Константин Абзац – Стартап в области кибербезопасности для малого бизнеса (страница 2)

Но даже если вы не станете платить (а делать этого, кстати, часто не рекомендуют, так как нет гарантии, что файлы расшифруют), убытки на этом не заканчиваются. Ваша работа встает. Если у вас интернет-магазин – вы не принимаете заказы. Если производство – вы не можете отгрузить продукцию, потому что система учета полетела. Каждый час простоя – это потерянная выручка. Прибавьте сюда зарплату сотрудникам, которую вы должны выплатить, даже если они сидят без дела и пьют чай. Очень быстро получается сумма, сопоставимая с выкупом, а то и превышающая его.

Подумайте о своем бизнесе. Если завтра у вас пропадет доступ ко всем данным на три дня, сколько вы недополучите денег? Кто заплатит за простой? В голове сразу возникает картина, как бизнес буквально истекает кровью, пока вы пытаетесь решить технические проблемы.

Штрафы и проверки: когда государство приходит с вопросом

Дальше начинается самое интересное. У нас в стране есть закон о персональных данных, и если вы работаете с клиентами (а кто из нас не работает?), то вы обязаны эти данные защищать. Утечка базы клиентов с номерами телефонов, паспортными данными или адресами – это не просто ваша проблема, это нарушение закона.

Роскомнадзор имеет полное право провести проверку и выписать штраф. Суммы для малого бизнеса пока не космические, но ощутимые. Однако страшнее другое: если окажется, что вы халатно относились к защите, не устанавливали обновления, использовали простые пароли, то могут возникнуть вопросы уже не только административные, но и, прости господи, уголовные. Представьте, что данные ваших клиентов попали к мошенникам, и те обманули пенсионерку, используя информацию из вашей базы. Связь будет прямая. И вот вы уже не просто предприниматель, а фигурант дела.

Ко мне приходил знакомый, у которого небольшой автосервис. Он искренне считал, что его база клиентов с номерами телефонов и марками машин никому не нужна. Пока не получил предписание от надзорного органа. Оказывается, записывая клиента в электронную тетрадку, он уже подпадал под закон. Пришлось срочно разбираться, нанимать специалиста, чтобы привести все в порядок. Легче было сделать это сразу, чем потом платить штрафы и суетиться.

Репутация: невидимый, но самый жирный минус

А теперь давайте представим не техническую, а человеческую сторону. Вы клиент. Вы отдали свои данные компании, доверились ей. И вдруг узнаете, что их украли. Ваши действия? Скорее всего, вы больше никогда не обратитесь в эту компанию. Более того, расскажете друзьям и знакомым, оставите гневный отзыв на картах и в соцсетях. Это и есть удар по репутации.

Для малого бизнеса репутация – это всё. Если о вас пойдет молва как о «дырявой» конторе, клиенты начнут утекать быстрее, чем данные. Новые покупатели будут обходить вас стороной. Придется тратить огромные бюджеты на маркетинг, чтобы переубедить людей, но осадочек останется. Восстановить доверие после утечки почти невозможно. Проще открыть новый бизнес под новым названием.

Вот представьте две пекарни на одной улице. В одной просто вкусно пахнет булками, а про другую вчера написали в местном паблике, что у них украли базу постоянных клиентов и теперь тем спамят мошенники. Куда вы пойдете завтра утром за хлебом? В ту, где спокойно, конечно. Вот так один взлом может обесценить годы работы над именем компании.

Потерянные возможности и потраченное время

Есть еще одна статья расходов, о которой редко думают. Это время и силы сотрудников. Когда случается инцидент, вся работа встает. Бухгалтер не считает зарплату, менеджеры не обрабатывают заявки, программисты не пишут новый функционал, а сидят и разбираются с последствиями атаки. Вы платите им зарплату за то, чтобы они восстанавливали то, что могли бы и не терять.

Кроме того, вам придется потратиться на адвокатов, на специалистов по кибербезопасности, которые будут расследовать инцидент, на закупку нового оборудования, если старое было скомпрометировано. Все эти мелкие траты складываются в итоговую сумму, которая может оказаться в разы больше, чем стоимость хорошего антивируса или обучения сотрудника за весь год.

Давайте подведем черту. Утечка данных для небольшой фирмы – это не просто строчка в отчете. Это остановка работы, это штрафы и суды, это потерянные клиенты и уничтоженная репутация. И самое обидное, что 90% этих проблем можно предотвратить базовыми мерами, о которых мы будем говорить дальше. Вопрос не в том, сможете ли вы позволить себе защиту. Вопрос в том, сможете ли вы позволить себе ее отсутствие.

Главные уязвимости небольших фирм

Мы уже выяснили, что хакеры вовсе не брезгуют маленькими компаниями, и развеяли миф о том, что «меня это не коснется». Но откуда же тогда берутся дыры, через которые утекают данные? Если представить ваш бизнес как средневековый замок, то в предыдущих главах мы говорили о том, что враг у ворот и что он точно придет. Теперь пришло время осмотреть стены. И, честно говоря, в большинстве небольших фирм эти стены больше напоминают плетень с дырками, чем неприступную крепость.

Давайте честно: владелец малого бизнеса думает о закупках, зарплате, клиентах, налогах, но только не о том, какой версии антивирус стоит на бухгалтерском компьютере. Это нормально. Проблема в том, что этой занятостью и невниманием преступники пользуются чаще всего. Главная уязвимость любой небольшой фирмы – это даже не техника, а подход к безопасности как к чему-то второстепенному.

Посудите сами. В крупной корпорации есть целый отдел информационной безопасности, который пишет регламенты, проверяет обновления и заставляет сотрудников менять пароли. У вас такого отдела нет. Вы – и директор, и системный администратор, и начальник службы безопасности в одном лице. И это создает уникальную ситуацию: вы физически не можете уследить за всем. Где-то секретарь записала пароль от почты на стикере и приклеила к монитору, где-то менеджер принес свой старый ноутбук и работает с клиентской базой из дома через незащищенный вайфай, а где-то вы сами, чтобы сэкономить пять минут, отключили двухфакторную аутентификацию, потому что «она бесит и тормозит работу». Вот она, брешь. И через нее, поверьте, пролезают не мыши, а вполне реальные злоумышленники.

Пароли, которые не защищают

Помните нашумевшую историю про то, как хакеры взломали серверы одного известного сервиса? Чаще всего путь к этому серверу начинается с обычного человеческого пароля. И самый большой секрет, который мы пытаемся сохранить, хранится в наших головах с катастрофической халатностью. Как вы думаете, сколько компаний до сих пор используют пароль admin или password123? Я вас умоляю, не надо так.

Люди любят простоту. Им сложно запомнить комбинацию вроде Jk73!$pLkq_9. Они запоминают даты рождения, клички собак или названия улиц. И если хакеру нужно подобрать пароль к почте рядового сотрудника, он даже не будет ломать суперкомпьютер. Он просто зайдет в соцсети этого сотрудника, посмотрит, где тот родился, как зовут его кота, и попробует эти слова. И, скорее всего, угадает.

Но проблема даже не в сложности, а в повторном использовании. Один и тот же пароль от рабочей почты, личного аккаунта в онлайн-кинотеатре и форума садоводов. И вот когда хакеры сливают базу данных того самого форума садоводов (а их сливают регулярно), у них на руках оказывается ваш пароль. Они просто идут и проверяют: а не подойдет ли этот пароль к почте компании, в которой работает этот садовод? И очень часто подходит. Один пароль – и все цифровые ворота открыты.

Неуправляемый хаос устройств

Современный бизнес – это не только стационарные компьютеры в офисе. Это личные ноутбуки сотрудников, их смартфоны, планшеты, которые они подключают к офисной сети, умные часы, флешки, которые таскают туда-сюда. Концепция «принеси свое устройство» (BYOD) давно стала нормой, особенно в небольших компаниях, где не выдают технику, а просят использовать свою. И это бомба замедленного действия.

Вот представьте: ваш менеджер по продажам сидит в кофейне, пьет латте и подключается к халявному вайфаю. Он открывает рабочую почту, чтобы отправить коммерческое предложение. Он не знает, что этот вайфай, скорее всего, подделка, созданная хакером, который сидит за соседним столиком. Весь трафик, включая логин и пароль от почты, проходит через его ноутбук. Через минуту у злоумышленника есть доступ к переписке, а через час – доступ к системе, в которую этот менеджер когда-то заходил.

Или другой случай. Сотрудник увольняется, но у него на личном ноутбуке остается папка «Рабочее» с кучей документов, включая базу клиентов. Он про нее забыл, а через год случайно находит. Документы ничем не защищены, не зашифрованы. Это уязвимость, которую вы даже не можете проконтролировать. Контроль за личными устройствами – это как пасти блох, но игнорировать этот аспект – значит оставлять дверь черного хода открытой настежь.

Человеческая доброта и доверчивость

Перейдем к самому тонкому и сложному для автоматической защиты месту – к психике человека. Я говорю о социальной инженерии. Это когда вас не взламывают технически, а просто просят дать пароль. И вы даете. Звучит абсурдно? А вы вспомните, сколько раз вы пропускали человека в офис, потому что он сказал: «Я курьер, заказ для Ивановой», хотя вы никакой Ивановой не знаете и курьера никто не заказывал.