Необученные сотрудники и старые системы: все чаще жервтами кибератак становятся малые и средние предприятия

Опросы, проведенные Департаментом государственной инфосистемы (RIA) и Департаментом статистики, показывают, что малые и средние предприятия обучают своих сотрудников навыкам кибербезопасности гораздо реже, чем крупные компании. При этом они часто начинают планировать крупные инвестиции в кибербезопасность уже после того, как их предприятие пострадало от рук злоумышленников.

«Однако предотвращение рисков всегда обходится дешевле, чем ликвидация последствий. Всего несколько недель назад одна из компаний сообщила нам, что ей удалось предотвратить мошенничество со счетами на сумму более миллиона евро», - говорит руководитель отдела анализа и профилактики RIA Мярт Хийетамм.

«Исследования показывают, что многие предприятия очень мало знают об угрозах в киберпространстве. Они также недостаточно хорошо информированы о потенциальном ущербе от кибератак и вероятности их совершения, - пояснил Хийетамм. - Небольшие компании считают, что они недостаточно привлекательны для преступников, но на самом деле они часто становятся мишенью для атак, поскольку имеют более низкий средний уровень безопасности».

Именно поэтому в этом году кампания RIA по повышению осведомленности о кибербезопасности, которая пройдет в октябре, будет ориентирована на малый и средний бизнес. «Кибербезопасность - это не только затраты на ИТ. В худшем случае кибератака может закончиться банкротством и оставить без работы большое количество людей», - подчеркнул Хийетамм. В качестве одного из наиболее серьезных недавних инцидентов он привел атаку на две промышленные компании в Харьюмаа в начале года, в результате которой деятельность предприятий с сотнями сотрудников была серьезно нарушена на несколько недель.

«В своей работе мы часто сталкиваемся с тем, что кибератака может нанести ущерб не только самой компании, но и ее клиентам и деловым партнерам. Прямой экономический ущерб часто сопровождается репутационным ущербом», - говорит Хийетамм.

Примером таких рисков являются ставшие распространенными в последние годы атаки на поставщика услуг, то есть атаки на цепочку поставок: злоумышленники, к примеру, проникают в сеть компании, предоставляющей ИТ-услугу, а через нее и в информационные системы ее клиентов.

«Часто мы видим, что ответственность и риски, связанные с цепочкой поставок при оказании ИТ-услуги или любой другой услуги, вообще не зафиксированы в договоре. В худшем случае даже неясно, куда можно написать или позвонить в случае возникновения проблемы», - пояснил Хийетамм.

Недооценка киберрисков хорошо видна на примере прошлогоднего случая, когда группа реагирования на инциденты RIA (CERT-EE) обнаружила более 300 интернет-магазинов, использующих устаревшее программное обеспечение, что делало их уязвимыми к одному конкретному недостатку системы безопасности. Летом этого года, несмотря на неоднократные напоминания, около ста интернет-магазинов все еще не обновили программное обеспечение.

Если злоумышленникам удается взломать интернет-магазин, они могут установить вредоносное ПО или создать фишинговую страницу для кражи данных покупателей, в том числе реквизитов банковских карт. Согласно общему регламенту ЕС по защите данных, небрежное обращение с персональными данными может привести к крупным штрафам в размере до 20 миллионов евро или четырех процентов от оборота компании за предыдущий финансовый год.

В качестве положительного момента Хийетамм отметил, что компании все больше осведомлены о наиболее распространенных кибермошенничествах. Он также призвал сообщать о таких инцидентах в RIA по адресу raport.cert.ee или cert@cert.ee для дальнейшей защиты киберпространства Эстонии.