Малый и средний бизнес пострадал от самоизоляции при коронавирусе сильнее, чем Enterprise-сегмент. Это сказалось и на ИБ-бюджетах. Когда основная задача компании – спасение бизнеса, затраты на информационную безопасность, несмотря на все страшилки, «отъезжают» на десятый план. Таковы, по мнению Игоря Тюкачева, руководителя отдела развития бизнеса продуктов ИБ компании Axoft, ИБ-реалии российского SMB-сектора. Впрочем, это общемировая тенденция – согласно исследованию 2020 года, проведенному BullGuard, 43% владельцев малого и среднего бизнеса не имеют плана защиты от кибербезопасности, а треть компаний (до 50 сотрудников) используют только бесплатное антивирусное ПО. Но все ли так плохо с ИБ-зрелостью в российском сегменте SMB? Как компании определить, на какой уровне «развития» находится ее ИБ, и что нужно «подкачать», чтобы перейти на новый – более продвинутый и безопасный уровень?
Вместо предисловия: шкала, не прибитая гвоздями
Свою шкалу зрелости наша команда создавала для того, чтобы со стороны объективно оценивать зрелость компаний-заказчиков своих партнеров и понимать, что им можно и нужно предложить из решений своего портфеля. При этом данная шкала не «прибита гвоздями» и может трактоваться в достаточно широких пределах.
Уровень 1: старт SMB. Минимум затрат и максимум экономии
К данному уровню относятся все компании-стартапы, которые получили/нашли финансирование и находятся на стадии подтверждения гипотезы. Количество сотрудников в таких организациях – 10-20 человек. Девиз – «Минимум затрат и максимум экономии». В компаниях уровня «старт SMB» нет IT-специалиста, все решают собственными силами. Используют платные облачные продукты и бесплатные Open Source-решения. Грешат общими паролями и отсутствием резервных копий. Чтобы повысить уровень ИБ им, как минимум, нужно начать использовать двухфакторную аутентификацию и резервное копирование.
Уровень 2: продвинутый SMB. Спорадические затраты
На этом уровне компания уже подтвердила жизнеспособность своей бизнес-модели и инвестирует в масштабирование продаж. Появляются новые сотрудники, создается собственная IT-инфраструктура (сервера, 1С и т. д. – возможно, в аренде или колокейшн) Количество сотрудников – 50-250 человек. Один или два сотрудника занимаются всеми вопросами по ИТ и ИБ. Нет бюджета на ИТ/ИБ – затраты спорадические. Такие компании используют платные антивирусы или комплексные решения от производителей решений ИБ для SMB. Периметр защищают с помощью UTM (комбайн, который и firewall, и proxy, нет особых требований к производительности) . Если основной продающий инструмент – это сайт, то его необходимо защищать с помощью WAF, например, PT AF от Positive Technologies или облачными решениями WAF. Так как большинство атак начинается с писем – нужна защита почты и антиспам-решение, которое тоже может входить в бандл производителя ИБ решений для SMB.
Чтобы повысить уровень ИБ-зрелости, если в компании нет выделенного ИТ-специалиста, нужно завести его. Если в штате работают один или два ИТ-шника – добавить им в обязанности задачи по ИБ. Axoft, со своей стороны, готов проконсультировать по вопросам защиты сайта и почты, выбора российского UTM, провести демонстрации решений, совместно с партнёрами организовать пилоты и проекты внедрения.
Уровень 3: эксперт SMB. Перманентный бардак и как с ним бороться
Компания растет, увеличиваются обороты и количество сотрудников (500-1000 человек) – появляется необходимость описать и регламентировать бизнес-процессы, внедрить новые информационные системы. Объемы IT-инфраструктуры увеличиваются – это может быть свой ЦОД или серверная комната, либо аренда места в коммерческом ЦОД. Количество СУБД растет с увеличением используемых информационных систем (ИС) . Возникают требования к резервному копированию, доступности и надежности ИС, иногда компании задумываются о Disaster Recovery. На этом этапе в штате компании должен работать отдельный сотрудник (или несколько) , который будет отвечать за ИБ.
В целом, для уровня «эксперт SMB» характерен перманентный бардак – процессы ИТ обычно не описаны, поэтому могут возникать «забытые, ничьи» сервера, на серверах – появляться «непонятные» учетные записи. Доступ к внутренним ресурсам извне не регламентируется. Сотрудник ИБ не понимает, сколько у него активов под защитой, в полной мере не может оценить риски. Ноутбук генерального директора заражен, но нет полномочий и возможностей изолировать его. Компании, находящиеся на данном уровне зрелости, используют решения резервного копирования, 2FA для обеспечения безопасности доступа, DLP – самый понятный для всех инструмент, а также сканеры уязвимостей, так как IT-инфраструктура разрослась и процент атак с использованием критических уязвимостей ПО очень быстро увеличивается.
Как бороться с бардаком? Необходимо последовательно регламентировать процессы ИТ и ИБ. Это потребует дополнительных ИБ-средств. Как вариант – можно привлечь внешние профессиональные ресурсы. Необходимо внедрение процесса управления уязвимостями.
Несколько слов об ИБ-идеале. Оптимально – тратить меньше, чем можем потерять
На вопрос: «Реально ли собрать идеальную модель защиты и что для этого нужно?», – можно ответить так: ИБ – это такая тема, в которой невозможно достигнуть идеала, если под идеалом мы подразумеваем 100% защищенность. Более того, с точки зрения бизнеса это может быть вредно, когда средства защиты стоят дороже, чем возможная потеря данных или остановка бизнес-процессов. ИБ – это как холодная война и гонка вооружений. С одной стороны, злоумышленники совершенствуют средства нападения, а с другой специалисты по ИБ – улучшают средства защиты, обнаружения и расследования атак. С учетом того, что периметр защиты стал максимально размыт (удаленка, облака) – речь не только про то, чтобы защититься, а про то, как обнаружить атаку, «диверсанта» внутри своей инфраструктуры и обезвредить его. А также быть уверенным, что все «диверсанты» найдены. Относительно SMB нужно, скорее, говорить не про идеальную модель защиты, а оптимальную. Оптимальная модель защиты – это модель, которая позволяет при оптимальных затратах обеспечить требуемый уровень защиты. Это значит «тратить меньше, чем можете потерять». К данному утверждению здесь походит девиз Positive Technologies – «недопустимое – невозможно». То есть оптимальная модель должна обеспечить невозможность реализации недопустимых рисков.
В следующем материале, посвященном теме ИБ-зрелости, мы расскажем о градациях в Enterprise-компаниях. А также поможем определить, на каком этапе ИБ-развития находится именно ваш бизнес.