Кибератаки, которые разрушают целые финансовые империи, из триллеров переселились в повседневность. Теперь в зоне риска не только первостатейные предприниматели, но и малый бизнес.
По данным экспертов Positive Technologies, в 14% региональных финансовых организаций, которые приняли участие в опросе компании в 2018 году, бюджет на защиту информации оценивается как крайне низкий . Его размер не превышает 500 тыс. рублей в год. При этом в 2018 году в 47% случаев нападения компьютерных злоумышленников были удачными, а 32% компаний понесли прямые финансовые потери: от 500 тыс. до 20 млн рублей.
Но информационная безопасность — головная боль не только финансистов. В личных беседах важность вопроса отмечают и в телекоме, и в нефтегазовой отрасли, и в медицинских стартапах.
Хотя подробности угроз и уж тем более конкретные механизмы противостояния им по понятным причинам предпочитают не раскрывать.
Опрошенные эксперты настойчиво повторяют: чтобы компания не теряла деньги, необходимо, чтобы сотрудники соблюдали "компьютерную гигиену" в, казалось бы, мелочах. Мошенники могут действовать исподтишка: сначала присваивать учетные данные, а лишь затем выжимать деньги из их владельцев — работников и клиентов компаний. "Примечательно, что для получения таких данных в большинстве случаев даже не приходится применять специализированное ПО, ведь люди продолжают использовать даты рождения и клички питомцев в качестве паролей", — объясняет руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин.
Традиционная брешь — почта и бухгалтерия. "На почту сотрудников нередко приходят письма с файлами под названием "Резюме" и со ссылками на файлообменники, где якобы выложены сканы документов, портфолио кандидатов", — сетует IТ–директор, руководитель службы безопасности кадрового холдинга "Анкор" Галина Остапова.
"Атаки на бухгалтерские компьютеры, где проводятся расчеты и работают с банк–клиентом, — любимое занятие злоумышленников. Такие нападения приводят к выводу средств со счетов компаний. Если крупный бизнес в состоянии оправиться от такой ситуации, то мелкие предприятия могут оказаться на грани выживания", — отмечает руководитель группы отраслевого продвижения департамента информационной безопасности Softline Михаил Петрик.
При этом ошибочно считать, говорят эксперты, что крупный бизнес находится в пропорционально большей опасности, чем малый и средний. "Проще взломать менее совершенную со стороны информационной безопасности компанию и использовать ее ресурсы для проникновения в крупную корпорацию, с которой налажены доверительные отношения в рамках контрактной деятельности", — объясняет директор департамента страхования финансовых рисков и ответственности компании "АльфаСтрахование" Денис Зенка.
Хотя сами малые предприниматели зачастую уверены, что не являются лакомым куском. "Малые отели — это экономвариант. Они не могут приносить огромную выручку, а вплотную защищаться от кибератак — это затратно", — поясняет исполнительный директор Ассоциации малых гостиниц Петербурга Татьяна Синькова.
Между тем утечка персональных данных может утянуть в пучину информационных потерь не только контрагентов, но и зарубежных клиентов. "Максимальное финансовое наказание, которое наступает по отечественной схеме, — порядка 180 тыс. рублей, а за рубежом — $3 млн. Если обидеть нашего гражданина, можно обойтись малыми деньгами. Но если окажется, что утекли сведения зарубежного клиента, то человек подаст в суд своей страны", — предупреждает заведующий кафедрой информационной безопасности ЛЭТИ Евгений Воробьев.
Посадка только в проверенное облако
На деле в любом современном бизнесе не стоит исключать пресловутый человеческий фактор. "Часто используются личные мобильные устройства для решения рабочих вопросов, внешние облачные ресурсы для хранения корпоративных данных. Это явно не самый надежный способ обмена информацией, которую никто не должен видеть", — уверен руководитель проектов по информационной безопасности компании Digital Design Дмитрий Цветков.
Отсюда тренд на использование внутренних облачных ресурсов для хранения корпоративной информации. "Сегодня большинство облачных проектов реализуются с учетом обеспечения безопасности. Заказчикам же в первую очередь необходимо проводить тестирование перед переносом критичной информации в облачные среды, делать периодические тесты на проникновение", — объясняет директор по развитию бизнеса M1Cloud Владимир Лебедев.
Несмотря на все технические нововведения, специалисты напоминают: без человека любая система уязвима. "Информационная безопасность не сводится к закупке ПО и железа. Необходимо постоянное повышение осведомленности сотрудников" — напоминают в Digital Design.
Много желающих, мало подходящих
Даже компаниям с приличным бюджетом не всегда просто решить вопрос кибербезопасности. По мнению экспертов, специалист уровня senior должен ориентироваться не только в технической стороне вопроса, но и в межличностных отношениях, уровень junior работодателям в принципе не советуют рассматривать.
По словам рекрутеров, в отличие от многих других, сфера IT — это рынок соискателя. И кибербезопасность не исключение. В Петербурге, по информации HeadHunter, в феврале на одно рабочее место претендовали сразу семь потенциальных киберзащитников.
Но далеко не все они — реальный живой щит от атак. По информации учебного центра "ИнфоТеКС", в Петербурге доля специалистов с базовым образованием в области информационной безопасности не превышает 26%. На рынке мало высококвалифицированных сотрудников с опытом работы, а зарплатные ожидания завышены, сетует директор компании HR–PROFI Максим Юшин.
При этом, согласно прогнозу HeadHunter, заработок специалистов, связанных со сферой информационных технологий, за год может вырасти на 7–10%. Но платить много работодатели не готовы. Сейчас и молодые, и уже опытные рядовые бойцы невидимого информационного фронта сражаются за зарплату 55–60 тыс. рублей (потенциальные руководители отделов, по словам рекрутеров, запрашивают 250–400 тыс. рублей).
Вузы, понятно, акцентируют внимание на том, что способны утолить кадровый голод.
Чтобы вчерашние студенты и сегодняшние специалисты не показались работодателям опасным вложением денег и времени, учебные заведения стараются подготовить трудовую книжку выпускника заранее.
"Начиная с третьего курса мы отправляем студентов на работу. Выпускники востребованы, если у них трехлетний опыт работы и диплом специалиста, — об этом мы и заботимся", — говорит заведующий кафедрой информационной безопасности ЛЭТИ Евгений Воробьев.
