Как среднему бизнесу защищаться от новейших киберугроз

При расширении бизнеса его IT-инфраструктура становится более уязвимой: злоумышленники проявляют больший интерес к компании, растет вероятность кибератак. Приходится увеличивать не только затраты на серверы и ПО, но и дополнительно нанимать специалистов по информационной безопасности (ИБ), задумываться о визитах регуляторов. Последние предъявляют серьезные требования к ИБ даже в небольших компаниях из таких отраслей, как, например, финансы, логистика и здравоохранение. 

При этом уровень ИБ часто не поспевает за ростом компании. Рассказываем, как пройти этот этап без риска для бизнеса и избыточных расходов, одновременно создав задел на будущее.

Время действовать

В момент роста компании руководство обычно сосредоточено на том, чтобы выстроить обслуживание многочисленных новых клиентов и расширить производственную базу. На мысли о компьютерах, программах и ИБ времени остается немного. Понять, что эта область требует инвестиций, можно, задав IT-специалистам несколько простых вопросов:

• успеваете читать все оповещения от компьютеров, серверных систем? 
• нам требуется пересматривать архитектуру сети и основных IT-решений?
• успеваете обслуживать запросы сотрудников в течение одного дня?
• вам нужны дополнительные приложения, чтобы уследить за всем происходящим?
• за последние месяцы у нас были инциденты или «почти» инциденты, которые могли остановить процессы?

Если хотя бы на пару вопросов (особенно последних) был ответ «да», если число сотрудников уже исчисляется сотнями, то, вероятней всего, компьютерные системы требуют перехода на следующий уровень сложности, на котором для непрерывности процессов нужны автоматизация работы IT и новые, более мощные средства защиты от угроз.

Как правило, бюджет на внедрение IT-новшеств ограничен, но и откладывать это в долгий ящик тоже нельзя. Если говорить о рисках для IT, то серьезный киберинцидент обходится среднему бизнесу примерно в 5 млн рублей, при этом каждая пятая целенаправленная атака сфокусирована именно на компаниях такого масштаба.  

Проще говоря, инструментов, которые защищают малый бизнес, среднему уже недостаточно, потому что теперь им интересуются более серьезные киберпреступники. А цена их успешной атаки, да и просто масштабного IT-сбоя, значительно растет.

C чего начать

Проблемы, которые можно обнаружить, задав своим айтишникам вопросы из предыдущего абзаца, — это в первую очередь дефицит видимости и подконтрольности.  Специалистам не хватает времени, им нужны централизация сбора информации и автоматизация реагирования на нее. 

Для этого в крупных компаниях уже два десятка лет используют решения класса SIEM (Security Information and Event Management). Они в реальном времени собирают данные из многочисленных источников в организации (события в приложениях, на серверах, в сети), объединяют связанные события в группы и позволяют ИБ- и IT-специалистам видеть назревающие инциденты и быстро принимать меры. 

Для небольших компаний SIEM был слишком дорог, да и считался ненужным, поскольку ИБ-риски малого и среднего бизнеса казались низкими. Сегодня ситуация изменилась: риски выросли, но появились недорогие решения, включающие SIEM (например, Kaspersky Smart I), не требующие ни мощного оборудования для установки, ни дорогостоящего сопровождения.

Что дает внедрение SIEM

Внедрение новых инструментов должно приносить конкретные результаты. В случае внедрения SIEM можно рассчитывать на такие улучшения в работе компании и ее IT-систем:

• Новый этап в кибербезопасности. 

Компания сможет видеть и вовремя пресекать сложные атаки, нацеленные на вымогательство денег или «цепочки поставок». У среднего бизнеса часто бывают клиенты из числа крупных организаций, и компания может стать как бы ступенькой в кибератаке на крупного клиента. Успех такой атаки не просто приносит одноразовый ущерб, а может лишить ключевого клиента.

• Экономическая эффективность в IT.  

SIEM создает хорошо обозримую картину событий, позволяя на ранних этапах находить различные аномалии и решать проблемы. Это не только предотвращение кибератак до того, как они нанесут большой ущерб. С помощью SIEM можно, например, видеть перегруженные серверы, мешающие нормально работать целым отделам.  

Это экономит время не только айтишникам, но и всем сотрудникам. Они могут не понимать, что их рабочие проблемы связаны с невидимым им кирпичиком IT и часами пытаться решить проблему самостоятельно, а специалисты без SIEM просто не узнают вовремя, что им нужно вмешаться.

• Предотвращение сбоев. 

Мониторинг позволяет решать проблемы до того, как они перерастут в масштабный сбой, мешающий работать всей компании.

• Соблюдение требований регулятора.  

Сегодня требования к ИБ предъявляют десятки регулирующих органов — от ФСБ и Роскомнадзора до Минздрава. В число требований часто входит сертифицированная система мониторинга угроз. Штрафы за несоблюдение требований относительно скромные, но вот ответственность за инциденты при несоблюдении требований ИБ уже серьезная, вплоть до уголовной.

• Упрощенное и ускоренное реагирование на проблемы. 

Типовые проблемы ИБ и IT могут решаться прямо из интерфейса SIEM благодаря «коробочным» сценариям реагирования. Заблокировать или разблокировать учетную запись, запустить проверку здоровья компьютера или сканирование на вредоносное ПО можно буквально одной кнопкой. 

• Разгрузка команды для стратегических задач. 

Появление SIEM убирает из жизни ИБ- и IT-специалистов многие часы рутины вроде чтения email- и telegram-оповещений от различных автоматизированных сервисов. Эти часы могут быть потрачены на решение фундаментальных IT-задач, а руководству не придется нанимать новых сотрудников при дальнейшем расширении бизнеса.

• Задел на будущее. 

Централизация мониторинга и реагирования — один из краеугольных камней масштабирования сети. Дальнейший рост организации, включая появление новых филиалов, новых подразделений и даже новых видов бизнеса, будет проходить значительно легче — по крайней мере в той части, которая касается IT.

Затраты на внедрение и возможности оптимизации

Внедрение любой сложной IT-системы требует не только денег на лицензию. Будут нужны определенное оборудование и часы работы IT-команды для внедрения и обкатки решения. В зависимости от конкретного выбранного решения эти затраты могут отличаться на порядок. 

В случае с SIEM для малого и среднего бизнеса наиболее комфортный режим разворачивания будет у Kaspersky SMART. Рекордно производительная система SIEM легко разворачивается на любых относительно современных серверах и виртуальных машинах, требования к оборудованию очень скромные. Большое количество правил отслеживания и сценариев реагирования поставляются «в коробке», а активное сообщество российских пользователей создает удобные видеодемонстрации и инструкции по дальнейшей настройке решения в различных жизненных сценариях. 

Поскольку у многих отечественных компаний и так развернуты решения «Лаборатории Касперского», им будет очень просто объединить эти системы, чтобы в SIEM поступали дополнительные данные из защитного решения на компьютерах, а в обратную сторону шли команды, например, на автоматическое устранение уязвимостей.

Решение входит в Единый реестр отечественного ПО Минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.

Если хранимые данные критически важны

Компаниям, которые относят себя к группе высокого киберриска, управляют критической инфраструктурой или чувствительными данными, важно не останавливаться на полпути. Им необходимо комплексное решение, позволяющее обнаруживать и останавливать сложные целевые атаки, вести расследования инцидентов и оперативно взаимодействовать по ним с регулятором. 

Для таких бизнесов подойдет Kaspersky SMART II — решение, объединяющее SIEM и EDR. Последний, работая на каждом компьютере и сервере организации, позволяет собирать расширенный набор данных и реагировать даже на продвинутые киберугрозы. Эта комбинация решений дает полную видимость в сети для анализа первопричин и расследования инцидентов. 

А какие альтернативы?

Усложнение IT-систем компании при росте бизнеса неизбежно, но адаптироваться к нему можно разными способами. Если пытаться обслуживать компьютерные системы по старинке, то администраторы будут либо тратить очень много времени на ручные операции и не успевать сделать все необходимое, либо придется нанимать больше людей. При этом растут не только штат и затраты, но и риски сбоев, успешных кибератак или проблем с регулятором.   

Можно поискать решение в аутсорсинге,  доверить ИБ специализированной компании. Это относительно быстрый способ решения проблемы, но при дальнейшем росте бизнеса (и инфраструктуры) расходы на внешнего подрядчика будут пропорционально расти. Поэтому управляемые сервисы могут быть вполне эффективным, но временным решением проблем роста — в дальнейшем все равно придется создавать компетенции и инфраструктуру внутри компании.

На протяжении ограниченного времени предприятия среднего бизнеса могут купить решение Kaspersky Smart I со скидкой 15%, а Kaspersky Smart II со скидкой 30%. Предложение скидки не является офертой.

Фото на обложке: Pavel L Photo and Video / Shutterstock

ООО «КПД»
erid: 4CQwVszH9pWwnwV35oi