Угрозы ИБ для малого бизнеса и как защититься без больших затрат
Характерные угрозы информационной безопасности для малого бизнеса: фишинг, вредоносное ПО во вложениях и человеческий фактор (низкая грамотность сотрудников). Как руководителю повысить защищённость своих ресурсов без серьёзных вложений — типовые организационные и технические меры, которые можно внедрить силами компании и бесплатными или встроенными инструментами.
Малый бизнес часто думает: «мы никому не интересны». На деле большинство атак массовые и автоматические — вредоносные письма и фишинг рассылаются веером, и небольшая компания без базовой защиты становится лёгкой мишенью. Хорошая новость: базовую защищённость можно поднять почти без затрат. Разберём характерные угрозы и типовые меры.
Характерные угрозы для малого бизнеса
- Фишинг. Поддельные письма и сайты, имитирующие банк, налоговую, контрагента или самого руководителя, чтобы выманить пароли, реквизиты или заставить оплатить «срочный счёт». Отдельный риск — компрометация деловой переписки (письмо якобы от директора с просьбой оплатить).
- Вредоносное ПО во вложениях. Вирусы-шифровальщики и трояны приходят во вложениях (документы с макросами, архивы, «акты» и «счета»). Шифровальщик может заблокировать все файлы и парализовать работу.
- Человеческий фактор. Самое слабое звено — сотрудники: открывают подозрительные вложения, переходят по ссылкам, используют простые и одинаковые пароли, пересылают данные на личную почту. Низкая грамотность в вопросах ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз. обесценивает любые технические средства.
- Потеря данных. Отсутствие резервных копий превращает поломку диска, кражу ноутбука или атаку шифровальщика в потерю бизнеса.
Организационные меры (почти без затрат)
- Обучение и памятки. Короткий инструктаж, как распознать фишинг и не открывать подозрительные вложения, снимает большую часть рисков. Готовые памятки и инструкции есть в разделе образцов.
- Правила паролей. Длинные уникальные пароли, менеджер паролей, запрет использовать один пароль везде; двухфакторная аутентификация там, где она есть.
- Разграничение доступа. Каждому — только необходимый доступ; не работать под учётной записью администратора; вовремя отзывать доступы при увольнении.
- Проверка платежей по второму каналу. Смену реквизитов и «срочные» платежи подтверждать звонком — это отсекает мошенничество от имени руководителя или контрагента.
- Порядок действий при инциденте. Заранее определить, кому и как сообщать; при утечке персональных данных действовать по алгоритму и уведомить Роскомнадзор в установленные сроки (в течение 24 и 72 часов).
- Распределение обязанностей. Даже в маленькой компании назначить ответственного и закрепить правила — см. статью о распределении обязанностей по ИБ.
Технические меры (бесплатные или недорогие)
- Антивирус и обновления. Включённое антивирусное средство с актуальными базами (в том числе встроенное в ОС) и регулярные обновления операционной системы и программ закрывают известные уязвимости.
- Двухфакторная аутентификация (2FA). На почте, в банке, на Госуслугах, в бухгалтерии и облачных сервисах — бесплатно и резко снижает ущерб от кражи пароля; надёжнее приложение-аутентификатор, чем коды по SMS.
- Резервное копирование. Регулярные бэкапы важных данных с копией, отключаемой от сети (офлайн), и периодической проверкой восстановления — главная защита от шифровальщиков. Синхронизация с облаком бэкап не заменяет: шифровальщик может зашифровать и синхронизированные файлы.
- Почта и вложения. Спам-фильтр, блокировка макросов в офисных документах по умолчанию, отключение автозапуска со съёмных носителей.
- Сеть и устройства. Сменить пароль администратора роутера и обновлять его прошивку, включить WPA2/WPA3 и отключить ненужное удалённое администрирование; изолированный гостевой Wi-Fi; шифрование дисков на ноутбуках встроенными средствами ОС (с сохранением ключа восстановления в надёжном месте) и блокировка экрана.
Многие из этих мер бесплатны или уже встроены в операционную систему и сервисы — важнее их включить и приучить сотрудников, чем покупать дорогие решения.
С чего начать
Если внедрять по одному, наибольший эффект при минимальных затратах дают четыре меры: двухфакторная аутентификация на ключевых сервисах, резервные копии (с офлайн-копией), обновления и антивирус и обучение сотрудников распознавать фишинг. Дальше — разграничение доступа, проверка платежей по второму каналу и порядок действий при инциденте.
Главное
Малый бизнес атакуют массово и автоматически, а характерные угрозы — фишинг, вредоносные вложения и человеческий фактор. Поднять защищённость можно почти без вложений: обучение и памятки сотрудникам, правила паролей и 2FA, разграничение доступа и проверка платежей, а также встроенные технические меры — антивирус, обновления, резервное копирование и шифрование дисков. Начать стоит с 2FA, бэкапов, обновлений и обучения — это даёт максимальный эффект при минимальных затратах.