Четверть компаний из сегмента МСП работает с незащищенной базой данных: злоумышленники могут получить к ней доступ простым перебором паролей. Об этом говорится в исследовании «Тинькофф Бизнеса» (есть у «Известий»). Сложившаяся ситуация грозит утечкой пользовательских данных и коммерческой информации, считают эксперты. По их данным, больше половины «сливов» информации приходится именно на небольшие компании. В «Опоре России» подчеркнули, что для малого бизнеса услуги программистов обходятся дорого. Однако в последние годы МСП уделяют всё больше внимания безопасности систем, поскольку уязвимости грозят разрушением репутации и отказом клиентов от услуг компании.
Мал, под удар
Почти половина (46%) ресурсов компаний из сегмента малого и среднего бизнеса (МСП) подвержены угрозам кибербезопасности. Об этом говорится в исследовании «Тинькофф Бизнеса» (есть у «Известий»), в ходе которого было проанализировано более 40 тыс. сайтов и баз данных небольших организаций. Больше всего ошибок было выявлено у бизнеса в сфере консультаций, розничной торговли и IT: на них приходится 44% всех уязвимостей.
Чаще всего — в 33% случаев — МСП допускают ошибки верификации домена, говорится в исследовании. Эта уязвимость позволяет отобрать ресурс у владельца, подменив данные о нем. На втором месте по распространенности — незащищенная база данных (было выявлено у 27% компаний). Получить к ней доступ может кто угодно простым перебором паролей. Осложнить жизнь злоумышленникам в этой ситуации можно по-разному: закрыть порт базы данных, усложнить к ней пароль или включить фильтрацию IP-адресов, чтобы открыть данные могли только владельцы бизнеса и надежные люди, отметили исследователи «Тинькофф».
«Третье место — за ошибкой SSL Unknown subject (15%). Сертификат безопасности SSL на таких ресурсах принадлежит другому человеку, а значит, сайт оказывается уязвимым к атакам с перехватом данных. Четвертое место — за слабой защитой от шифровальщиков (9%), которые могут зашифровать информацию так, чтобы ей было невозможно пользоваться. Порты для шифровальщиков закрыты по умолчанию, открывают их в основном по недосмотру», говорится в исследовании.
Из перечисленных угроз самое критичное для пользователей — это компрометация базы данных, считает руководитель аналитического центра Zecurion Владимир Ульянов. Он отметил, что другие ошибки могут повлиять лишь опосредованно: например, вирусы-шифровальщики опасны, если попадут на пользовательское устройство, но не в сети организации-жертвы. Проблемы с сертификатом могут привести к недоступности сайта, что отразится на клиентском опыте, добавил эксперт.
— Критичность уязвимости определяется не размером компании, а особенностями ее бизнеса. Для компаний, которые имеют интернет-магазин или сайт-визитку риски кардинально отличаются. Обобщать угрозы только по размеру компаний не корректно. Степень риска для пользователей зависит от тех данных, которые собирает компания. Важно исключить их избыточность. Некоторые любят собирать лишние данные, чтобы лучше узнавать своего клиента, например, пол, возраст и так далее при регистрации. На практике это мало что дает. Раздражает клиентов, приводит к повышению числа отказов от сделки, — рассказал Владимир Ульянов.
Потенциально более опасными выглядят проблемы с защитой инфраструктуры, включая защиту систем хранения данных, согласен руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. Он пояснил: если компания не обезопасила себя от вторжений, это чревато потерей лояльности клиентов, издержками в результате простоя бизнеса во время атаки, а также затратами на ликвидацию последствий кибератаки. Также появляется необходимость привлечения дорогостоящих специалистов для проведения расследования, вероятные санкции со стороны регуляторов.
Дорого и важно
— К серьезным последствиям также могут приводить случайные нарушения, связанные с защитой баз данных. Если хранилище оставлено в открытом доступе из-за неверных настроек и ошибок в конфигурации серверов, то это всегда чревато компрометацией конфиденциальных данных. В руки неизвестных лиц могут попасть персональные данные клиентов и сотрудников, коммерческие секреты, исходные коды и т.д. В результате компания может потерять рыночные преимущества, лишиться перспективных разработок, испытать отток клиентов. В развитых странах порядка 20% клиентов уходят, если их данные утекли, — отметил Андрей Арсентьев.
По его данным, открытые базы данных — это проблема, наиболее характерная для субъектов малого и среднего предпринимательства. Более 60% всех известных случаев утечек конфиденциальной информации из облачных сервисов (Elasticsearch, Mongo DB, Amazon S3) допущены малым и средним бизнесом — компаниями с числом рабочих мест до 500, знает эксперт.
Как правило, компании из сегмента МСП, которые не работают в IT-отрасли, либо не закладывают никаких бюджетов на обеспечение кибербезопасности, либо оставляют минимальные траты: например, нанимают специалиста, который один раз настраивает работу, а затем — ежемесячно проверяет и обновляет систему, рассказал первый вице-президент «Опоры России» Павел Сигал. По его словам, обычно компании начинают тратить деньги на защиту уже после того, как произошел взлом и утечка данных.
— Часто обращаться к специалистам приходится владельцам компаний, которые столкнулись с вымогательством. К сожалению, в России мало развито направление кибербезопасности и бизнес не осознает, насколько важно защищать данные. Во-первых, услуги хороших и грамотных специалистов стоят очень дорого, во-вторых, после кризиса компании направляют оборотные средства в первую очередь на закупку товаров и текущие нужды, — подчеркнул Павел Сигал.
Впрочем, по его словам, в последние годы малые предприятия стали все-таки ответственнее относиться к собственной безопасности и данным клиентов — в случае утечки происходит слишком сильный удар по репутации. Особенно это опасно в маленьких городах, где у МСП одна-две торговые точки: информация о проблемах разлетается очень быстро и с пострадавшей компанией разрывают отношения клиенты и партнеры, уточнил эксперт.
В Минцифры не ответили на запрос «Известий» об обеспечении безопасности сайтов компаний из сегмента МСП.