Кибербезопасность стала главной заботой малых и средних предприятий (МСП), и почти половина (48%) МСП пережили по крайней мере один кибератаку за последний год.

Об этом свидетельствуют данные нового опроса, проведенного поставщиком программного обеспечения для бухгалтерского учета и расчета заработной платы Sage.

Roche Healthcare, один из клиентов Sage, является одним из малых и средних предприятий, недавно столкнувшихся с подобным инцидентом. Синди Клисби, представитель Roche, поделилась своим опытом во время мероприятия Sage в Лондоне: “Через два месяца после того, как мы решили сменить наши серверы для размещения данных, провайдер, с которым мы работали, на котором размещалась большая часть наших данных, подвергся кибератаке. Они отключили системы на шесть месяцев, что означает, что за это время нам пришлось многое делать вручную, включая выставление счетов ”.

Некоторым компаниям, опрошенным Sage, повезло еще больше: четверть (25%) респондентов заявили, что им пришлось пережить несколько кибератак в течение одного года.

Кибербезопасность является приоритетом для малого и среднего бизнеса

Согласно исследованию Sage “Кибербезопасность для малого и среднего бизнеса: преодоление сложности и повышение устойчивости”, большинство малых и средних предприятий разработали стратегию кибербезопасности. Например, 81% внедрили нечто большее, чем простые базовые средства контроля безопасности.

Значительная доля малых и средних предприятий также стремится повысить устойчивость к кибератакам: 58% заявили, что создают резервные копии своих данных.

Другие выводы в отчете также показывают, что кибербезопасность является одним из приоритетов малого и среднего бизнеса: две трети считают, что кибербезопасность была частью их культуры, а четверо из 10 респондентов заявили, что регулярно обсуждали кибербезопасность.

Каковы проблемы кибербезопасности для малого и среднего бизнеса?

Сложность цифровой трансформации затрудняет для небольших фирм поддержание уровня безопасности.

Одной из серьезных проблем является удаленная работа: в то время как 81% респондентов из Великобритании заявили, что у них есть процесс управления рисками кибербезопасности для удаленных работников, только 53% внимательно следят за ним. Четверть (25%) британских компаний с удаленным процессом обеспечения безопасности признались, что некоторые из их сотрудников не соблюдали его.

Аналогичным образом, облачный переход создает множество проблем для малого и среднего бизнеса. Более половины (52%) респондентов опроса Sage заявили, что они не до конца уверены в использовании облачных сервисов по соображениям безопасности.

Кэтрин Хит, финансовый администратор церкви Святого Георгия в Лидсе, сказала, что управление этими сложными ИТ-средами кажется “довольно хаотичным” для такой организации, как ее.

“Я начинаю чувствовать, что знаю достаточно, чтобы беспокоиться. Например, до разговора с человеком, ответственным за безопасность наших систем, я не чувствовала себя хорошо информированной о том, насколько сложны наши системы, с облаком, хранилищем данных, дисководами и индивидуальным программным обеспечением, которое мы используем ”, – сказала она во время мероприятия в Лондоне.

“Недавно мы привлекли нового подрядчика для нашей системы управления бронированием. Очень много исследований было посвящено функциональности, цене, удобству использования клиентами и преимуществам для бизнеса, но я не помню, чтобы безопасность была частью обсуждения. Мы предполагаем, что если мы выберем надежного поставщика, то там будут приняты хорошие меры безопасности ”.

Между тем, ландшафт киберугроз также быстро развивается, фишинг становится более целенаправленным, а программы-вымогатели – более изощренными.

Это одна из самых серьезных проблем для малого и среднего бизнеса, причем половина (51%) считает, что быть в курсе новых киберугроз – их самая большая проблема.

МСП нуждаются в дополнительной поддержке для улучшения своей киберзащиты

Несмотря на то, что МСП перегружены развитием технологий и современными киберугрозами, которые они представляют, опрос Sage также показал, что они готовы улучшить свою систему безопасности.

Например, 68% респондентов заявили, что обратились бы к более дорогому поставщику, если бы он демонстрировал более высокий уровень безопасности.

Малые и средние предприятия не могут улучшить свою кибербезопасность в одиночку. Более половины (52%) участников опроса заявили, что хотят большей поддержки со стороны правительства, особенно в повышении осведомленности о кибербезопасности и организации обучения по вопросам безопасности.

В качестве одного из примеров, когда регулирование помогло повысить кибербезопасность, приводился Общий регламент по защите данных (GDPR).

“Конечно, GDPR доставил нам много головной боли, но он также вселил в нас некоторую уверенность, поскольку предоставил четкий набор мер для внедрения и условий, которым необходимо соответствовать”, – сказал Хит.

Клисби согласился с этим, добавив, что в Roche Healthcare мерами кибербезопасности в основном руководил сотрудник по защите данных (DPO), роль, введенная GDPR.

Какие киберресурсы правительство Великобритании предлагает МСП?

Хотя правительство Великобритании не планирует внедрять законодательство в области кибербезопасности, подобное GDPR, Эмма Грин, заместитель директора по киберустойчивости Департамента науки, инноваций и технологий Великобритании (DSIT), заявила во время мероприятия Sage, что они расследуют причины снижения инвестиций МСП страны в кибербезопасность.

“Мы впервые видим снижение инвестиций МСП в кибербезопасность после многих лет медленного роста, и впервые мы видим такое расхождение между крупными организациями, которые, как правило, из года в год все больше инвестируют в кибербезопасность, и МСП. В этом месяце у меня встреча с людьми из Лондонской школы экономики (LSE), которые проводят для нас исследование, чтобы глубже разобраться в этом явлении ”.

Хотя бюджет безопасности большинства малых и средних предприятий в последнее время сократился – в первую очередь из–за экономической неопределенности и роста стоимости жизни, – 91% опрошенных Sage считают, что в ближайшие несколько лет он увеличится.

Между тем, Грин сказал, что правительство Великобритании продолжает продвигать свой риск-ориентированный подход к кибербезопасности и продвигает различные ресурсы для любых организаций, включая МСП, для улучшения их положения в области кибербезопасности.

Ресурсы, предлагаемые правительством Великобритании, включают следующее:

• Руководство для малого бизнеса: кибербезопасность: бесплатный ресурс Национального центра кибербезопасности Великобритании (NCSC), призванный помочь малым предприятиям защитить себя от наиболее распространенных кибератак. Руководство включает в себя ряд практических советов, например, как выбрать хороший менеджер паролей и обнаружить фишинговое электронное письмо.
• Основы кибербезопасности: поддерживаемая правительством и промышленностью схема, помогающая организациям защитить себя от распространенных онлайн-угроз. Это набор из пяти основных технических средств контроля, которые все организации должны иметь для защиты от наиболее распространенных киберугроз и демонстрации своей приверженности кибербезопасности: пограничные брандмауэры и интернет-шлюзы, безопасная конфигурация, контроль доступа, защита от вредоносных программ и управление исправлениями.
• Раннее предупреждение: бесплатный сервис от NCSC, который при первой возможности информирует организации о потенциальных кибератаках в их сети.
• Советник по кибербезопасности: схема, которая предоставляет МСП надежные и экономически эффективные консультации и практическую поддержку в области кибербезопасности. Схема позволяет NCSC рекомендовать потребителям организации с независимой гарантией.