«Не страховка, а вопрос выживания»: как малому и среднему бизнесу защищаться от кибератак

Опросы показывают, что малый бизнес все еще склонен недооценивать риски кибератак — чаще всего их не считают серьезной проблемой. На деле же ущерб от взлома для МСП может быть гораздо более фатальным, чем для большой корпорации. От одной атаки небольшая компания может потерять несколько миллионов рублей и даже столкнуться с полной остановкой бизнеса, после которой есть риск уже не вернуться к нормальной работе.

Т‑Бизнес секреты разобрались, как и зачем хакеры атакуют малый и средний бизнес. В этом нам помогли эксперты ведущих российских разработчиков ИТ‑решений для бизнеса:

• Лаборатория Касперского ;
• группа компаний «Гарда» ;
• группа компаний «Солар» ;
• Simpl Group ;
• Web Control ;
• EdgeЦентр ;
• АВ Софт.

Представители компаний рассказали, чем опасны кибератаки, как обеспечить надежную защиту от них и во сколько это обойдется.

Зачем хакеры атакуют небольшие компании

Злоумышленники понимают: у небольших компаний меньше ресурсов на защиту и слабый контроль за информационной безопасностью, но при этом у них есть достаточный денежный оборот и ценная клиентская база, объяснил директор по развитию продуктов группы компаний «Гарда» Денис Батранков. Типовые цели преступников — вымогательство, кража персональных данных, данных банковских карт и интеллектуальной собственности, перехват платежей, отметил он.

Атаки совершаются почти во всех отраслях экономики — в любой сфере бизнес обладает активами, которые привлекают кибермошенников, рассказал руководитель отдела по работе с клиентами среднего и малого бизнеса Лаборатории Касперского Алексей Киселев. Большинство атак — массовые, «широкие»: злоумышленники не выбирают конкретную отрасль, а распространяют вредоносное ПО на максимально широкий круг целей, солидарен технический директор ИТ‑компании Simpl Group Евгений Костенецкий.

«В любой сфере бизнес обладает активами, которые привлекают кибермошенников»

Но особенное внимание хакеров приковано к компаниям с онлайн‑сервисами, базами данных и платежной системой, отметил он. Избаенков подтверждает: наиболее уязвим бизнес, который активно работает через сайт или принимает онлайн‑платежи. Поэтому частыми жертвами становятся предприятия из сферы обслуживания, например доставка, общественное питание, туризм, небольшие медиа и производственные компании.

Чем опасны кибератаки

Потеря репутации. Утечка конфиденциальной информации, данных клиентов или внутренней переписки подрывает доверие к компании. Многие клиенты, узнав о проблемах с безопасностью, предпочитают перейти к конкурентам, что приводит к потере доходов, пояснил ведущий аналитик АВ Софт Дмитрий Матвеев. При этом восстановление деловой репутации требует значительных временных и финансовых затрат.

Остановка бизнеса. Даже простая бот‑атака может парализовать работу сайта и оставить компанию без заказов, отметил Избаенков. Если сайт «ложится» на день‑два, бизнес теряет продажи и клиентов, в том числе срывает контракты. А простой на 5—10 дней для небольшой компании может оказаться совсем критичным, добавил Батранков. Причем восстановление после атаки занимает недели — это дорого и нервно.

Если суммировать прямые потери от атаки, простой бизнеса, отказы клиентов, юридические риски и проблемы с партнерами, в среднем ущерб от одной успешной атаки может составлять несколько миллионов рублей, говорят эксперты. Для многих небольших компаний такие финансовые потери оказываются неподъемными, констатировал Матвеев. Именно поэтому киберзащита — это не страховка на потом, а часто вопрос выживания, подчеркнул эксперт Гарда.

Какими способами хакеры атакуют МСП

Вот самые распространенные виды атак на МСП.

Социальная инженерия. Сюда входят фишинг через поддельные письма и веб‑сайты, подмена телефонного номера. Это самый популярный вид взлома — сотрудникам звонят или пишут от имени «банка», «госорганов», «контрагентов» и даже «курьеров», рассказал Батранков.

Вирусное ПО. Это программы, разработанные для атак на пользовательские устройства или сети. Один из наиболее распространенных методов атаки на компании — программа‑шифровальщик, отметил Избаенков. Она блокирует компьютер и зашифровывает данные, позволяя мошенникам потребовать выкуп за восстановление доступа к информации.

По словам Матвеева, доля DDoS‑атак на организации в СНГ достигает 18% — эта цифра сильно превышает средний показатель в мире — 8%. Такая статистика объясняется напряженной геополитической ситуацией и ростом активности хактивистских объединений, пояснил эксперт АВ Софт. DDoS‑атаки особенно неприятны для e‑commerce и сервисных сайтов: боты могут не просто перегружать сайт, но и заказывать товар и срывать акции, рассказал Избаенков.

Атаки на корпоративную почту — BEC‑атаки. В ходе такой атаки злоумышленник получает доступ к учетной записи электронной почты компании — с помощью фишинга, социальной инженерии или покупки учетных данных в даркнете. Затем, выдавая себя, например, за руководителя или поставщика компании, обманным путем убеждает сотрудников утвердить мошеннический запрос на банковский перевод.

В Лаборатории Касперского поделились кейсом: владелец бизнеса получил электронное письмо от контрагента, который предупреждал о смене реквизитов и просил использовать их для следующего платежа. После отправки денег предприниматель выяснил, что они не дошли, — более того, реквизиты не менялись. Имея доступ к почте, злоумышленники также могут красть деньги, подменяя счета на оплату в письмах, добавил Батранков.

Как защитить свой бизнес от киберугроз

По мнению экспертов, эффективная стратегия кибербезопасности должна включать следующие компоненты:

• обучение сотрудников;
• ограничение прав доступа;
• строгая парольная политика для защиты корпоративных аккаунтов;
• политика безопасного удаленного доступа;
• защита сайта и онлайн‑сервисов;
• защита облака;
• регулярное резервное копирование;
• антивирусное ПО;
• удаление персональных данных;
• план реагирования на киберинциденты.

Обучение сотрудников. Они часто используют личные устройства для работы без соответствующей защиты, открывают фишинговые письма, с которых начинаются до 68% атак, игнорируют требования к паролям и хранят данные в незашифрованном виде. Поэтому работников обязательно нужно информировать, как не попасться на фишинг и не скачать вредоносный файл, который поможет хакерам проникнуть в инфраструктуру.

Ограничение прав доступа для сотрудников. Чтобы организовать безопасную работу с используемыми компанией системами и базами данных, нужно назначить пользователям всех рангов соответствующие виды прав доступа и контролировать соблюдение полномочий, подчеркнул Базелюк.

Строгая парольная политика для защиты корпоративных аккаунтов. Комбинации должны быть сложными и уникальными.

П олитика безопасного удаленного доступа — использование VPN, многофакторная аутентификация, MFA, и шифрование данных. VPN обеспечивает зашифрованное соединение между удаленными сотрудниками и корпоративной сетью, что помогает защитить данные от перехвата злоумышленниками. MFA добавляет дополнительный уровень защиты к традиционным паролям. Шифрование информации на рабочих устройствах предотвращает несанкционированный доступ в случае потери или кражи гаджета.

Защита сайта и онлайн‑сервисов. Во‑первых, нужно установить SSL‑сертификат — он обеспечивает шифрование данных, которые передаются между пользователем и сервером, и делает их недоступными для перехвата. Во‑вторых, настроить межсетевой экран, WAF, — этот инструмент защищает сайт и веб‑сервисы от атак, включая DDoS и ботов. Он анализирует весь входящий трафик, фильтрует подозрительные запросы и блокирует их.

Защита облачных сервисов. В облаке нужно шифровать данные и использовать многофакторную аутентификацию. Кроме того, важно активно управлять учетными записями — хакеры могут проникнуть в ваше облако через неиспользуемые аккаунты.

Регулярное резервное копирование. Оно нужно, чтобы избежать потери данных, отметил Костенецкий. Причем копии надо хранить отдельно от физического расположения серверов. Даже если данные хранятся в облаке, лучше хранить копии в отдельном дата‑центре. Важно учитывать, что резервные копии тоже могут быть зашифрованы, поэтому нужно обеспечить безопасность копий на сетевом уровне, рассказал эксперт.

Удаление персональных данных. По закону бизнес могут оштрафовать за утечки данных клиентов и за их несвоевременное удаление. Если цели обработки информации достигнуты или субъект просит удалить информацию о себе, оператор ПД обязан уничтожить эти данные и предоставить соответствующую отчетность. Это можно делать вручную или с помощью специального ПО.

План реагирования на киберинциденты. В нем необходимо учесть, какая информация критически важна для бизнеса, как быстро восстановить работу компании после атаки и как минимизировать потери, перечислил Киселев.

Важно также проводить аудит информационной безопасности — заказывать услугу, которая направлена на выявление уязвимых мест в инфраструктуре организации и предоставление рекомендаций по их устранению, отметил эксперт Лаборатории Касперского.

Какие ИТ‑решения выбрать для защиты

Вместе с экспертами мы подобрали лучшие решения для кибербезопасности МСП и их ориентировочную стоимость. Большинство из них — российские:

1. Антивирусные решения: продукты Лаборатории Касперского, Dr.Web, ESET NOD32. Стоимость — от 2 000 до 15 000 ₽ в год на одно рабочее место.
2. Сервисы по защите от DDoS: продукты EdgeЦентр, Angara Security, Qrator, платформа Solar Space, Kaspersky DDoS Protection. Стоимость — от 80 000 до 400 000 ₽ в год в зависимости от объема трафика.
3. Облачные хранилища с шифрованием и резервным копированием: Яндекс Облако, Mail.ru Cloud Solutions, Киберпротект. Стоимость — от 5 000 до 50 000 ₽ в год.
4. Сервисы по обучению сотрудников и тренинги по кибербезопасности: платформа Kaspersky ASAP. Стоимость — от 35 260 ₽ для пяти сотрудников с доступом на год.
5. Специализированное ПО для безопасного удаления данных: Active@ KillDisk, Eraser. Стоимость — от 5 000 до 30 000 ₽ в зависимости от лицензии.
6. Сервисы для защиты от фишинга: Saby — комплексная система для корпоративного учета и электронного документооборота. Стоимость — около 15 000 ₽ в год.

Есть комплексные решения, такие как Kaspersky Small Office Security — оно включает антивирус и защиту почты. Его стоимость начинается от 5 805 ₽ для трех сотрудников с доступом на год. Решение подходит компаниям, у которых до 25 рабочих мест.

Для среднего бизнеса больше подойдет решение для защиты рабочих мест Kaspersky Endpoint Security. Его стоимость также зависит от уровня решения и числа рабочих мест, стоимость минимального варианта на 10 устройств начинается от 30 000 ₽.

Таким образом, малый бизнес может ограничиться базовыми мерами с бюджетом от 50 000 до 250 000 ₽ в год, включая ПО, обучение и консультации, отметил Большаков. В среднем бизнесе нужен более комплексный подход, включая выделенного ИТ‑специалиста, продвинутые решения по защите данных и регулярный аудит безопасности. Бюджет может составлять от 200 000 до 1 000 000 ₽ в год, оценил эксперт EdgeЦентр.

Батранков дает несколько более высокую оценку. По его мнению, для малого бизнеса с 20—50 сотрудниками годовой бюджет на кибербез должен составлять от 200 000—300 000 ₽, а средним компаниям стоит рассчитывать на сумму до 1,5 млн рублей в год — особенно если есть облачные сервисы, работа с персданными и внешние интеграции.

Главное

1. В последнее время хакеры все больше переключаются с больших компаний на МСП. Их цель — вымогательство, кража данных и выход на крупных партнеров.
2. Успешные кибератаки могут привести к ухудшению репутации бизнеса — в лучшем случае, к финансовым потерям или остановке бизнеса — в худшем.
3. Самые распространенные способы кибератак на МСП: социальная инженерия, заражение вирусным ПО, атаки ботов и взлом корпоративной почты.
4. Эффективная защита от ИТ‑атак предполагает обучение сотрудников, строгую парольную политику, защиту сайта и онлайн‑сервисов, резервное копирование и план реагирования на киберинциденты.
5. Годовой бюджет на кибербез для малого бизнеса должен составлять от 50—350 000 ₽, а средним компаниям стоит рассчитывать на сумму от 200 000 до 1,5 млн рублей в год.