Зверніться до експерта
Планування правильного рішення вимагає розуміння цілей безпеки вашого проєкту. Дозвольте експертам Kingston допомогти вам.
Зверніться до експертаПрофесорка Саллі Івз – голова компанії Cyber Trust і старша радниця Міжнародного фонду кібердосліджень. Її називають світилом технічної етики; вона є переможницею премії ООН «Передові технології та їх вплив на людей». Колишній технічний директор, а зараз професор передових технологій і стратегічний радник з питань новітніх технологій, Саллі є лауреаткою низки премій, авторкою міжнародних публікацій, видатною спікеркою та авторитетною експерткою у сфері цифрової трансформації (штучний інтелект, 5G, хмарні технології, блокчейн, кібербезпека, керування, Інтернет речей, наука про дані), а також у сфері культури, навичок, різноманіття та рівності, сталого розвитку й соціального впливу.
Саллі активно веде просвітницьку та навчальну діяльність для підтримки нового покоління технічних талантів, а також заснувала Aspirational Futures для сприяння інтеграції, різноманіттю та рівності у сфері освіти та технологій, а її книга «Технології на благо людства» вже готується до випуску. Авторитет Саллі у сфері технологій було визнано провідними організаціями, як-от Onalytica, і вона стабільно входить у топ-10 міжнародних експертів із низки дисциплін – від штучного інтелекту до 5G та сталого розвитку.
Малий та середній бізнес відіграє важливу роль у забезпеченні стабільності та росту як національної, так і міжнародної економіки. Близько 400 мільйонів підприємств МСБ є «костяком» глобальної економіки та важливим джерелом створення робочих місць – на цей сегмент припадає 95% всіх підприємств та 60-70% найманих працівників.
Тому як з точки зору економіки, так і з точки зору безпеки важливо, щоби МСБ міг користуватися всіма благами сучасного розмаїття цифрового світу, але при цьому надійно захищав свою кібербезпеку.
Однак зараз настав час великих змін. Багатьом підприємцям довелося швидко опанувати нові цифрові стратегії та технології, щоби успішно продовжувати, розвивати або розширювати свою діяльність – і це в умовах світової пандемії та часткового переходу на дистанційний режим роботи. Це також призвело до виникнення додаткових кіберризиків.
Кібератаки відбуваються кожні 39 секунд, їхній середньодобовий показник становить 2244 рази (Varoni 2020), а вразливість суб’єктів МСБ перед кіберзламами щорічно зростає на більш ніж 400%. В той же час у разі продуманих дій їхній захист можна забезпечити і меншими ресурсами та коштом. В публікації наведено опис сукупності сучасних кіберзагроз для малого та середнього бізнесу, пояснення його актуальності та основних викликів – з метою підвищення обізнаності та стимулювання готовності протистояти кіберзагрозам, що динамічно еволюціонують.
«Настав час звільнити інвестиції, освіту, дослідження та зростаюче усвідомлення ризиків у сегменті МСБ – та й глобальної економіки – від хибного уявлення, що кіберзлочинцям та хакерам цей сегмент мало цікавий». Професорка Саллі Івз
Дуже поширеним є хибне уявлення щодо розміру бізнесу у розрізі вартості кібератаки та наслідків браку кіберзахисту – починаючи від зриву нормальної роботи підприємства та фінансових збитків. Дані нещодавно проведеного у Великій Британії дослідження (Vodafone Business 2021) свідчать про те, що середня вартість успішної кібератаки становить 3230 фунтів стерлінгів, при цьому дослідники дійшли до висновку, що наслідком такої атаки було би закриття майже чверті малих та середніх підприємств Великої Британії, а ще 16% власників бізнесу довелося би скорочувати кількість працівників. Це підтверджується і іншими дослідженнями. І цими ризики не вичерпуються, бо такі наслідки, як втрата репутації та довіри клієнтів можуть протриматися набагато довше для тих власників бізнесу, які зуміли вистояти основну атаку. Близько 81% споживачів кажуть, що у разі витоку даних припинили би взаємодію із брендом через Інтернет.
Власники малого та середнього бізнесу взаємодіють із великою кількістю постачальників та партнерів, і їхні дані є такими ж цінними, як і власників великого бізнесу. Якщо хакер може зламати будь-яку ланку у ланцюгу постачання, йому буде легше атакувати іншу, – а зачасту і більші компанії в цій ланці. Дані власників малого та середнього бізнесу зазвичай набагато легше вкрасти. Тому не дивно, що й частота, й досконалість кібератак на цей сегмент зростають, і зростають стрімко, і що хакери часто об’єднуються та діють в цілях збагачення як організовані групи.
Результати нового дослідження проливають світло на істинні масштаби загроз для МСБ у порівнянні із великим бізнесом. За 2019-2020 рр. 65% МСБ стали жертвами кібератак, в той час як за всіма сегментами бізнесу зведений показник становив 46% (Towergate), що підтверджує повторюваність атак. Протягом цього періоду на МСБ здійснювалося в середньому по 6 атак – тобто раз на два місяці! (NatWest).
На думку одразу приходять два основних методи – фішинг та соціальна інженерія вздовж екосистеми ланцюгу постачання. Якщо це накласти на такі внутрішні фактори ризику, як брак оцінки ризиків, недостатній контроль доступу, недостатній захист даних, пристроїв та паролів, низький рівень навченості та обізнаності, брак культури та навичок кібергігієни, то стає очевидно, що рівень потенційної вразливості перед загрозою є високим.
Фішинг та соціальна інженерія
85% кібератак починаються зі спроб фішингу, мета яких – заманити користувача у пастку, наприклад, завантажити шкідливе програмне забезпечення, найчастіше – через переписку електронною поштою. І ці атаки стають все складнішими. І справді, нещодавно виявили, що штучний інтелект навчився писати кращі фішингові листи! Соціальна інженерія, яка часто пов’язана із фішингом, означає маніпулятивну методику, коли за допомогою обману, переконання та навіть залякування людину змушують вчиняти певні дії або передавати конфіденційну інформацію. Ця проблема стала особливо актуальною в умовах пандемії, коли кібершахраї користуються нашою спільною вразливістю та намагаються заволодіти особистими даними, надсилаючи фішингові повідомлення електронною поштою та месенджерами нібито про Covid-19, або навіть надсилаючи файлові додатки нібито від Всесвітньої організації охорони здоров’я (ВООЗ). Рівень розвитку кіберзагроз просто вражає, особливо у порівнянні із першою зафіксованою кібератакою за назвою Morris Worm, яка відбулася ще у 1988 році. Атака вплинула на 6 тисяч комп’ютерів, що тоді було еквівалентно 10% всього Інтернету. Як же все змінилося!
Ланцюг постачання
Улюбленою тактикою кіберзлочинців є використання для зламів програмного забезпечення, а не пристроїв – наприклад, шляхом «підсадки» шкідливого коду у звичайне оновлення ПЗ. Атаки на МСБ здійснюються через власні ланцюги постачання підприємців, а також дуже поширеною є ситуація, коли атаку на МСБ використовують як плацдарм для нападу на більші організації. Бібліотеки ПЗ з відкритим кодом є іншою сферою вразливостей для ланцюгів постачання. А якщо подивитися на перспективу, коли до 2025 року кількість пристроїв з IoT-підключенням зросте більш ніж вдвічі та становитиме 75 млрд., це само по собі створює нові кіберризики. До мереж може підключатися дешеве обладнання, а багато підключених до нього пристроїв будуть вразливими перед кібератаками. Якщо це розглядати у розрізі передових IT/OT-технологій та екосистеми ланцюгу постачання, то розширення ділянки загроз виходить на головну роль.
Отже, виникає основне запитання: а чим, власне, зумовлено те, що МСБ часто ігнорує сучасні засоби захисту та профілактики кіберризиків? По-перше, існує відмінність між обізнаністю та власне діями: наприклад, за даними нещодавно проведеного дослідження 93% власників МСБ вважають, що кібербезпека є критичною для продовження підприємницької діяльності, однак лише 64% з них дійсно використовують засоби кібербезпеки. Дані європейського дослідження показують дещо іншу картину щодо відмінності між обізнаністю та діями, зокрема, що багато власників МСБ хибно вважають, що кібербезпекові інструменти вже вбудовані в ІТ-продукцію, яку вони купляють і додаткові заходи безпеки не потрібні, якщо тільки це не є вимогою законодавства (enisa 2021).
Ще одним фактором є небажання вкладати гроші в кіберзахист: за даними Statista (2020), середній рівень інвестицій в кібербезпеку становить 5100 фунтів стерлінгів, що може дати МСБ уявлення, що з цим у них проблем немає. Однак якщо виділити окремо сегмент малого та мікробізнесу, то тут середній показник становитиме 3490 фунтів стерлінгів. Великі організації підготовлені краще – або, принаймні, мають більше ресурсів: в цьому сегменті середній розмір інвестицій становить 277 тисяч фунтів стерлінгів, що вказує на величезну прогалину, якою злочинці неодмінно скористаються!
Серед інших факторів можна виділити недорозвинену «кіберкультуру», побоювання хмарних технологій через їхню нібито складність та хибні уявлення, та загальний брак обізнаності про технології та підтримку, якими суб’єкти МСБ можуть скористатися. Найбільш показовим є той факт, що 54% респондентів нещодавно проведеного опитування сказали, що в їхніх компаніях не проводиться навчання співробітників щодо безпеки даних та кібербезпекових загроз (Vodafone Business 2021).
Очевидно, що незалежно від розміру компанії, кібербезпека має бути на верхніх щаблях порядку денного! В умовах постійного зростання різноманіття та поширеності загроз для безпеки захист систем та даних від атак є актуальним як ніколи. Це передбачає продумане управління людьми, процесами, системами, мережами та технологіями, а для цього необхідно мати єдине бачення, культуру та цінності, що є запорукою успішного провадження технологічних змін. Враховуючи, що сегмент МСБ найчастіше піддається найпоширенішій тактиці, націленій саме на людську психологію – фішингу з елементами соціальної інженерії – то підвищення обізнаності та освідченості тут є ключовим. Чим вище обізнаність щодо напрямків загроз, тим кращим буде рівень кібербезпеки.
З чого почати? Оскільки профілактика витоку даних є дуже важливою, варто оцінити, з якими саме даними працюють співробітники. Тут важко переоцінити важливість USB-накопичувачів з функцією шифрування, оскільки їх використання забезпечує максимальну безпеку при зберіганні та передачі конфіденційних даних.
Компанія Kingston Technology вже давно є визнаним лідером у сегменті USB-накопичувачів із функцією шифрування та пропонує обширну лінійку рішень для будь-яких бізнес-потреб. Окрім цього, чудова група профільних експертів компанії може надати фахові рекомендації з урахуванням специфіки конкретного середовища та потреб.
І, нарешті, після ознайомлення із цією статтею ви можете прочитати 12 порад щодо того, як МСБ може покращити свій рівень кібербезпеки за допомогою технологій, процесів та людських навичок – чекайте на випуск!
#KingstonIsWithYou
Планування правильного рішення вимагає розуміння цілей безпеки вашого проєкту. Дозвольте експертам Kingston допомогти вам.
Зверніться до експерта