Малый бизнес живет без множества формализмов и бюрократизации, без которых просто немыслим бизнес крупный. С одной стороны, это плюс, потому что дает малому бизнесу быть куда более мобильным и куда более оперативно своих крупных конкурентов реагировать на всякие локальные подвижки на рынках. Но иногда это его и подводит. В частности, в сфере информационной безопасности, где без правил, инструкций и прочих формализмов - ну просто никак.
Новое исследование проблем малого бизнеса показало, что большинство руководителей предприятий СМБ ошибочно считают свои информационные системы хорошо защищенными.
...
В секторе СМБ очень слабо реализованы технические и организационные меры по обеспечению информационной безопасности. У 87% опрошенных организаций нет сформулированной политики информационной безопасности для сотрудников, работающих в Интернете, у 83% – нет плана защиты от кибератак, у 59% – отсутствует план реагирования на утечки данных, 72% – не имеют политики безопасного использования мобильных и удалённых устройств. Только 14% респондентов применяют многофакторную аутентификацию для доступа к сети, и лишь 23% – шифрование данных клиентов.
...
В секторе СМБ очень слабо реализованы технические и организационные меры по обеспечению информационной безопасности. У 87% опрошенных организаций нет сформулированной политики информационной безопасности для сотрудников, работающих в Интернете, у 83% – нет плана защиты от кибератак, у 59% – отсутствует план реагирования на утечки данных, 72% – не имеют политики безопасного использования мобильных и удалённых устройств. Только 14% респондентов применяют многофакторную аутентификацию для доступа к сети, и лишь 23% – шифрование данных клиентов.
В общем-то, вполне понятно, что малому бизнесу в большинстве случаев банально не до этого - ему бы выжить в своей рыночной нише, справиться с конкурентами и с "наездами" со стороны государства, и, по возможности, как-то немного развиться, чтобы перешагнуть на следующую ступеньку, чтобы быть уже не таким малым. Понятно, что тут не до политик информационной безопасности - в компании из десятка человек и представления о безопасности довольно туманные, тут хорошо, если о самом бизнесе есть более-менее систематизированные представления.
Опять-таки, обеспечение безопасности сегодня тоже стоит достаточно дорого. Консалтеры, интеграторы, вендоры - все нацелены на работу с крупным бизнесом, потому что и заработать на нём попроще, и дело иметь приятнее - крупный бизнес лучше понимает, что ему нужно, и заметно легче расстается с деньгами. Зачем, при таком раскладе, "безопасникам" нужен малый бизнес, который и денег особо не приносит, и ещё неслабо мозги промоет?..
Поэтому здесь проблема имеется с обеих сторон. То есть, сам малый бизнес не очень интересуется вопросами информационной безопасности, предпочитая (что вполне разумно и логично) решать более злободневные для себя вопрос. Ну, а вендоры и прочие просто игнорируют этот не слишком прибыльный для себя сегмент, так что если у кого-то из SMB и появится желание всерьез заняться своей ИБ, то может банально не очень-то и получиться.
Самое неприятное, что ситуация навряд ли изменится в обозримом будущем. Если только, конечно, количество инцидентов в SMB не превысит все мыслимые и немыслимые пределы. Таков расклад, к счастью или к сожалению, весьма маловероятен, поэтому в обозримом будущем мы в сегменте SMB будем наблюдать то же, что наблюдаем и сегодня.
Р. Идов,
ведущий аналитик компании SearchInform
