Опасное заблуждение: "Системы безопасности бесполезны! Это пустая трата денег!"
Если вы тоже так думали, то, во-первых, мнение могло измениться на фоне новостей прошлого месяца, когда была взломана и сильно (на сотни миллионов рублей) пострадала крупная логистическая компания. Во-вторых, иногда, действительно, может показаться, что информационная безопасность не нужна и вложения будут лишними - особенно если бизнес процессы в компании недостаточно зрелые. Давайте попробуем разобраться с этим вместе.
Многие компании не уделяют должного внимания информационной безопасности - это факт. Некоторые и вовсе не задумываются о том, к чему могут привести атаки и угрозы - это большая ошибка. Риск заключается в том, что в случае инцидента информационной безопасности компания может встретиться с убытком, который в разы будет превышать потенциальные вложения в защиту данных. А оказаться с "разбитым" ключевым бизнес-процессом (ИТ системой, которая его сопровождает) - это страшный сон собственника, который никому нельзя пожелать, даже "конкурентам"!
Владельцы бизнеса заблуждаются, думая, что системы безопасности - это "деньги на ветер". Но в чем правда и обман - польза от систем безопасности и даже их необходимость не всегда очевидны. Давайте покажем это на примере знакомой многим ситуации.
Что будет, если в один день на рабочем компьютере появится сообщение о том, что все данные и файлы зашифрованы, и необходимо заплатить выкуп в размере 130 000$, чтобы получить расшифрованные базы данных клиентов, информацию о продажах. Зашифровано все - даже база поставщиков, текущих отгрузок, движении товаров, не говоря уже про персональные данные сотрудников, и непонятно, кто, кому и что должен доставить и заплатить, в том числе зарплату.
От одного чтения этих строк у собственника бизнеса пробегает холодок по спине. Все, что создавалось годами, в один миг оказалось разрушенным. Бизнес-процессы останавливаются один за другим, заражается вся сеть. Никто из сотрудников не может получить доступ к необходимым файлам и продолжить работу. Кроме финансовых потерь из-за остановки работы компания сталкивается с еще одним риском. Персональные данные клиентов и сотрудников утекли к хакерам. Что они будут делать дальше не важно, так как сам факт утечки - это большой репутационный риск, а также материальный (с новой системой штрафов за утечки данных).
Руководитель ИТ/руководитель службы безопасности (а тем более собственник) не понимает, что делать, и сотрудники тоже - ведь нет готовых регламентов! А первопричина простая: важность системы защиты данных была недооценена, риски безопасности не были учтены. Как результат - полученный с письмом вирус шифровальщик, который нарушил работу, создал серьезные материальные и репутационные убытки.
После громкого инцидента, если компания сможет восстановить ИТ системы самостоятельно (на что уйдет 1-2 месяца простоя) или найдет деньги на выкуп (что мы не рекомендуем делать), то в любом случае поток клиентов снизится, а также придется оплатить штраф от регулятора и, конечно же, ВНЕДРИТЬ систему защиты.
Атаки могут коснуться не только среднего и крупного бизнеса, как могло показаться. Недавно мы столкнулись со следующей ситуацией. Владелец небольшой компании розничной торговли тоже считал, что вложения в информационную безопасность являются лишними. Он был уверен, что его компания слишком маленькая, чтобы привлечь внимание хакеров или конкурентов. Поэтому, несмотря на наши рекомендации, он не уделял должного внимания защите данных и не инвестировал в средства защиты информации и обучение персонала.
В результате в один день бухгалтер (“случайно”) активировал вирус на компьютере, данные 1С оказались зашифрованы, резерва не было, сегментации сети не было - все бизнес процессы процессы остановились за считанные минуты. Компания не смогла оправиться и оказалась разоренной, проще было начать бизнес с нуля.
К сожалению, это было слишком поздно, чтобы оценить важность информационной безопасности и что вложения в защиту данных являются необходимыми для устойчивой работы компании, даже если это малый региональный бизнес.
Важно понимать, что информационная безопасность - это не роскошь, а необходимость для любого бизнеса, независимо от его размера. Новый бизнес владелец начал строить уже с учетом этих факторов.
Минимальное, самое простое и целевое действие, чтобы начать заниматься безопасностью - это подписаться на наш блог и регулярно изучать материалы по защите бизнеса. Оно настолько очевидно и настолько просто, что мы бы не рекомендовали им пренебрегать, чтобы уберечь свою компанию, свой труд, сотрудников и клиентов от угроз со стороны хакеров и конкурентов!
К сожалению, многие уверены, что их не коснется проблема взломов, пока они лично не столкнутся с ней. Статистика говорит следующее: по данным Positive Technologies, за 2023 год количество атак шифровальщиков увеличилось на 13% и продолжает расти - это один из самых распространенных видов вымогательства. Методы хакеров не стоят на месте, количество злоумышленников тоже увеличивается, поэтому владельцам бизнесов просто необходимо знать не только, как бороться, но и вообще не допустить выведение ключевых информационных систем компании из строя. Если не самостоятельно, то через руки и фокус своих ответственных ИТшников или ИБшников.
Второй самый простой способ убедиться, что у вас с безопасностью все в порядке - это оставить заявку на бесплатную консультацию эксперта, где мы исчерпывающе расскажем, стоит ли прямо сейчас что-то делать и если да, то с чего стоит начать!
Безопасного и стабильного бизнеса!