Большинство российских компаний малого и среднего бизнеса до сих пор выстраивают информационную безопасность не системно и делают ставку на внимательность сотрудников, а не на технологии. К такому выводу пришли Битрикс24 и Русская Школа Управления (РШУ) после опроса более 1,5 тысячи работодателей по всей стране.
Проблемы, как выяснилось, начинаются ещё при найме. Только 45% компаний на собеседованиях проверяют, понимает ли кандидат ответственность за сохранность корпоративных данных, а подписывать соглашение о неразглашении (NDA) требуют лишь 59%.
С обучением ситуация не лучше — половина компаний вообще не проводит его, а регулярно делают это только 19%. Ещё треть работодателей признались, что обучают сотрудников от случая к случаю.
С технологической защитой дела обстоят не лучше: системы предотвращения утечек данных внедрены лишь у 38% компаний. Ещё 62% обходятся базовыми средствами — антивирусом и надеждой на благоразумие сотрудников. Автоматические обновления программ, которые закрывают уязвимости, включены только у 21% работодателей.
Контроль паролей тоже часто оставляют на усмотрение сотрудников — в 40% организаций люди сами решают, когда их менять. Треть компаний разрешает работать с корпоративными данными с личных устройств без ограничений, и только 22% полностью это запрещают.
С увольнением сотрудников тоже не всё гладко: лишь 38% компаний блокируют доступ в день ухода. Почти половина делает это в течение недели, а 17% — тянут месяц или больше. У 4% доступ бывших сотрудников вообще остаётся активным.
Неудивительно, что только 15% участников опроса считают уровень своей кибербезопасности высоким. Более половины (52%) признали, что работают несистемно, а треть (33%) прямо говорят о низком уровне защиты.
Главные причины такого положения дел — ограниченные бюджеты (46%), нехватка специалистов (22%), сопротивление сотрудников (17%) и отсутствие поддержки руководства (15%).
По словам экспертов, малому бизнесу стоит подходить к защите поэтапно: начинать с базовых мер вроде антивируса, двухфакторной аутентификации и обновления софта, а затем выстраивать политику доступа и регулярное обучение персонала. В противном случае человеческий фактор останется главным источником риска.
На днях мы публиковали большую подборку средств для управления безопасностью и защиты МСБ. В статье рассказываем, как сосредоточиться на базовых мерах защиты, направленных на основные векторы атак.
