Исследование, проведенное компаниями «Киберпротек» и «Работа.ру», показывает, что вопросы информационной безопасности (ИБ) в большинстве (31%) малых и средних компаний берут на себя ИТ-специалист, системный администратор или офис-менеджер.

Примерно четверть компаний (28%) имеет собственного сотрудника, занимающегося вопросами ИБ, еще у 13% — полноценная ИБ-команда. У 15% компаний защита информационных ресурсов передана сторонним организациям, однако уровень квалификации таких подрядчиков не всегда подтвержден или достаточен.

13% МСП не назначили конкретного лица, несущего ответственность за вопросы информационной безопасности. 42% предприятий довольствуются базовым уровнем защиты, совмещая обязанности по обеспечению ИБ с работой технических специалистов и применяя минимальные меры предосторожности вроде антивируса, парольной политики и резервного копирования данных.

20% МСП стремятся к постепенному усилению защиты с выделением отдельного специалиста, но без создания полноценного отдела, а на информационную безопасность выделен дополнительный бюджет.

Еще столько же компаний (20%) достигли высокой степени защищенности, создав отдельные отделы по защите информации, руководство которых напрямую подчинено генеральному директору. Такие организации заранее оценивают возможные угрозы, определяют ключевые показатели эффективности и периодически привлекают внешних аудиторов для оценки состояния защиты.

Около 18% — предпочли передать работы по информационной безопасности внештатным специалистам, полагаясь на аутсорсинговые компании.

Самые распространенные методы защиты включают использование антивирусных программ, виртуальных частных сетей (VPN), строгих требований к созданию паролей, регулярное резервное копирование данных и шифрование конфиденциальной информации. Однако 16% компаний не применяют никаких защитных решений.

Что касается повышения осведомленности сотрудников, то 27% — обеспечивают регулярные мероприятия по обучению персонала вопросам информационной безопасности. Еще 16% — только после произошедших киберинцидентов. 17% респондентов не обучают персонал вовсе и не планируют, а 16% опрошенных собираются внедрить соответствующие программы.

Среди основных киберугроз участники исследования называют DDoS-атаки (19%), далее следуют вредоносные программы (17%), фишинговые атаки и несанкционированный доступ к корпоративным учетным записям (по 16%). Также тревогу вызывает и наличие недостатков в используемом ПО (15%).

Также респонденты указали риски последствий кибератак: большинство (83%) назвало риск юридических санкций и судебных разбирательств, 76% — опасаются значительных денежных потерь и рисков снижения репутации (75%), включая утраты доверия партнеров и потребителей. 71% компаний выразили опасения остановки ключевых процессов компании и сбоев в работе ИТ-систем, а 50% боятся потерять важные данные вследствие атак вируса-шифровальщика.