Екатерина Киселева, 16/05/25
Часто небольшие компании не предпринимают никаких мер по обеспечению информационной безопасности. Как правило, это связано с высокими затратами на найм штатных специалистов: согласно данным hh.ru, рыночные зарплаты в сфере ИБ начинаются от 150 тыс. руб. в месяц и достигают 300 тыс. руб. и более. Для небольшой фирмы, особенно микробизнеса с численностью персонала до десяти человек, такие расходы становятся весьма ощутимыми.
Автор: Екатерина Киселева, эксперт Департамента сервиса и ИТ аутсорсинга ГК X-Com
Частой причиной отказа от создания собственного контура информационной безопасности становится недооценка уровня угроз. Между тем 22% компаний, подвергшихся атакам, прекращают свою деятельность. По данным экспертов научно-технического центра ЕВРААС, мнение о незаинтересованности хакеров в небольших предприятиях – миф. Современные атаки автоматизированы: боты, сканирующие сеть Интернет в поисках уязвимостей, не делают различий между крупными и малыми организациями. В результате жертвами становятся компании самых разных масштабов. Кроме того, малый бизнес – легкая мишень: он не обеспечивает полноценную защиту данных и зачастую не располагает квалифицированными специалистами, что повышает вероятность успешной атаки. Целенаправленные действия киберпреступников также все чаще ориентированы на малые и средние компании, поскольку те обладают более слабой защитой.
В январе 2023 г. заместитель председателя Правительства Российской Федерации Дмитрий Чернышенко сообщил [1], что за 2022 г. было отражено около 50 тыс. хакерских атак на отечественные интернет-ресурсы, а число атак на автоматизированные системы управления выросло почти вдвое по сравнению с 2021 г. Основной удар пришелся на госсектор, однако каждая пятая атака была направлена на предприятия малого и среднего бизнеса. В первом квартале 2023 г. эксперты зафиксировали рост кибератак на 60% по сравнению с аналогичным периодом предыдущего года. Согласно исследованию "СерчИнформ", в 2023 г. 66% компаний столкнулись с попытками утечки информации, а в 2024 г. – 48% опрошенных зафиксировали фактические инциденты.
Одной из самых серьезных угроз остаются попытки взлома государственных органов через скомпрометированные серверы небольших компаний. Зачастую руководство узнает о факте инцидента лишь после визита представителей спецслужб, сопровождаемого изъятием оборудования и разбирательством.
Альтернативой найму собственного специалиста по информационной безопасности становится аутсорсинг. Услуги сторонних компаний могут обойтись на 20–30%, а в отдельных случаях – и на 50% дешевле. Кроме того, сотрудники специализированных организаций, как правило, обладают более высоким уровнем профессиональной подготовки по сравнению со специалистами, нанимаемыми напрямую с рынка.
Однако многие руководители опасаются отдавать чувствительную информацию на сторону.
Эти опасения вряд ли можно считать обоснованными. Согласно статистике, большинство утечек информации происходит по вине собственных сотрудников, в том числе давно работающих в компании. По данным исследования "СерчИнформ", в 67% случаев утечки были вызваны ошибками персонала и незнанием базовых правил кибербезопасности, а в 33% – совершены умышленно.
Эксперты "СерчИнформ" выяснили также, что в 2024 г. российские организации чаще всего сталкивались с утечками информации о клиентах и сделках (44%), а также персональных данных (36%). Попытки слива технической документации зафиксированы в 32% случаев, финансовой – в 28%.
По данным "СерчИнформ", большинство утечек в компаниях происходит через мессенджеры (54%), электронную почту (53%) и носители информации (34%). Кроме того, 29% опрошенных сообщили, что сотрудники похищают данные, фотографируя их с экрана на личные мобильные устройства.
При этом найм собственного специалиста по информационной безопасности – задача непростая, особенно в условиях острого дефицита кадров. Следует учитывать, что поиск может затянуться, а найденный кандидат – не обладать достаточной квалификацией.
Если компания привлекает внешних специалистов, аутсорсер заключает договор о неразглашении (NDA), согласно которому несет ответственность за соблюдение конфиденциальности. В условиях договора четко определяется, к каким данным сотрудники внешнего подрядчика получают доступ. Права доступа настраиваются с высокой степенью детализации.
Провайдер информационной безопасности, как правило, стремится минимизировать влияние человеческого фактора: отчетность автоматизирована, все процедуры строго регламентированы. При возникновении подозрительных событий заказчику предоставляется отчет с подтвержденной доказательной базой.
Разумеется, если доступ к критически важным документам – таким как финансовые потоки, договоры, управление складскими запасами – ограничен узким кругом доверенных лиц, чьи действия легко проконтролировать, аутсорсинг информационной безопасности может и не потребоваться. Однако в этом случае контроль над конфиденциальными данными придется осуществлять самостоятельно – желательно с использованием коробочных решений.
Но если компания, даже имея небольшой штат, работает с большим объемом конфиденциальной информации, стоит задуматься об аутсорсинге информационной безопасности. Это особенно актуально для таких сфер, как торговля недвижимостью и спецтехникой, медицинское оборудование, страхование, а также оказание юридических и патентных услуг.
Ряд поставщиков решений в области ИБ и аутсорсинга предоставляет возможность бесплатного пробного периода продолжительностью 30 дней – это позволяет оценить качество услуг и принять обоснованное решение.
