Каждая третья малая компания доверяет киберзащиту офис-менеджеру: исследование Киберпротекта и «Работы.ру»

На фоне растущих угроз большинство МСП в России до сих пор не подходят к вопросам информационной безопасности системно: в большинстве компаний вопросы ИБ решаются по остаточному принципу, у 13 % вообще нет ответственных, а 16 % не применяют никаких технических решений для обеспечения кибербезопасности. Такие данные представлены в исследовании ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру».

От встреч с курьером до защиты от кибератак: в каждой третьей компании МСБ задачи ИБ доверяют офис-менеджеру

Исследование показало, что только у 28 % МСП есть штатный специалист по ИБ, ещё у 13 % — полноценная ИБ-команда. Однако в большинстве компаний (31%) вопросы информационной безопасности берут на себя ИТ-специалист, системный администратор или даже офис-менеджер. Ещё 15 % передают ответственность за ИБ внешним подрядчикам, квалификация которых не всегда подтверждена или достаточна. При этом почти каждая десятая организация МСП (13%) вообще не имеет ответственных за обеспечение информационной безопасности.

Подходы МСП к информационной безопасности: 4 модели

Базового уровня защиты придерживаются 42 % компаний в сегменте МСП: за ИБ отвечает один из специалистов ИТ по совместительству, применяются минимально достаточные средства защиты — антивирус, резервное копирование, парольная политика, а в ИБ не закладывают дополнительные вложения.

20 % малых компаний стремятся к постепенному усилению защиты с выделением отдельного специалиста, но без создания полноценного отдела, а на информационную безопасность выделен дополнительный бюджет, например, на сканеры уязвимостей, шифрование мобильных устройств, сетевую безопасность (WAF, NGFW).

Столько же компаний (20%) придерживаются высокого уровня защиты с отдельным подразделением ИБ, где руководитель подчиняется генеральному директору. Также предварительно оцениваются риски, определяются метрики и проводятся внешние аудиты.

Ещё 18 % рассматривают аутсорсинг как эффективную альтернативу внутренним ресурсам. В таких случаях бизнес делает ставку на внешнюю экспертизу, готовые решения «под ключ» и профессиональную поддержку со стороны специализированных компаний. Однако на практике это могут быть и приходящие специалисты, чья квалификация не всегда подтверждена или соответствует уровню угроз. Аутсорсинг может как полностью заменять внутренние меры, так и дополнять их — особенно в вопросах мониторинга, реагирования на инциденты или проведения аудитов.

От антивирусов до обучения: как компании выстраивают киберзащиту

Самыми популярными мерами защиты в сегменте МСП остаются антивирусное ПО, VPN, парольная политика, резервное копирование и шифрование данных. Однако 16 % компаний в принципе не применяют никаких защитных решений.

При этом специализированное обучения сотрудников регулярно проводят 27 % компаний, ещё 16 % — только после произошедших киберинцидентов. 17 % респондентов не обучают персонал вовсе и не планируют, а 16 % опрошенных собираются внедрить соответствующие программы.

DDoS, вредоносное ПО и фишинг — главные тревоги МСП

Среди наиболее тревожащих угроз респонденты называли DDoS-атаки — их упомянули 19 % опрошенных, также отметили вредоносное программное обеспечение (17%), фишинговые атаки и взлом корпоративных аккаунтов (по 16%), а также уязвимости в ПО (15%). Среди прочего социальная инженерия вызывает опасения у 7 % респондентов, действия инсайдеров — у 4%, компрометация поставщиков или подрядчиков — у 3 %. Несмотря на это, по данным исследования Orion soft 85 % ИТ-специалистов считают основной причиной взломов и утечек данных человеческий фактор. Лишь 1 % участников исследования заявили, что не испытывают тревоги перед киберугрозами.

Юридические риски — главный страх МСП в случае атаки

Респонденты отметили сразу несколько последствий кибератак как наиболее значимые: 83 % упомянули юридические риски, 76 % — финансовые потери, 75 % — репутационные риски, включая снижение доверия со стороны клиентов и партнёров, 71 % — приостановку бизнес-процессов и нарушение работы ИТ-систем, 50 % — потерю доступа к важной информации, например, из-за действий вирусов-шифровальщиков.

«Сегодня значительная часть МСП по-прежнему выстраивает киберзащиту по остаточному принципу: без выделения ответственных специалистов, без чётких регламентов и зачастую — без понимания реального уровня риска. Мы видим, что даже базовые меры применяются не всегда, а обучение сотрудников и вовсе остаётся точечным или в принципе отсутствует. Это делает бизнес уязвимым — особенно на фоне роста числа инцидентов и расширения потенциальных угроз. Чтобы выйти из этой уязвимой зоны, важно не только внедрять технологии, но и повышать осведомлённость сотрудников, уделяя внимание кибергигиене как элементу общей культуры управления», — отметила Елена Бочерова, исполнительный директор компании «Киберпротект».