче поддерживать кибербезопасность без острой и неудовлетворенной потребности в этом «волшебном парне, который все исправит». С безопасностью, воспринимаемой как проблема всей компании, с должным вниманием, а также с правильными автоматизированными решениями, такими как программное обеспечение для оценки и управления веб-уязвимостями с механизмом сканирования уязвимостей, таким как Acunetix, ваше будущее выглядит намного безопасней, чем у компаний, которые все ещё живут в прошлом.

1.Инфраструктура кибербезопасности NIST — это руководство по компьютерной безопасности, позволяющую организациям частного сектора в США оценивать и улучшать свои возможности по предотвращению, обнаружению и реагированию на кибератаки.

2.Взлом американского бюро кредитных историй Equifax, в результате которого злоумышленники получили доступ к персональным данным 145 миллионов граждан США, Канады и Великобритании.

3.Американский банк Capital One сообщил о компрометации, произошедшей 22-23 марта 2019 года. В результате взлома пострадали данные более 100 млн американцев и 6 млн канадцев, которые обращались в банк за получением кредитной карты в период с 2005 по 2019 год. В итоге в руки третьих лиц попала информация из этих заявок, в том числе имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, даты рождения и данные о доходах.

4.Хакер в чёрной шляпе — синоним взломщика. Взломщиков менее всего интересует программирование и научная сторона взлома компьютеров. Они часто применяют существующие программы для взлома и используют хорошо известные уязвимости для раскрытия важной информации для личной выгоды или причинения ущерба атакуемым компьютерам или сетям.

Материал взят с данного источника.