Избежать утечки данных. Эксперты рассказали, как МСБ обеспечить кибербезопасность

Информационная безопасность (ИБ) важна не только для корпораций и крупного бизнеса, но и для МСБ. Уже с появлением базы данных клиентов, дистанционного банковского обслуживания бизнесу требуется защита от киберугроз. По оценкам экспертов, почти каждая третья организация в Казахстане подвергается кибератакам, а только в 2023 году в стране было совершено более 223 миллионов попыток кибератак со стороны иностранных хакеров.

В рамках спецпроекта об автоматизации МСБ Digital Business совместно с ЕБРР решил выяснить, как защищаться малому и среднему бизнесу в digital-среде, кто может им в этом помочь и стоит ли безоговорочно доверять доступным AI-сервисам.

С чего начинается киберзащита и кто за нее отвечает?

По итогам прошлого года в топе цифровых угроз для бизнеса – DDos-атаки и заражение вредоносными программами. При этом более трети кибернападений (35%) заканчивались утечкой конфиденциальной информации, а каждая десятая компания теряла от 800 тыс. до 2,4 млн тенге. В 5% случаев размер убытков из-за хакерских атак превышал 8 млн тенге.

Есть несколько основных сценариев, когда бизнесу пора задуматься о киберугрозах:

  • У компании есть база данных клиентов, включая контакты, заказы, платежные данные.
  • Сотрудники используют сторонние сервисы, например, облачные хранилища, AI-инструменты.
  • Часть персонала работает удаленно или использует личные устройства.
  • В компанию приходят подозрительные письма со ссылками и вложениями.

По мнению независимого эксперта по кибербезопасности Евгения Питолина, противостояние цифровым угрозам подразумевает комплексный подход. Он включает защиту корпоративных и клиентских данных, безопасную работу с внешними сервисами и вендорами, а также внутреннюю ИБ-политику в компании.

Евгений Питолин. Фото Андрея Лунина

«Базовые меры по снижению киберугроз в МСБ включают установку антивирусного ПО, резервное копирование данных и корпоративный VPN – частную виртуальную сеть для сотрудников компании, работающих в офисе и удаленно. Она обеспечивает зашифрованное подключение между пользователем и сервером, блокирует утечки конфиденциальных данных и корпоративного трафика в интернет, плюс помогает противостоять кибератакам», говорит эксперт.

Также кибербезопасность компании зависит от приверженности мерам цифровой гигиены. Среди них Евгений Питолин выделяет единую политику в домене. Допустим, требования к паролям, ограниченный доступ к данным для сотрудников, нормы по использованию внешних устройств, наличие двухфакторной аутентификации и т.д. Не менее важна и цифровая грамотность сотрудников.

«Чтобы не разводить «зоопарк» ИТ- и ИБ-решений, глубоко в них не разбираясь, можно выбрать надежного инфраструктурного провайдера, будь то cloud-сервис или оперативный центр реагирования на киберинциденты (ОЦИБ). Учитывая, что у МСБ не всегда есть возможность нанимать ИБ-специалиста в штат, его можно заменить внештатным директором по кибербезопасности. Так бизнес обезопасит себя на начальном этапе, начнет разбираться в теме киберугроз и по мере роста и потребностей сможет выбрать доверенного партнера в лице ОЦИБ», отмечает эксперт.

Как компании безопасно хранить и передавать данные?

Потери конфиденциальной информации случаются по различным причинам. Части из них, например, перехвата интернет-трафика, помогает избежать базовая технология SSL-сертификатов (Secure Sockets Layer). Она работает на базе криптопротокола безопасности, создающего зашифрованное соединение между веб-сервером и веб-браузером.

«Установка SSL-сертификата обеспечивает конфиденциальную передачу данных. Как правило, такой сертификат вместе с доменным адресом продает или включает в хостинговый тариф любой хостер или клауд-сервис. Отсутствие базового шифрования несет в себе большие риски. Если предприниматель или сотрудник компании подключился где-то к бесплатному Wi-Fi без пароля, его веб-трафик вместе с данными клиентов сможет перехватить даже школьник-технарь», объясняет Евгений Питолин.

По мнению эксперта, утечка персональных данных – классическая проблема в Казахстане, при этом бороться с ней не так просто. Все упирается в ИТ-решения, которые может позволить себе бизнес:

«Из-за жестких требований, включая отслеживание действий сотрудников,  специализированное ПО по защите информации вроде DLP-систем (Data Loss Prevention) не всегда гарантирует результат. В небольших компаниях гораздо проще и эффективнее внедрять инструменты цифровой маркировки документов, но пока эта технология не сильно популярна», — уточняет эксперт.

Самый доступный способ обезопасить данные компании – установить файрвол веб-приложений для фильтрации интернет-трафика, безопасной передачи данных и мониторинга их утечки. Таких решений достаточно много, в том числе казахстанских. Причем некоторые из них доступны предпринимателям бесплатно в рамках той работы, которую проводит комитет информационной безопасности нашего цифрового регулятора.

И, конечно, не стоит забывать про резервное копирование данных. К нему часто относятся как к ненужной перестраховке либо делают его неправильно. К примеру, размещают резервные сервера в той же подсети, что и основные.

Так почему же МСБ крайне важно делать бекапы? Например, чтобы защититься от вируса-шифровальщика. С его помощью злоумышленники блокируют доступ компании к ее ИТ-системе, корпоративной почте и всем данным. Тем самым они парализуют работу бизнеса и вымогают у собственников деньги. Без резервного копирования шанс восстановить данные в таких случаях не больше 3-5%.

Какие меры помогут обезопасить бизнес при использовании внешнего ПО?

По мнению заместителя гендиректора TSARKA Полата Тохтахунова, любое ПО, которое собирает персональные данные пользователей, так или иначе подвергается кибератакам. В идеале его разработчики должны регулярно проверять ИТ-решения на уязвимости, но так происходит не всегда.

Полат Тохтахунов. Фото из личных архивов героя

«Из-за высокой конкуренции разработчики зачастую жертвуют тестированием ИТ-продуктов, чтобы быстрее выпустить их на рынок. При этом хакеры постоянно совершенствуют инструменты и методы атак. Значит, безопасное сегодня ПО завтра может стать уязвимым к новой киберугрозе. В таком случае проблему отчасти решает регулярная установка доступных патчей и обновлений, устраняющих ошибки и слабые места, отмечает Полат Тохтахунов.

С развитием и усложнением ИТ-системы компания может столкнуться с нехваткой собственной экспертизы для анализа цифровых уязвимостей. Зато такую задачу помогает решать национальная платформа Bug Bounty, где зарегистрировано более 2500 белых хакеров.

«Bug Bounty может заменить стандартное проникновение в систему в виде пентестов, ограниченных по времени и задаче. Платформа работает по подписке, что позволяет проверять на уязвимости программное обеспечение и домены компании 24/7 в течение года. Такой формат имеет смысл, когда бизнес начинает выстраивать цифровую экосистему, и вместе с ней возрастают требования к кибербезопасности», считает Полат Тохтахунов.

Еще одной зоной риска для МСБ может оказаться заказная ИТ-разработка: она дешевле собственной команды, но несет угрозы, такие как некачественный код с уязвимостями, бэкдоры, баги из-за слабого тестирования или утечка конфиденциальной информации.

Избежать подобных проблем помогает выбор надежного подрядчика, четко составленное ТЗ, качественный аудит готового продукта, его обязательная проверка на уязвимости и функциональное тестирование перед запуском. Что касается риска утечки конфиденциальных данных, по мнению эксперта в разработке антифрод-систем Айбека Сидикова, достаточно заключить с подрядчиком NDA.

Айбек Сидиков. Фото из личных архивов героя

«Если поставщик, потенциальный клиент или третье лицо имеет даже минимальную возможность соприкоснуться со служебной или коммерческой информацией/документацией, лучше сразу оформлять договор о неразглашении. Этот пункт должен быть всегда наготове и «вшит» на уровне инструкции или обязательного правила. Также будет не лишним перечень того, что в компании считается внутренней информацией, а что – публичной. Ведь зачастую сами сотрудники даже не знают, какая информация относится к коммерческой (или служебной)», говорит Айбек Сидиков.

Стоит ли доверять корпоративные данные AI-ассистентам и чат-ботам?

Согласно глобальному опросу McKinsey & Company, уровень внедрения AI в организациях по всему миру вырос до 72%. Среднестатистическая компания используют AI-технологии чаще всего в маркетинге и продажах, а также в разработке продуктов и услуг. Вместе с преимуществами использования нейросетей компании отмечают сопутствующие риски. Соответственно, возникает вопрос: безопасно ли вообще делиться данными с решениями, типа ChatGPT, Copilot и их аналогами?

«Риск утечки связан с потерей данных при использовании чат-ботов в своей работе, например, при подготовке документов или отчетов. Сотрудники постоянно делятся коммерческой тайной, сливают возможную служебную информацию и так далее. Конечно, разработчики AI-ассистентов говорят, что ничего себе не сохраняют, но стопроцентных гарантий нет. Скорее всего, данные компаний потом попадают в какие-то облачные хранилища. Поэтому любому работодателю стоит задуматься о том, чтобы юридически ограничить сотрудников в обмене корпоративной информацией с AI-помощниками», считает Евгений Питолин.

Прежде чем отдать чат-боту на обработку документы, эксперт рекомендует удалить из них всю конфиденциальную информацию. Загружать документы целиком вообще не стоит.

«Помимо чат-ботов риски утечек несут разные приложения, плагины, настройки и расширения браузеров для использования ИИ. В их случае данные могут сливаться еще и на сервера третьих сторон. Причем не тех, кто создал этот плагин или настройку. Если создателей ключевых движков ИИ регулярно проверяют, то валидация плагинов для AI-ассистентов в десятки раз ниже. Поэтому вероятность столкнуться с плохо написанным или умышленно «дырявым» софтом очень высокая. Лучше вообще не устанавливать эти приложения и настройки, либо хотя бы использовать проверенные решения, которые существуют полгода-год, регулярно обновляются, не имеют негативных отзывов и так далее», резюмирует Евгений Питолин.

А теперь тест. Подготовлен ли ваш бизнес к цифровым вызовам?

Спасибо, что дочитали статью до конца! Но это еще не все. Как насчет того, чтобы пройти короткий тест и проверить свои знания о киберугрозах и базовых мерах информационной безопасности в компании?

А чтобы у вас всегда была под рукой полезная информация, предлагаем скачать чек-лист с основными рекомендациями по кибербезопасности.

Также вам может быть интересно:

Для малых и средних предприятий в ЕБРР действует программа поддержки МСБ ЕБРР, в рамках которой компании имеют возможность получить грант на привлечение профессиональных консультантов для решения бизнес-задач. Услуги консалтинга на сегодня получили более 2200 тыс. предприятий.

По вопросам участия в консультационных проектах можно писать на почту: EBRDAlmatyInfo@ebrd.com.

По вопросам поддержки инновационных стартапов по всему Казахстану в ЕБРР также готовы ответить по адресу: BirimzhS@ebrd.com

утечка данныхкибергигиенаМСБавтоматизация бизнесаЕБРРкибербезопасность