Каждая третья малая компания доверяет киберзащиту офис-менеджеру

В трети опрошенных российских малых и средних компаний вопросами информационной безопасности (ИБ) занимается ИТ-специалист, системный администратор или офис-менеджер. У 28% МСП есть штатный специалист по ИБ, у 13% — полноценная команда по информационной безопасности. Об этом говорится в исследовании ИТ-компании «Киберпротект» и платформы «Работа.ру». Отчет есть в распоряжении Sostav.

15% малых и средних предприятий передают ответственность за информационную безопасность внешним подрядчикам, квалификация которых не всегда подтверждена или достаточна. 13% компаний не имеют ответственных за обеспечение ИБ.

Базового уровня защиты придерживаются 42% МСП: за информационную безопасность отвечает один из ИТ-специалистов, применяются антивирус, резервное копирование, парольная политика, но в ИБ не делают дополнительных вложений.

20% компаний стремятся усилить защиту: выделяют отдельного специалиста и дополнительный бюджет (на сканеры уязвимостей, шифрование мобильных устройств, сетевую безопасность). Еще 20% фирм придерживаются высокого уровня защиты: у них отдельное подразделение ИБ, где руководитель подчиняется гендиректору. Предварительно оцениваются риски, определяются метрики и проводятся внешние аудиты.

18% МСП рассматривают аутсорсинг и делают ставку на внешнюю экспертизу, готовые решения «под ключ» и профессиональную поддержку со стороны специализированных компаний. Однако на практике это могут быть и приходящие специалисты, чья квалификация не всегда подтверждена или соответствует уровню угроз. Аутсорсинг может как полностью заменять внутренние меры, так и дополнять их — особенно в вопросах мониторинга, реагирования на инциденты или проведения аудитов.

Самые популярные меры защиты в сегменте МСП от киберугроз: антивирусный софт, VPN, парольная политика, резервное копирование и шифрование данных. 16% компаний не применяют никаких решений для защиты.

Специализированное обучение сотрудников регулярно проводят 27% компаний, 16% — после произошедших киберинцидентов. 17% фирм не обучают персонал и не планируют, 16% собираются внедрить соответствующие программы.

Среди наиболее тревожащих угроз респонденты назвали DDoS-атаки (их упомянули 19% опрошенных), вредоносное программное обеспечение (17%), фишинговые атаки (16%), взлом корпоративных аккаунтов (16%), уязвимости в софте (15%). Социальная инженерия вызывает опасения у 7% респондентов, действия инсайдеров — у 4%, компрометация поставщиков или подрядчиков — у 3%.

Интервьюируемые отметили несколько последствий кибератак как наиболее значимые: 83% упомянули юридические риски, 76% — финансовые потери, 75% — репутационные риски, включая снижение доверия со стороны клиентов и партнеров, 71% — приостановку бизнес-процессов и нарушение работы ИТ-систем, 50% — потерю доступа к важной информации, например, из-за действий вирусов-шифровальщиков.

Ранее сообщалось, что 49% российских средних и крупных компаний не используют даже базовые антивирусные решения и средства резервного копирования данных.