Размер организации не должен иметь значения, когда речь идет о вопросах безопасности, считает консультант по безопасности компании Check Point Software Technologies Виктория Носова.
«Необходимый уровень безопасности в сфере IT никоим образом не связан с размером организации», — поделилась мнением с Digit.ru консультант по безопасности компании Check Point Software Technologies Виктория Носова.
И продолжила: «Команда хакеров может насчитывать сотни или тысячи членов по всему миру, как группа Anonymous, либо состоять всего из нескольких человек, как группа, осуществившая успешные атаки Eurograbber на банки в 2012 году, — в обоих случаях воздействие на бизнес компаний, подвергшихся атаке, будет одинаково разрушительным.
То же самое верно и для организаций — жертв преступников: даже если организация невелика и практически неизвестна, это никак не обезопасит ее от атак. Теперь мишенью для угроз являются не только крупные организации, но и компании, насчитывающие не более сотни сотрудников. Малые компании сегодня чаще подвергаются кибератакам: злоумышленники используют их с целью расширения своей сети. При этом от атак не застрахован ни один сектор рынка.
Для чего атаковать малые предприятия?
Поскольку сейчас весьма популярны целевой фишинг и сбор сведений в социальных сетях для получения доступа к внутренним сетевым ресурсам, мошенники сосредотачивают свое внимание на организациях, в которых имеются ценные для них данные. Небольшая организация может быть выбрана в качестве трамплина для атаки ее партнерской компании с использованием слабых звеньев в цепочке поставок товаров или услуг. Начинающая компания, работающая в сфере высоких технологий, может, например, заниматься разработкой интеллектуальной собственности для крупной организации, а небольшая компания, занимающаяся финансовым пиаром, — хранить информацию о предстоящей важной сделке для организации, входящей в индекс FTSE100.
Вспомним, как в 2012 году произошла утечка данных у платежного оператора Global Payments, от которой пострадали сотни тысяч владельцев карт Visa и MasterCard. В распоряжении небольшой компании находились ценные данные, которые было бы сложнее украсть у крупной организации; именно это и сделало Global Payments целью атаки. Как правило, злоумышленники пользуются тем, что у малого бизнеса меньше возможностей для защиты информации и меньше уровней защиты.
Хоть это и не всегда верно, но в целом существует взаимосвязь между размером компании, временем и ресурсами, которые она может потратить на систему безопасности и управление ею. Обычно на безопасность выделяется около 6% от общей суммы расходов на IT, поэтому компании с небольшим бюджетом должны серьезно подумать, как потратить эти средства.
Что необходимо приобрести
Итак, в какие средства безопасности лучше инвестировать? В том, что касается защиты информации, для предприятий любого размера действуют одни и те же правила: сначала нужно определить, какие из имеющихся данных наиболее ценны для бизнеса, а затем разработать решения для защиты данных и снижения риска их утери. До недавних пор это требовало несоразмерно огромных для малых предприятий инвестиций в безопасность. Однако теперь появились два варианта, которые позволяют малым и средним организациям пользоваться для защиты данных такими же средствами безопасности, какие применяются на крупных предприятиях.
Первый вариант — это облачная модель. Она дает организациям возможность быстро развертывать системы безопасности и управлять ими силами поставщиков облачных сервисов, обходясь небольшими предварительными капиталовложениями (или вообще без них) и предсказуемыми ежемесячными расходами. Кроме того, таким способом можно развернуть передовые интегрированные сервисы: от антивирусов и межсетевых экранов до веб-приложений и средств управления социальными сетями. Это позволяет компаниям сосредоточиться на проблемах бизнеса и развития, оставив защиту сети профессионалам.
Существует ряд облачных сервисов от признанных лидеров в сфере безопасности, что делает облачную модель привлекательным вариантом для компаний, стремящихся минимизировать первоначальные капиталовложения. Поскольку угрозы безопасности становятся все более изощренными и частыми, даже для оснащенных всем необходимым корпоративных отделов безопасности бывает сложно везде опережать злоумышленников. Управляемые централизованно облачные сервисы способны избавить мелкие предприятия от рутинных задач администрирования систем защиты. Второй вариант стал возможен благодаря существенному снижению первоначальных расходов на гибкие, обновляемые на месте установки устройства для обеспечения безопасности. Комплексные интегрированные возможности защиты, которыми раньше могли пользоваться только крупные предприятия (работа в виртуальных частных сетях, предотвращение вторжений, антиспам, контроль приложений и URL-фильтрация), стоят теперь на порядок дешевле — всего несколько сотен долларов. Это позволяет многим компаниям вписать передовые возможности безопасности в упомянутые ранее 6% от общей суммы расходов на IT.
Обучение сотрудников основам безопасности
Как упоминалось ранее, размер организации никак не влияет на необходимость защиты принадлежащей ей информации. Ключевым фактором является информированность сотрудников о проблемах IT-безопасности. Согласно недавнему исследованию Check Point «Отчет по безопасности 2013» (Check Point Security Report 2013), у 54% из почти 900 опрошенных организаций со всего мира имелся хотя бы один случай потенциальной утечки данных из-за ошибочной отправки электронных писем адресату за пределами организации или некорректной публикации информации в интернете. Также выяснилось, что 52% сотрудников организаций рискуют допустить утечку информации из-за использования небезопасных методов работы с компьютером.
Злоумышленники стремятся воспользоваться именно такими простыми человеческими ошибками: обманом заставить ничего не подозревающего работника перейти по ссылке в фишинговом электронном письме, которая заразит его компьютер, или опубликовать конфиденциальную информацию на фиктивном сайте. К сожалению, всех нас приучили доверять людям, и эту привычку сложно изменить: сотрудники организаций хотят быть полезными и чувствовать, что эффективно выполняют свою работу. Обучение сотрудников поможет повысить их осведомленность в вопросах безопасности.
Необходимо информировать персонал о потенциальных рисках и угрозах, а также о том, как снизить эти риски, избегая фишинговых электронных писем, фиктивных веб-сайтов и т.п. Здесь у малых предприятий есть преимущество: им придется обучать меньше сотрудников. Зачастую именно такие простые меры позволяют избежать нарушений безопасности».
