5 марта состоялся финал конкурса «ESET стартапам». Больше полугода его участники — предприниматели из России, Беларуси, Казахстана, Грузии и других стран — делились опытом защиты своего бизнеса. Победителем конкурса стал Георгий Левин и его рекламный проект GetIntent — в качестве приза он получил грант на обучение в Кремниевой долине по программе Deep Dive.
AD поговорил с главой представительства ESET в России и СНГ Денисом Матеевым о том, почему сегодня нужно поддерживать молодые проекты, о цене безопасности и новых киберугрозах.
#самизнаетекакиекнопки
Если несколько лет назад индустрия новых проектов в технологических областях была достаточно бессистемной, разрозненной, сейчас создатели бизнеса уже понимают, на что стоит обращать внимание и тратить деньги. Безопасность, безусловно, — один из ключевых моментов, о котором предприниматели порой забывают. Мы решили им об этом напомнить.
Информационная безопасность для стартапов — что это? Речь идет о защите от киберпреступников или от заражений вредоносным ПО?
Давайте разберемся в видах киберугроз. Хакерские атаки — один из них. Они, по большей части, нацелены на крупные публичные компании, сектора промышленности, страны. То есть это системные, продуманные заказные атаки. Например, обвал сайтов СМИ во время думских выборов. Тогда были недоступны веб-страницы «Эха Москвы», «Коммерсанта», Slon.ru и еще нескольких изданий.
В результате кибератаки на Sony Pictures вышли из строя компьютерные системы компании и были украдены данные с серверов, включая еще не выпущенные на экран фильмы.
Троян BlackEnergy использовался хакерами для кражи данных корпоративных пользователей Украины и Польши. Таргетированная атака на промышленные объекты Ирана отбросила на несколько лет назад ядерную программу страны. И число таких преступлений с 2012 по 2014 годы ежегодно удваивалось.
Опасны ли хакерские атаки для стартапов? Скорее нет, чем да. Молодые проекты все-таки не являются типичной целью хакеров. Так что малый бизнес скорее должен думать о мерах предосторожности против интернет-угроз, потери данных, вредоносного ПО и действий инсайдеров.
От каких именно угроз нужна профилактика?
По аналогии с медициной можно сравнить подобные угрозы с обыкновенной вирусной инфекцией, которую ты подхватил в общественных местах, в метро, например. Такие заболевания стартап может подцепить через присланные вредоносные письма с вложенными файлами и документами, в спам-рассылке или с применением фишинговых схем.
Предположим, вам приходит сообщение якобы от вашего онлайн-банка, где просят пройти по ссылке и поменять пароль. Сайт по ссылке является подделкой, и у вас, по сути, выудили личные данные. Или слабые пароли – они становятся причиной 76% кибератак на компании.
Наконец, сотруднику ничто не мешает открыть вложенный файл из письма и заразить свой компьютер. Случается, мстят экс-сотрудники. В прошлом году в ходе опроса пользователей ESET подсчитала, что больше трети людей хотя бы раз в своей карьере воровали и «сливали» конфиденциальные данные своих работодателей.
По статистике, девять из десяти стартапов закрываются в первые два года. Какую роль здесь играет вопрос безопасности?
Это важный аспект, безусловно, но все-таки провал многих молодых проектов вызван рыночными изменениями. Люди стали аккуратнее инвестировать, осторожнее обращаться с капиталом. Кроме того, кризис бьет в первую очередь по малому бизнесу.
На вопрос, насколько сильно может пострадать та или иная компания, ответить достаточно сложно. Если произошел взлом либо атака, эту информацию зачастую стараются скрыть – она может навредить бизнесу еще больше.
Что такое простой в работе для стартапа? Что такое потеря базы данных для компании, которая занимается мультимедийным контентом или вопросами идентификации по номеру телефона? Бизнес настолько динамичен, что любая утечка может быть летальна.
Приведу более простой пример. В стартапе пять человек. Вирус заражает основной компьютер, после чего блокирует или шифрует данные остальных. Проект, который должен был быть запущен в течение двух-трех недель, заработает через месяц. А это большая потеря, которая повлечет за собой другие.
Сравните мой пример с историей от одного из участников конкурса «ESET стартапам»: «Как-то нас атаковали вирусы и убили важные файлы, жизненно необходимые для проекта. Это событие отодвинуло сроки сдачи проекта на три месяца. Соответственно, мы понесли огромные убытки, которые равнялись трем месяцам дополнительной заработной платы для всей команды.
От вируса пострадал не только код проекта, но и графические файлы. Нам пришлось рисовать часть графики заново с нуля и перерабатывать код. Бывают же моменты, когда экономический смысл ИБ понимает не только безопасник или владелец, но и каждый сотрудник».
Как молодые компании могут себя защитить?
Информационная безопасность состоит из трех аспектов: технического, организационного и физического.
Первый – это вопрос наличия базовой антивирусной защиты, использования паролей, ограничения доступа посторонних к системам, приложениям, программам и файлам. Здесь не нужны навороченные дорогие решения, поскольку, с одной стороны, большинству небольших компаний это не надо, а с другой — стартапы просто не потянут такие продукты с финансовой точки зрения.
Что касается второй, организационной составляющей, здесь должно быть четкое понимание, какие сотрудники и партнеры имеют доступ к тем или иным ресурсам. Этот вопрос необходимо строго регулировать.
Третий компонент — физическая защита. Здесь все просто: все перечисленные меры предосторожности приняты, но это не мешает постороннему человеку зайти в офис и украсть компьютер. На этих трех китах и строится безопасность.
На финале конкурса было объявлено о продлении инициативы по льготному доступу к решениям ESET NOD32 для стартапов. В обмен на что? В чем интерес компании?
В обмен на опыт. Молодой проект заходит на наш сайт, рассказывает о своей системе безопасности, успехах и ошибках в этой сфере, за что получает свободный доступ к продукту ESET NOD32 Small Business Pack. Так мы поддерживаем малый бизнес в непростые времена. Но повторюсь, мы не лечим какую-то уникальную болезнь. Мы помогаем противостоять простуде.
Какие дальнейшие планы по работе со стартапами?
Как минимум – агрегировать все истории, которые мы узнали в рамках этого конкурса, и разместить их на онлайн-ресурсах. База набрана большая, и этой информацией надо делиться. Как этот обмен опытом будет выглядеть в следующем году, пока не знаем.
В любом случае, подчеркну, что наша задача — прежде всего, просветительская, мы работаем над тем, чтобы люди уделяли больше внимания вопросам кибербезопасности.
Что нас ждет в этой сфере?
Весь мир пересаживается со стационарных компьютеров на мобильные гаджеты. Большинство компаний на практике решает вопросы BYOD (Bring your Own Device — принеси свое устройство).
Вредоносное ПО начинает перебираться на мобильные устройства, прежде всего, на Android. Россия уже входит в тройку стран с наибольшим количеством новых видов вирусов для этой ОС. Количество «мобильных» угроз стремительно растет.
То же самое касается корпоративных структур. Кроме того, мы наблюдаем все больше сложных хакерских атак. Угрозы становятся более сложными и требуют системного подхода к борьбе с ними.
Кто сегодня на шаг впереди: хакеры или «безопасники»?
Это постоянная борьба. То одни, то другие. И эта гонка есть и будет по той простой причине, что объем финансовых транзакций через интернет, так же как и объем конфиденциальной информации, которая хранится и отправляется в сети, будет только расти.
About the author