Перейти к основному содержанию
Реклама
Прямой эфир
Мир
Трамп назначил конгрессмена Майка Уолтца своим советником по национальной безопасности
Армия
Сержант Ионов ликвидировал пикап и огневую точку ВСУ
Спорт
«Локомотив» обыграл «Спартак» и продлил победную серию в КХЛ до 11 игр
Экономика
Названы самые популярные товары у россиян в дни распродаж
Армия
Минобороны сообщило о трех уничтоженных БПЛА над Брянской и Курской областями
Армия
Участвовавшие в спасении Закарьи Алиева военные назвали его героем
Мир
СМИ сообщили о продаже финским инвесторам принадлежащей россиянам арены в Хельсинки
Армия
Спасенный в зоне СВО Алиев рассказал о намерении защищать земли от ВСУ до конца
Происшествия
Интервалы движения увеличены на Замоскворецкой линии метро из-за человека на пути
Спорт
Даниил Медведев одержал первую победу на Итоговом турнире ATP
Мир
Президент Германии Штайнмайер одобрил дату досрочных выборов в Бундестаг
Мир
СК возбудил дело в отношении осквернившего братскую могилу в Судже литовца
Мир
Лавров указал на понимание странами предпосылок начала конфликта на Украине
Общество
Госдума приняла закон о запрете пропаганды чайлдфри
Общество
СК возбудил дело после выстрела в девушку во время игрового квеста в Москве
Общество
ФСБ пресекла попытку теракта по заданию СБУ на ж/д путях около Балаклавской ТЭС
Происшествия
В Красноярском крае при опрокидывании автобуса пострадали девять пассажиров
Мир
На востоке Ливана из-за атаки Израиля погибли не менее трех человек
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Четверть компаний из сегмента МСП работает с незащищенной базой данных: злоумышленники могут получить к ней доступ простым перебором паролей. Об этом говорится в исследовании «Тинькофф Бизнеса» (есть у «Известий»). Сложившаяся ситуация грозит утечкой пользовательских данных и коммерческой информации, считают эксперты. По их данным, больше половины «сливов» информации приходится именно на небольшие компании. В «Опоре России» подчеркнули, что для малого бизнеса услуги программистов обходятся дорого. Однако в последние годы МСП уделяют всё больше внимания безопасности систем, поскольку уязвимости грозят разрушением репутации и отказом клиентов от услуг компании.

Мал, под удар

Почти половина (46%) ресурсов компаний из сегмента малого и среднего бизнеса (МСП) подвержены угрозам кибербезопасности. Об этом говорится в исследовании «Тинькофф Бизнеса» (есть у «Известий»), в ходе которого было проанализировано более 40 тыс. сайтов и баз данных небольших организаций. Больше всего ошибок было выявлено у бизнеса в сфере консультаций, розничной торговли и IT: на них приходится 44% всех уязвимостей.

Чаще всего — в 33% случаев — МСП допускают ошибки верификации домена, говорится в исследовании. Эта уязвимость позволяет отобрать ресурс у владельца, подменив данные о нем. На втором месте по распространенности — незащищенная база данных (было выявлено у 27% компаний). Получить к ней доступ может кто угодно простым перебором паролей. Осложнить жизнь злоумышленникам в этой ситуации можно по-разному: закрыть порт базы данных, усложнить к ней пароль или включить фильтрацию IP-адресов, чтобы открыть данные могли только владельцы бизнеса и надежные люди, отметили исследователи «Тинькофф».

«Третье место — за ошибкой SSL Unknown subject (15%). Сертификат безопасности SSL на таких ресурсах принадлежит другому человеку, а значит, сайт оказывается уязвимым к атакам с перехватом данных. Четвертое место — за слабой защитой от шифровальщиков (9%), которые могут зашифровать информацию так, чтобы ей было невозможно пользоваться. Порты для шифровальщиков закрыты по умолчанию, открывают их в основном по недосмотру», говорится в исследовании.

Природа ошибки: четверть МСП работают с незащищенными базами данных
Фото: Depositphotos/diego_cervo

Из перечисленных угроз самое критичное для пользователей — это компрометация базы данных, считает руководитель аналитического центра Zecurion Владимир Ульянов. Он отметил, что другие ошибки могут повлиять лишь опосредованно: например, вирусы-шифровальщики опасны, если попадут на пользовательское устройство, но не в сети организации-жертвы. Проблемы с сертификатом могут привести к недоступности сайта, что отразится на клиентском опыте, добавил эксперт.

— Критичность уязвимости определяется не размером компании, а особенностями ее бизнеса. Для компаний, которые имеют интернет-магазин или сайт-визитку риски кардинально отличаются. Обобщать угрозы только по размеру компаний не корректно. Степень риска для пользователей зависит от тех данных, которые собирает компания. Важно исключить их избыточность. Некоторые любят собирать лишние данные, чтобы лучше узнавать своего клиента, например, пол, возраст и так далее при регистрации. На практике это мало что дает. Раздражает клиентов, приводит к повышению числа отказов от сделки, — рассказал Владимир Ульянов.

Потенциально более опасными выглядят проблемы с защитой инфраструктуры, включая защиту систем хранения данных, согласен руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. Он пояснил: если компания не обезопасила себя от вторжений, это чревато потерей лояльности клиентов, издержками в результате простоя бизнеса во время атаки, а также затратами на ликвидацию последствий кибератаки. Также появляется необходимость привлечения дорогостоящих специалистов для проведения расследования, вероятные санкции со стороны регуляторов.

Дорого и важно

— К серьезным последствиям также могут приводить случайные нарушения, связанные с защитой баз данных. Если хранилище оставлено в открытом доступе из-за неверных настроек и ошибок в конфигурации серверов, то это всегда чревато компрометацией конфиденциальных данных. В руки неизвестных лиц могут попасть персональные данные клиентов и сотрудников, коммерческие секреты, исходные коды и т.д. В результате компания может потерять рыночные преимущества, лишиться перспективных разработок, испытать отток клиентов. В развитых странах порядка 20% клиентов уходят, если их данные утекли, — отметил Андрей Арсентьев.

По его данным, открытые базы данных — это проблема, наиболее характерная для субъектов малого и среднего предпринимательства. Более 60% всех известных случаев утечек конфиденциальной информации из облачных сервисов (Elasticsearch, Mongo DB, Amazon S3) допущены малым и средним бизнесом — компаниями с числом рабочих мест до 500, знает эксперт.

Природа ошибки: четверть МСП работают с незащищенными базами данных
Фото: ИЗВЕСТИЯ/Сергей Коньков

Как правило, компании из сегмента МСП, которые не работают в IT-отрасли, либо не закладывают никаких бюджетов на обеспечение кибербезопасности, либо оставляют минимальные траты: например, нанимают специалиста, который один раз настраивает работу, а затем — ежемесячно проверяет и обновляет систему, рассказал первый вице-президент «Опоры России» Павел Сигал. По его словам, обычно компании начинают тратить деньги на защиту уже после того, как произошел взлом и утечка данных.

— Часто обращаться к специалистам приходится владельцам компаний, которые столкнулись с вымогательством. К сожалению, в России мало развито направление кибербезопасности и бизнес не осознает, насколько важно защищать данные. Во-первых, услуги хороших и грамотных специалистов стоят очень дорого, во-вторых, после кризиса компании направляют оборотные средства в первую очередь на закупку товаров и текущие нужды, — подчеркнул Павел Сигал.

Впрочем, по его словам, в последние годы малые предприятия стали все-таки ответственнее относиться к собственной безопасности и данным клиентов — в случае утечки происходит слишком сильный удар по репутации. Особенно это опасно в маленьких городах, где у МСП одна-две торговые точки: информация о проблемах разлетается очень быстро и с пострадавшей компанией разрывают отношения клиенты и партнеры, уточнил эксперт.

В Минцифры не ответили на запрос «Известий» об обеспечении безопасности сайтов компаний из сегмента МСП.

Читайте также
Прямой эфир