Что стартапы должны знать о кибербезопасности
07.09.2021
Статьи
В наши дни работа любого предприятия сопряжена с использованием масштабируемой ИТ-инфраструктуры и огромного количества технологий. Проблема в том, что любая инфраструктура или оборудование могут быть подвержены кибератакам. Только в мае прошлого года программа-вымогатель WannaCry затронула более 10 000 организаций всех размеров в более чем 150 странах.
Хотя атака была направлена в большей степени на крупные организации, существует множество случаев, когда атаке подверглись малые и средние предприятия. Многие из этих организаций работали на старых системах и не имели практически никакой защиты.
Зачастую, стартапы фокусируются на более «насущных» направлениях, таких как маркетинг, продажи и эффективность операционной деятельности. И упускают вопросы кибербезопасности из виду.
1. Не существует такого понятия, как слишком маленький
Хотя атака была направлена в большей степени на крупные организации, существует множество случаев, когда атаке подверглись малые и средние предприятия. Многие из этих организаций работали на старых системах и не имели практически никакой защиты.
Зачастую, стартапы фокусируются на более «насущных» направлениях, таких как маркетинг, продажи и эффективность операционной деятельности. И упускают вопросы кибербезопасности из виду.
1. Не существует такого понятия, как слишком маленький
Вы можете думать, что киберпреступники атакуют только крупные организации, как в случаях, о которых мы часто слышим и читаем в новостях. Однако, согласно исследованию Института Ponemon, 55% малых и средних предприятий в той или иной форме подвергались кибератакам. Если ваш бизнес использует любое вычислительное устройство или Интернет, или имеет цифровое присутствие, например, веб-сайт или облачные аккаунты, то вы подвержены риску кибератак. Большинство атак сегодня осуществляется с помощью автоматизированных вредоносных программ и скриптов, которые ищут уязвимые компьютеры и сети, независимо от размера и характера организации.
Малые и средние предприятия, даже в большей степени подвержены риску из-за ограниченного опыта применения мер кибербезопасности. У большинства малых предприятий нет профильного ИБ-персонала, а иногда и ИТ-персонала, который бы занимался подобными вопросами. Вот почему для стартапов важно, чтобы безопасность стала общей обязанностью всех членов компании.
2. Утечка данных
Малые и средние предприятия, даже в большей степени подвержены риску из-за ограниченного опыта применения мер кибербезопасности. У большинства малых предприятий нет профильного ИБ-персонала, а иногда и ИТ-персонала, который бы занимался подобными вопросами. Вот почему для стартапов важно, чтобы безопасность стала общей обязанностью всех членов компании.
2. Утечка данных
Существует несколько распространенных типов угроз, о которых вы должны знать. Первая из них - утечка данных. Это когда киберпреступники пытаются украсть данные вашей компании, получив доступ к базам данных. Личная и финансовая информация продается на черном рынке для использования в целях кражи личных данных и мошенничества. Стартапы, имеющие веб-сайты или приложения, собирающие информацию о клиентах, являются основной мишенью для таких атак.
Вы можете подумать, что крупные организации, такие как Sony, Dropbox и LinkedIn, столкнувшиеся сутечкой данны, пережили последствия атак. И поэтому вам не стоит слишком беспокоиться о подобных угрозах. Однако у крупных компаний есть значительные ресурсы, чтобы нивелировать последствия таких инцидентов. Стартапы не слишком хорошо справляются с потерей доверия клиентов и запятнанной репутацией. По некоторым исследованиям, около 60 процентов малых предприятий терпят крах в течение шести месяцев после инцидентов.
Вы можете подумать, что крупные организации, такие как Sony, Dropbox и LinkedIn, столкнувшиеся сутечкой данны, пережили последствия атак. И поэтому вам не стоит слишком беспокоиться о подобных угрозах. Однако у крупных компаний есть значительные ресурсы, чтобы нивелировать последствия таких инцидентов. Стартапы не слишком хорошо справляются с потерей доверия клиентов и запятнанной репутацией. По некоторым исследованиям, около 60 процентов малых предприятий терпят крах в течение шести месяцев после инцидентов.
3. Ransomware и вредоносное ПО
Компания Kaspersky, занимающаяся вопросами безопасности, относит ransomware к числу главных угроз кибербезопасности для бизнеса. Ransomware - это особый тип вредоносных программ, которые заражают компьютеры (включая мобильные устройства) через уязвимую сеть. Ransomware шифрует файлы на зараженном компьютере. Пользователи не смогут получить доступ к файлам, пока не получат ключ дешифровки, заплатив выкуп злоумышленникам. Даже если вы заплатите выкуп, нет никакой гарантии, что злоумышленники предоставят вам ключ дешифровки.
Большинство злоумышленников требуют от 500 до 1000 долларов в обмен на ваши файлы. Некоторые программы-выкупы, такие как Jaff, требуют до $4 000. Выкуп часто выплачивается в криптовалютах. Основное воздействие на бизнес оказывает не столько выкуп, сколько нарушение непрерывности работы предприятия. Блокировка всех рабочих файлов может остановить вашу деятельность на неопределенный срок.
4. DDoS-атаки
Распределенные атаки типа "отказ в обслуживании" (DDoS) делают ваш сайт или сервер недоступным, перегружая сеть трафиком. Час простоя из-за DDoS-атаки может привести к огромным потерям компаний, для которых непрерывная работа веб-ресурсы или приложения играют ключевую роль.
Даже если малый и средний бизнес не является непосредственным объектом атаки, он все равно может пострадать от DDoS-атак на крупных поставщиков инфраструктуры. В прошлом году тысячи сайтов и сервисов вышли из строя после массированной DDoS-атаки на DNS-провайдера Dyn.
5. Люди часто являются самым слабым звеном
Даже если малый и средний бизнес не является непосредственным объектом атаки, он все равно может пострадать от DDoS-атак на крупных поставщиков инфраструктуры. В прошлом году тысячи сайтов и сервисов вышли из строя после массированной DDoS-атаки на DNS-провайдера Dyn.
5. Люди часто являются самым слабым звеном
Люди часто являются самым слабым звеном в цепочке обеспечения безопасности. Большинствонарушений безопасности вызвано человеческими ошибками. Многие системы остаются уязвимыми к утечкам данных и атакам вымогателей через фишинг, когда людей обманом заставляют переходить по ссылкам и устанавливать вредоносные программы.
Некоторые сотрудники могут создать угрозы для вашей инфраструктуру, небрежно подключая свои телефоны, ноутбуки и устройства хранения данных к вашей сети и компьютерам. Обучение сотрудников методам обеспечения безопасности будет достойным вложением средств для предотвращения атак, вызванных человеческим фактором. Разработайте политику безопасности, которая будет определять, как вы и ваши сотрудники должны использовать ваши ИТ-ресурсы.
Некоторые сотрудники могут создать угрозы для вашей инфраструктуру, небрежно подключая свои телефоны, ноутбуки и устройства хранения данных к вашей сети и компьютерам. Обучение сотрудников методам обеспечения безопасности будет достойным вложением средств для предотвращения атак, вызванных человеческим фактором. Разработайте политику безопасности, которая будет определять, как вы и ваши сотрудники должны использовать ваши ИТ-ресурсы.
6. Контроль доступа
Знайте, кому вы предоставляете доступ к инфраструктуре. Будучи стартапом, вы можете неоправданно предоставлять доступ к критически важной инфраструктуре практически всем, например, фрилансерам.
Сегодня большинство инструментов и служб администрирования позволяют вам устанавливать роли пользователей с соответствующими уровнями доступа, чтобы вы могли контролировать, кто и что может делать в вашей инфраструктуре. Поощряйте людей использовать надежные пароли и постоянно обновлять их. Отменяйте доступ всех, кто не работает в вашей компании.
7. Инвестируйте в безопасность
7. Инвестируйте в безопасность
Будучи стартапом, вы можете быть против того, чтобы брать на себя дополнительные расходы. Однако кибербезопасность - это всего лишь одна из инвестиций в ИТ, которые вам придется сделать. Кроме того, существуют бюджетные антивирусные программы и программы безопасности, которые вы можете использовать для своих офисных компьютеров.
Кроме того, сейчас существует "безопасность как услуга", что означает, что вам не нужно делать большие предварительные инвестиции в приложения и устройства безопасности для защиты вашей сети. Вместо этого вы можете подписаться на масштабируемые услуги безопасности, такие как брандмауэры веб-приложений и услуги по снижению DDoS-атак для вашей сетевой инфраструктуры и приложений. Кибербезопасность стартапа - это лишь одна из многих реалий, на которых должны сосредоточиться ИТ-специалисты. Знайте о рисках и внедряйте программы, которые помогут вам избежать кибератак в будущем.
Кроме того, сейчас существует "безопасность как услуга", что означает, что вам не нужно делать большие предварительные инвестиции в приложения и устройства безопасности для защиты вашей сети. Вместо этого вы можете подписаться на масштабируемые услуги безопасности, такие как брандмауэры веб-приложений и услуги по снижению DDoS-атак для вашей сетевой инфраструктуры и приложений. Кибербезопасность стартапа - это лишь одна из многих реалий, на которых должны сосредоточиться ИТ-специалисты. Знайте о рисках и внедряйте программы, которые помогут вам избежать кибератак в будущем.