Введение
За последние несколько лет популярность цифровой трансформации резко возросла, и теперь это актуальное выражение знакомо каждому предпринимателю почти во всех отраслях. Улучшенный пользовательский интерфейс, гибкость, удобство и более низкие накладные расходы делают ее особенно привлекательной для малого и среднего бизнеса. Малые и средние предприятия все чаще прибегают к цифровой трансформации, чтобы улучшить свой бизнес и не усложнять себе работу по мере роста своих организаций.
Цифровая трансформация всегда будет представлять собой тонкий баланс усовершенствованных процессов и повышенного риска. Малые и средние предприятия подвергаются риску утечек данных и компрометации информации во время цифровой трансформации, если они не могут одновременно повысить свою безопасность. Услуги по управлению безопасностью позволяют защитить конфиденциальную информацию с помощью решений высшего уровня, поставляемых из облака с полной защитой.
Первым шагом в обеспечении полной безопасности является выявление недостатков, присущих традиционным методам обеспечения безопасности, для решения запланированной цифровой трансформации. Следующим шагом после выявления потенциальных проблем будет поиск лучших инструментов, которые обеспечат оптимальный уровень защиты. Нужный уровень защиты в значительной степени снизит уязвимость, при этом находясь в рамках бюджета и процессов небольшой организации. В этом отчете рассматриваются существующие риски цифровой трансформации, которые делают малые и средние предприятия особенно уязвимыми для атак, а также три основных шага, которые предпринимают провайдеры услуг по управлению безопасностью для их снижения. Надлежащий уровень превентивной безопасности и мониторинга позволит клиентам избежать излишних трат на безопасность или высокой стоимости утечки данных. В частности, будут рассмотрены следующие темы:
- Почему цифровая трансформация делает малый и средний бизнес привлекательной мишенью для злоумышленников
- Критические уязвимости различных аспектов расширенной технологии
- Как защитить данные вашего клиента, а также ваши устройства и людей
Почему цифровая трансформация делает бизнес уязвимым
С каждым годом все больше и больше компаний вкладывают свои ресурсы и значительную часть своего бюджета в цифровую трансформацию. Однако зачастую это не дает того эффекта, на который надеются предприниматели. Исследования показывают, что 70 % всех цифровых трансформаций не достигают намеченных целей.
В то время как в некоторых статьях любят указывать на организационные проблемы или образ мышления сотрудников как на причину неудач, сами компании сообщают, что многие их проблемы связаны с безопасностью. В одном исследовании, в которым были рассмотрены более 270 предприятий, руководители указали на проблемы безопасности как на самые серьезные препятствия на пути к успешной цифровой трансформации. Однако только 34 % этих организаций заявили, что рассматривали вопросы кибербезопасности на этапе разработки. Организации, которые не принимают во внимание безопасность во время цифровой трансформации, рискуют поставить под угрозу весь план до достижения намеченных целей.
Как правило, киберпреступники атакуют предприятия малого и среднего бизнеса, потому что обычно у них слабые стандарты безопасности и меньший бюджет на защиту своих данных, чем у крупных предприятий. Злоумышленники могут одновременно атаковать большое количество компаний малого и среднего бизнеса, что приводит к утечке данных, которые часто столь же ценны, как и данные более крупных компаний. Хотя малые и средние предприятия обращаются к цифровой трансформации, чтобы снизить расходы, она может оказаться более дорогостоящей, если они станут жертвами утечки данных. В отчете IBM «Стоимость утечки данных» указано, что средняя стоимость утечки данных в США составила 8,19 миллиона долларов. Они также обнаружили, что малый и средний бизнес платит в среднем больше, чем крупные компании: за утечку данных организации со штатом от 500 до 1000 сотрудников заплатили 3533 доллара США на каждого сотрудника, а предприятия со штатом более 25 000 человек — 204 доллара США на сотрудника.1
Компании малого и среднего бизнеса, которые внедряют цифровую трансформацию, особенно уязвимы для атак, поскольку их уровень безопасности не всегда поспевает за процессом расширения технологий. Кроме того, атаки становятся все более изощренными, и малый и средний бизнес может быть не готов к защите. Малые и средние предприятия становятся жертвами программ-вымогателей, фишинга, DDoS-атак и атак социальной инженерии. Усовершенствование атак и последующие финансовые последствия должны вызывать тревогу у малого и среднего бизнеса.
Риски, связанные с цифровой трансформацией
Эксперты и руководители критикуют термин «цифровая трансформация» за его расплывчатость: это широкий термин, охватывающий ряд технологий. В этом отчете мы коснемся наиболее распространенных технологий, используемых при цифровой трансформации малого и среднего бизнеса.
К общим аспектам цифровой трансформации малого и среднего бизнеса относятся:
Интернет вещей
Интернет вещей дает значительные преимущества малым и средним предприятиям. Способность датчиков выполнять задачи, анализировать и обмениваться данными без вмешательства человека позволяет обеспечивать компаниям преимущества для своих клиентов. Однако многие из них не разработаны с учетом требований безопасности и оставляют организации уязвимыми для потенциальных утечек данных.
Возможность технологии «Интернет вещей» подключать устройства с низким и высоким риском может вызвать серьезные проблемы кибербезопасности для организаций, которые не изменили свою безопасность соответствующим образом. То, что когда-то было частью вашей системы с низким уровнем риска, теперь связано с вашими наиболее конфиденциальными данными. Хакерам нужно найти только одну точку входа, чтобы получить доступ ко всему.
По данным Национального института стандартов и технологий США2, тремя самыми большими проблемами безопасности для технологии «Интернет вещей» являются следующие:
- Устройства Интернета вещей взаимодействуют друг с другом для внесения изменений в физические системы способами, недоступными для традиционных технологий.
- К Интернету вещей нельзя получить доступ или управлять им так же, как с помощью традиционных технологий.
- Доступность и эффективность кибербезопасности для технологии «Интернет вещей» отличаются от традиционных ИТ.
Поскольку Интернет вещей не работает так же, как ИТ, он требует другого подхода к кибербезопасности. Малые и средние предприятия столкнутся с потенциальной утечкой своих данных, если не настроят свою безопасность соответствующим образом.
Использование личных устройств
В попытке сократить накладные расходы и повысить удовлетворенность сотрудников использование личных устройств становится все более популярной практикой для малого и среднего бизнеса. Это позволяет сотрудникам работать со своих личных устройств, таких как смартфоны, планшеты или ноутбуки.
Компании, которые не приняли политику «Использования личных устройств», могут обнаружить, что их сотрудники все равно используют личные устройства. С распространением интернет-устройств компании будет сложно найти сотрудников, которые не берут с собой на работу мобильный телефон. Хотя телефоны, которые используются только в личных целях, не представляют угрозы безопасности, выполнение работы с помощью личных устройств может поставить под угрозу безопасность всей вашей компании.
Использование личных устройств делает организации особенно уязвимыми для DDoS-атак. Кража данных — еще один риск, связанный с использованием личных устройств. Если сотрудник отправляет файл по незащищенной сети, например в кафе или аэропорту, злоумышленники могут легко скомпрометировать информацию. Проникновение вредоносных программ также является проблемой. Сотрудники могут загрузить мобильную игру с вредоносным ПО, которое атакует вашу информацию через устройство.
Недовольные бывшие сотрудники также могут представлять проблему для безопасности компании. Они могут использовать информацию, загруженную на их устройство, чтобы причинить множество проблем как вашим клиентам, так и репутации компании.
Удаленная работа
Еще до того, как удаленная работа стала обязательной в некоторых областях, ее популярность стремительно росла. Однако в современных условиях удаленная работа является необходимостью. Организации, которые ранее противились удаленной работе, вынуждены разрабатывать методы, позволяющие их сотрудникам работать из дома.
Сотрудники, которые не знают о безопасных методах удаленной работы, могут сделать компанию уязвимой для утечки данных. Совместное использование устройств с людьми, у которых нет для этого разрешения, доступ к информации через небезопасные сети, например общедоступную сеть Wi-Fi, и беспечность при открытии электронных писем также могут поставить под угрозу конфиденциальную информацию и подвергнуть вашу организацию риску.
Облачные приложения
Облачные приложения предоставляют малым и средним предприятиям больший доступ к их данным. Это позволяет им принимать решения на основе данных и получать важную информацию для развития своего бизнеса. Однако компании могут быть уязвимы для атак, если они не принимают надлежащих мер предосторожности.
Облачные приложения подвергают компании риску взлома учетных записей, когда злоумышленники могут получить доступ к конфиденциальной информации, используя украденные учетные данные. Группы продвинутой постоянной угрозы нацелены на облачные среды и используют общедоступные облачные службы для проведения атак. Небезопасные API также могут создать точку входа для злоумышленников.
Потеря данных также может стать серьезной проблемой для малого и среднего бизнеса. В результате несчастного случая или катастрофы информация о клиентах может быть безвозвратно утеряна при отсутствии надлежащих резервных копий. Google и Amazon являются примерами того, как даже самые технически продвинутые компании могут потерять данные, если не создать резервную копию.
Как обезопасить бизнес для цифровой трансформации
Услуга управления безопасностью, которая учитывает сложности как цифровой трансформации, так и малого и среднего бизнеса, должна быть в состоянии точно определить потенциальные уязвимости, обеспечить уровень безопасности, необходимый для учета любых изменений в технологии, и продолжать осуществлять мониторинг для вашей организации.
Найдите уязвимости в вашем плане цифровой трансформации
О кибербезопасности надо начинать думать на этапе формирования плана цифровой трансформации. Она должно быть частью первоначального плана, учитывающего каждый шаг на этом пути. Малый и средний бизнес является особой целью, поскольку его безопасность не всегда соответствует уровню развития, оставляя бреши и уязвимости. Цифровая трансформация и безопасность должны координироваться в тандеме, чтобы избежать потенциально катастрофической ошибки.
IBM провела исследование наиболее успешных преобразований и обнаружила, что те компании, которые больше ценили и подчеркивали важность безопасности, в конечном итоге добились более успешного результата.3 Эти «высокоэффективные компании», как они были названы в исследовательской работе, с меньшей вероятностью пострадали от утечки данных.
Определите, каких цифровых трансформаций надеется достичь ваша организация. Решите, где вы хотели бы внедрить технологию «Интернет вещей», использование личных устройств, удаленную работу или облачные приложения. Обязательно включите детали своих планов, чтобы увидеть, где могут возникнуть потенциальные уязвимости.
Также составьте список физических и виртуальных вычислительных устройств в компании. В оценку должны быть включены рабочие станции, ноутбуки, принтеры, мобильные устройства, серверы сетевых приложений, корпоративные брандмауэры и файловые серверы сети.
Определите необходимый уровень безопасности
Как только вы поймете, чего хотите достичь и выявите потенциальные уязвимости, вы можете определить необходимый уровень безопасности. Ниже приведены услуги безопасности, которые важны для успешной цифровой трансформации.
Непрерывный мониторинг
Серьезной ошибкой многих малых и средних предприятий является перерасход средств на профилактику в ущерб возможностям обнаружения и реагирования. Хотя предотвращение является крайне важным аспектом защиты конфиденциальной информации, атаки меняются и могут произойти в любой момент. Чем быстрее компания сможет отреагировать на атаку, тем легче будет ее сдержать и уменьшить размер возможного ущерба.
Поддерживайте прочную основу безопасности благодаря постоянному удаленному мониторингу и управлению. Поиск и поддержка новых исправлений и обновлений программного обеспечения, а также обновление мер безопасности с учетом новых угроз обеспечат непрерывную защиту от киберпреступников.
Интернет вещей
Антивирус
Установка и мониторинг антивируса на всех устройствах для защиты каждой точки входа
Регулярное сканирование уязвимостей
Регулярное сканирование гарантирует, что антивирус, пароли и любое другое программное обеспечение будут актуальны.
Предотвращение потери данных
Не позволяет пользователям делиться конфиденциальными данными и определяет, какие данные можно передавать.
Использование личных устройств
Шифрование электронной почты
Сквозное шифрование непосредственно на устройствах пользователей гарантирует, что информация попадет только в нужные руки.
Расшифровка SSL
«Безопасный интернет-шлюз» проверяет все порты и протоколы, чтобы угрозы не смогли проникнуть в вашу сеть, и заполняет бреши в безопасности, оставленные традиционными устройствами.
Безопасная аутентификация
Этого можно добиться несколькими способами, но для начала следует установить политику паролей и использовать многофакторную аутентификацию (MFA).
Удаленная работа
Защита сотрудников в любое время и в любом месте.
Предоставьте удаленным работникам подключение через VPN, чтобы защитить доступ к корпоративным данным и приложениям.
Обучение и осведомленность в отношении безопасности
Обучите персонал методам собственной защиты и защиты своей компании, например, как распознавать мошенничество и создавать надежные пароли.
Исполнимые процессы и политики
Убедитесь, что все знают, как обеспечить безопасность компании. Установите четкие указания относительно того, какие данные необходимо защищать и как.
Облачные приложения
Резервное копирование и аварийное восстановление
Предотвращает утерю конфиденциальных и ценных данных в случае аварийной или чрезвычайной ситуации.
Безопасный веб-шлюз
Выступая в роли виртуального охранника, любое обнаружение из облака немедленно блокирует все угрозы для всех клиентов в сети.
Управление исправлениями
Установка исправлений и поддержание их в актуальном состоянии может помочь устранить присущие облачным приложениям уязвимости.
Заключение
Цифровая трансформация — неизбежное изменение для малого и среднего бизнеса. Однако она делает организации уязвимыми для новых и более сложных угроз. Интернет вещей, использование личных устройств, удаленная работа и облачные приложения — все они имеют уникальные проблемы, о которых компания должна знать. Услуги по управления безопасностью могут помочь предприятиям малого и среднего бизнеса выявлять потенциальные угрозы и уменьшать уязвимости, улучшая процессы для укрепления бизнеса. Эти услуги могут помочь вам принять изменения и технологии. Кроме того, вы будете знать, что у вас есть защита как для вас, так и для ваших клиентов.
1 Ponemon Institute. 2019 Cost of a Data Breach Report July 2019.
2 National Institute of Standards and Technology (NIST). Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. June 2019.
3 Ponemon Institute. Bridging the Digital Transformation Divide: Leaders Must Balance Risk and Growth. March 2018.