Русская Школа Управления РШУ) и сервис для управления бизнесом Битрикс24 изучили, как малый и средний бизнес выстраивает политику хранения и защиты корпоративных данных. Результаты показали, что системный подход к кибербезопасности — редкость, а большинство компаний до сих пор полагаются на осторожность сотрудников, а не на технологии и протокол.

Выяснилось, что проблемы с кибербезопасностью начинаются уже на этапе найма. Лишь 45% работодателей проверяют на собеседовании, насколько кандидат понимает ответственность за сохранность корпоративных данных, и только 59% компаний требуют от новых сотрудников подписания NDA.

Также половина (50%) респондентов признались, что не проводят обучение сотрудников по безопасности и работе с конфиденциальной информацией. Ежегодно обучают персонал лишь 19% работодателей, а ещё треть делают это нерегулярно.

В технологической защите тоже есть пробелы: системы противодействия утечкам данных внедрены только у 38% компаний. Остальные 62% ограничиваются базовыми мерами защиты или вовсе обходятся без них.

Автоматизированные системы обновления, помогающие оперативно устранять уязвимости, используют лишь 21% работодателей.

Не менее тревожная ситуация наблюдается с контролем паролей: в 40% организаций сотрудники самостоятельно решают, когда менять пароль.

Ещё одна зона риска — использование личных устройств. Треть компаний (32%) разрешают работать с корпоративными данными без ограничений, а 46% — только при соблюдении правил внутренней политики безопасности. Строгий запрет на использование личных устройств для рабочих целей действует только в 22% компаний.

Исследование также показало трудности с "отключением" уволенных сотрудников от рабочих процессов. Только 38% работодателей блокируют доступ в день увольнения, а почти столько же (41%) делают это в течение недели. У 17% доступ блокируется дольше месяца, а у 4% остаётся активным и после ухода из компании.

Закономерно, что отношение персонала к внутренним правилам тоже неоднозначное: 28% соблюдают их и воспринимают всерьёз, 42% считают излишней бюрократией, а 30% игнорируют, если меры мешают работе.

В итоге только 15% компаний оценивают уровень своей информационной безопасности как высокий. Более половины (52%) считают свой уровень средним и признают, что работа ведётся несистемно, а треть (33%) характеризуют свой уровень как низкий, ссылаясь на отсутствие закреплённых практик.

По мнению респондентов, главные барьеры на пути к построению культуры безопасности — ограниченные бюджеты (46%), нехватка специалистов (22%), сопротивление сотрудников (17%) и отсутствие поддержки со стороны руководства (15%).

"Хакерам проще достигать своих преступных целей при низкой организации защиты. Важно учитывать, что уровень зрелости процессов ИБ закономерно зависит от зрелости и размера самой компании. Нельзя требовать от стартапа полноценной службы безопасности и строгих регламентов. Поэтому важны дисциплина и поэтапный подход к снижению рисков информационной безопасности.

Для малого бизнеса: базовые меры и настройки: антивирус, двухфакторная аутентифкация, своевременные регулярные обновления софта. Для растущей компании добавляется политика доступа, обучение сотрудников, средства защиты сетевого периметра. От более крупных организаций — оценка рисков, моделирование угроз и комплекс мероприятий, обеспечивающих снижение вероятности их реализации" — Леонид Плетнев, бизнес-партнёр по информационной безопасности в "1С-Битрикс".

"Результаты исследования показывают, что вопрос кибербезопасности в малом и среднем бизнесе сегодня упирается не столько в технологии, сколько в управленческие приоритеты. Компании по-прежнему воспринимают безопасность как техническую задачу, а не как элемент корпоративной культуры.

Отсутствие системного подхода, редкие обучения и слабый контроль на уровне процессов приводят к тому, что человеческий фактор остаётся главным источником риска. При этом именно управленческие решения (внедрение правил, обучение сотрудников, контроль за их исполнением) формируют реальную устойчивость компании к угрозам", — комментирует Анастасия Боровская, директор Русской Школы Управления.

В опросе приняли участие 1508 представителей компаний малого и среднего бизнеса во всех регионах РФ.