Комментарии 20
Полностью согласен. Для малого и среднего бизнеса, если с нуля, то важнее вначале вложится в стартовую базовую безопасность:
фаервол на периметре+VPN для удаленного доступа
хороший антивирус с локальным firewall, host ips, поведенческий анали + функционал *EDR
патч-менеджмент, хотя-бы wsus
базовая гигиена использования учетных записей, не работать под админом, периодическая смена паролей, а лучше 2хфакторка
ИТ обязательно нормально вложится в отказоустойсивость: бэкапы и DRP.
И лишь потом по мере роста зрелости наращивать и средсва и персонал.
Мне что-то вспомнился взлом российской таможни пару лет назад.
Мне известны случаи, когда, по слухам на рынке, один очень крупный известный российский антивирусный вендор организовывал DDoS-атаки на потенциальных клиентов, чтобы потом «героически» предложить свою помощь в защите.
Звучит не очень правдиво, хотя бы по причине существенных рисков потерять репутацию и существующих клиентов.
вот да, тоже хотел ссылку попросить
Я сам офигел, когда услышал, но раскрывать источник внутри будет неправильно.
да, легко. в мою бытность один яйцеголовый опсос всячески мешал своим клиентам ходить на сервисы другого, стоящего вверх ногами. и это было доказано сторонними экспертами, официально, с предъявлением всех раскладов.
Чаще их целью становятся крупные компании или госорганы, но и средний бизнес может попасть под удар, если у него есть что-то ценное, например, поставщик с доступом к крупной компании.
Пока идёт [кибер]война - атакуют всех подряд просто ради ущерба противнику.
Правда квалификация может быть совсем не advanced, а на уровне среднего сисадмина с готовым эксплоитом и шифровальщиком, который даже метасплоитом пользоваться не умеет и ломает только знакомые ему системы (VMware, Veeam и Касперский).
Если повезёт найти адекватного специалиста, который не будет просто «разводить на деньги», а действительно поможет разобраться в ваших рисках и подобрать посильные решения, то это может быть очень ценно.
Такие специалисты есть и базовая гигиена не требует колоссальных вливаний бабла. У компании в которой я работаю подходы гибкие и адаптивные под актуальную обстановку. А колоссальное вливание средств подразумевает под собой один простой момент - защищаться можно до бесконечности, начать с оргмер и закончить системой инфодиодов и межсетевых экранов на каждом "утюге". Не реклама, но если есть трудности - обращайтесь)
ИБ не генерирует доход, только расходы. Так как морковки нет и не предвидится, компаниям показывают кнут. От которого они как могут уворачиваются. Но верно подмечено, постепенный перенос систем в облака действительно помогает размазать расходы на ИБ за счёт эффекта масштаба.
Доступные зарубежные вендоры ушли
а кто эти доступные были? просто не в курсе. там где работал не могу сказать, что было сильно доступное для малого-среднего бизнеса... или это cisco имеется в виду...
Прям сразу что приходит в голову — компания ESET с их антивирусом NOD32, решения Fortinet. А еще Veeam, который вообще изначально был российским. Сюда же добавим ситуацию с CloudFlare. Примеров масса, на самом деле. А вот доступных альтернатив — увы.
вопрос больше в доступности по цене - иностранные антивирусы для бизнеса вроде не бесплатные были ставили конечно часто free для малого бизнеса, но это неправильно. у нас иностранный сменили на каспер и веб задолго до. средства для впн и другие средства защиты сети и не сети там где работал были в основном наши, за исключением маршрутизаторов и коммутаторов, да и среди них еще до начала появляться наши устройства, но цены для железяк подобного класса никогда не были сильно демократичными и примерно сравнимы что наши, что нет. fortinet был так дешев?
проблему которую видел - замена коммутаторов и маршрутизаторов циско и иже - сколько денег в них вбухнули...
veeam - жалко, но альтернативы есть, а если free, то так и используют некоторые. да и несколько другая это песня.
по облачным средам - по специфике мест никогда не пользовались -ничего не скажу.
не совсем конечно корректное сравнение, но что-то есет не выглядит "доступным"
https://www.eset.com/de/business/small-and-medium/ 10 устройств - 684 евро
https://www.kaspersky.de/small-business-security/small-office-security - 345
все цены для германии
ИБ - это расходные статьи, которые обосновываются "зато с вами не случилось ХХХ".
Бизнес часто положительных эффектов "пряника" от ИБ не видит.
При этом потребность в ИБ для самого малого бизнеса (а не их клиентов) - сомнительна.
У них и денег меньше, в среднем, и удельные расходы на ИБ (из-за эффекта масштаба) выше и тяжесть последствий при реализации риска ниже.
Про то, что ИБ — это расходные статьи, не генерирующие доход, я с вами абсолютно согласен. И про удельные расходы тоже. О том и статья, что расходы эти неподъемны для МСБ. А вот про потребность уже не соглашусь. Дело в том, что «не понимаю, что мне это нужно» = «на самом деле не нужно». И то, что у малого бизнеса денег меньше не делает потребность меньше, и точно не снижает риски.
Сталкивался не раз с такими примерами... Да, оборот миллиард-два - но чистая прибыль 15-25 миллионов в год - вполне себе реалии. А еще очень жесткая конкуренция - если товар будет хоть на рубль дороже конкурента - минус половина продаж сходу. Бюджета нет не просто на ИБ, его нет даже на айти нормальное.
Айти обеспечивает приходящий эникей уровня "в тестировщики не годен, в младшие сисдамины тоже". Винда хорошо если лицензия, чаще с торрентов с кмс. Драйвера? Первый попавшися авто-инсталлятор с выдачи гугла, набитый рекламой, заранее оставленными дырами и спящими загрузчиками. Софт? В лучшем случае торренты, а так - телега и прочие немодерируемые помойки. Лицухи покупаются только если компы в офисе стоят, и вероятна проверка. Сайт? Раскатаем дефолтный битрикс или вордпресс, который сломают через полчаса после установки... В итоге приличная группа хакеров получает доступ к этим РМ и серверам сразу после ввода оных в строй. И не расказывайте про антивирусы - оно ловит только то дерьмо, что уже спалилось, либо написано школотой без понимания технологий обхода эвристик АВ.
Есть вариант с облачными сервисами, но часто там работает известный принцип "мы видим, что у вас стало больше денег и данных - мы поднимаем вам цену, ведь вам некуда и некогда сбегать отсюда". Яндекс с почтой для домена - яркий пример, заманили дешевизной и удобством, а когда лох завязал на это облако все свои сервисы - влупили космический прайс...
В малом бизнесе все плохо. Тут писали про ВПН. Чем он поможет если подключаются с домашних компьютеров на которых стоит "все" с торрента? Незначительно уменьшит риски или создаст иллюзию защиты, да и все.
Но на самом деле ИБ в малом и среднем бизнесе нет.
Наверное мало кого удивлю, но ИБ и в большом бизнесе не то чтобы есть. Если рассматривать внимательно и с пристрастием, то во многом крупняке эти отделы занимаются имитационной безопасностью (настоящая расшифровка аббревиатуры).
Доступные зарубежные вендоры ушли
Для многих ИБ решений в природе есть масса opensource и freeware решений. Было бы желание.
Бюджетов на ИБ у малого бизнеса обычно нет.
Если по чесноку, то для наступления ИБ больше надо не бюджетов, а культуры безопасной разработки и безопасной эксплуатации. Как показывает практика, про такие вещи (про культуру хороших привычек) думают довольно редко. А у нас подавно, увы.
Реальных ИБ-специалистов за зарплаты малого бизнеса тоже мало.
Тоже помню модемы, тоже помню настройку ADSL-модемов на предприятиях в телефонном режиме вместе со специалистами провайдера и даже активацию Виндовс по телефону)) Только не разу не приходилось по работе сталкиваться с реальными специалистами ИБ, хотя имею опыт работы в нескольких компаниях, которые позиционировали себя как базирующиеся в этом деле. В одной даже работала половина кафеды "Защита информации", причём, это были преподаватели.
ИБ часто требует круглосуточной работы целой службы, а не одного человека.
1 Доступность некоторых сервисов требует круглосуточной работы специалистов
2 На прошлогоднем Беконе был показательный доклад, что для хорошей защиты кластера Kubernetes нужно целое подразделение - в крупняке ни разу такого не встречал.
Низкая культура ИБ и беспечность.
Это везде. Есть небольшое наблюдение, не претендующее на правило, что чем солиднее человек в должности, тем больше беспечности.
Раньше на рынке были понятные и относительно доступные зарубежные решения. Теперь они ушли.
Наличие или отсутствие вендоров никак не влияет на желание заниматься ИБ. Обычно шевеления начинаются, когда возникает угроза бизнесу или владельцам (сейчас могут серьёзно наказать за наплевательское отношение с персональными данными).
Чтобы построить хотя бы подобие нормальной системы ИБ, нужен целый стек технологий ....
Перечисленный стек обычно нужен, чтобы прикрыть дыры в ПО и инфаструктуре. Если на начальных этапах уделяли внимание безопасности и придерживались в дальнейшем, то большинство инструментов для среднего и малого бизнеса будет лишним.
Неподъёмные зарплаты безопасников
Даже по московским меркам не сказать, что неподъёмные
Информационная безопасность — это не работа с 9 до 18. Это круглосуточные мониторинг и реагирование. Это требует целой службы, а не одного, пусть даже гениального, специалиста
Поэтому эти компетенции обычно раскидываются по разным отделам. Именно раскидываются. Браться по собственному почину за такое желающих мало, по причинам описаными вами. Тем более в случае ЧП буду спрашивать с пристрастием.
По факту в малом и среднем бизнесе процветают раздолбайство и крайне низкая культура информационной безопасности.
Довольно часто этим и не только этим занимается человек или группа лиц из силовых ведомств, вышедших на пенсию. Со всеми вытекающими...
Что делать?
Ответили довольно точно тут. Особенно, если учесть, что в некоторых продуктовых (не ИТ) компаниях обыкновенным ИТ специалистам могут сказать, что от них только расходы.
Информационной безопасности в малом и среднем бизнесе не существует