Каждая третья малая компания доверяет киберзащиту офис-менеджеру

На фоне растущих угроз большинство МСП в России до сих пор не подходят к вопросам информационной безопасности системно: в большинстве компаний вопросы ИБ решаются по остаточному принципу, у 13% вообще нет ответственных, а 16% не применяют никаких технических решений для обеспечения кибербезопасности. Такие данные представили в исследовании ИТ-компания "Киберпротект" и платформа по поиску работы "Работа.ру".

От встреч с курьером до защиты от кибератак: в каждой третьей компании МСБ задачи ИБ доверяют офис-менеджеру

Исследование показало, что только у 28% МСП есть штатный специалист по ИБ, еще у 13% - полноценная ИБ-команда. Однако в большинстве компаний (31%) вопросы информационной безопасности берут на себя ИТ-специалист, системный администратор или даже офис-менеджер. Еще 15% передают ответственность за ИБ внешним подрядчикам, квалификация которых не всегда подтверждена или достаточна. При этом почти каждая десятая организация МСП (13%) вообще не имеет ответственных за обеспечение информационной безопасности.

Подходы МСП к информационной безопасности: 4 модели

Базового уровня защиты придерживаются 42% компаний в сегменте МСП: за ИБ отвечает один из специалистов ИТ по совместительству, применяются минимально достаточные средства защиты - антивирус, резервное копирование, парольная политика, а в ИБ не закладывают дополнительные вложения.

20% малых компаний стремятся к постепенному усилению защиты с выделением отдельного специалиста, но без создания полноценного отдела, а на информационную безопасность выделен дополнительный бюджет, например, на сканеры уязвимостей, шифрование мобильных устройств, сетевую безопасность (WAF, NGFW).

Столько же компаний (20%) придерживаются высокого уровня защиты с отдельным подразделением ИБ, где руководитель подчиняется генеральному директору. Также предварительно оцениваются риски, определяются метрики и проводятся внешние аудиты.

Еще 18% рассматривают аутсорсинг как эффективную альтернативу внутренним ресурсам. В таких случаях бизнес делает ставку на внешнюю экспертизу, готовые решения "под ключ" и профессиональную поддержку со стороны специализированных компаний. Однако на практике это могут быть и приходящие специалисты, чья квалификация не всегда подтверждена или соответствует уровню угроз. Аутсорсинг может как полностью заменять внутренние меры, так и дополнять их - особенно в вопросах мониторинга, реагирования на инциденты или проведения аудитов.

От антивирусов до обучения: как компании выстраивают киберзащиту

Самыми популярными мерами защиты в сегменте МСП остаются антивирусное ПО, VPN, парольная политика, резервное копирование и шифрование данных. Однако 16% компаний в принципе не применяют никаких защитных решений.

При этом специализированное обучения сотрудников регулярно проводят 27% компаний, еще 16% - только после произошедших киберинцидентов. 17% респондентов не обучают персонал вовсе и не планируют, а 16% опрошенных собираются внедрить соответствующие программы.

DDoS, вредоносное ПО и фишинг - главные тревоги МСП

Среди наиболее тревожащих угроз респонденты называли DDoS-атаки - их упомянули 19% опрошенных, также отметили вредоносное программное обеспечение (17%), фишинговые атаки и взлом корпоративных аккаунтов (по 16%), а также уязвимости в ПО (15%). Среди прочего социальная инженерия вызывает опасения у 7% респондентов, действия инсайдеров - у 4%, компрометация поставщиков или подрядчиков - у 3%. Несмотря на это, по данным исследования Orion soft 85% ИТ-специалистов считают основной причиной взломов и утечек данных человеческий фактор. Лишь 1% участников исследования заявили, что не испытывают тревоги перед киберугрозами.

Юридические риски - главный страх МСП в случае атаки

Респонденты отметили сразу несколько последствий кибератак как наиболее значимые: 83% упомянули юридические риски, 76% - финансовые потери, 75% - репутационные риски, включая снижение доверия со стороны клиентов и партнеров, 71% - приостановку бизнес-процессов и нарушение работы ИТ-систем, 50% - потерю доступа к важной информации, например, из-за действий вирусов-шифровальщиков.

Елена Бочерова, исполнительный директор компании "Киберпротект": "Сегодня значительная часть МСП по-прежнему выстраивает киберзащиту по остаточному принципу: без выделения ответственных специалистов, без четких регламентов и зачастую - без понимания реального уровня риска. Мы видим, что даже базовые меры применяются не всегда , а обучение сотрудников и вовсе остается точечным или в принципе отсутствует. Это делает бизнес уязвимым - особенно на фоне роста числа инцидентов и расширения потенциальных угроз. Чтобы выйти из этой уязвимой зоны, важно не только внедрять технологии, но и повышать осведомленность сотрудников, уделяя внимание кибергигиене как элементу общей культуры управления".