Мы живем в сильно оцифрованном мире, и малые предприятия и частные предприниматели стали главными целями для киберпреступников. В отчете о влиянии на бизнес за 2023 год, подготовленном Ресурсным центром по краже личных данных (ITRC), проливается свет на тревожную тенденцию: резкий рост кибератак на эти небольшие организации. Этот ежегодный отчет показывает, что 73% владельцев и руководителей малого бизнеса столкнулись с утечкой данных или кибератаками в прошлом году, что является значительным увеличением.

Основные выводы

Отчет о влиянии на бизнес за 2023 год рисует отрезвляющую картину меняющегося ландшафта кибербезопасности для малого бизнеса. За три года подготовки этого отчета наметилась тревожная тенденция. В этом году ошеломляющие 73% владельцев и руководителей малого бизнеса сообщили о случаях утечки данных или кибератак в прошлом году, что свидетельствует о значительном всплеске инцидентов. Это подчеркивает растущую привлекательность малых предприятий в качестве основных целей для киберпреступников, что является отходом от прошлого, когда мишенями чаще становились более крупные организации, богатые данными.

Несмотря на тревожный рост киберугроз, отчет выявляет поразительную тенденцию непоколебимого доверия среди владельцев малого бизнеса. В то время как 70% респондентов в 2022 году считали, что они готовы защищаться от кибератак или восстанавливаться после утечек данных, в 2023 году эта цифра выросла до 85%. Такой оптимизм перед лицом растущих рисков говорит о том, что малые предприятия не только осознают опасности, но и активно инвестируют в усиление своих мер кибербезопасности.

В отчете также подчеркивается, что основную тяжесть этих атак несут данные сотрудников и потребителей. Эти категории по-прежнему больше всего страдают от взломов, что подчеркивает важность защиты конфиденциальной информации. Интересно, что количество организаций, сообщивших о первых атаках, осталось относительно стабильным по сравнению с 2022 годом, что указывает на то, что, хотя ландшафт угроз усилился, это не обязательно привело к всплеску совершенно новых атак.

Основные причины этих нарушений изменились в 2023 году. Хотя внешние злоумышленники, сотрудники-злоумышленники, удаленные работники и сторонние поставщики остаются главными виновниками, их вовлеченность несколько снизилась. Напротив, количество нарушений, связанных с фишингом и мошенничеством, увеличилось, что соответствует более широким тенденциям в киберпреступности.

В финансовом плане последствия кибератак имеют тенденцию к снижению по сравнению с предыдущими годами. Малые и средние предприятия (SMB) сообщили об убытках на сумму менее 250 000 долларов, при этом меньшее количество сообщили о потерях в более высокой долларовой стоимости. Киберстрахование стало основным источником финансирования восстановления (33%), за ним следуют денежные резервы. Также произошло небольшое увеличение сокращения численности персонала (на 13%) в качестве средства покрытия расходов, связанных со взломом.

Однако в отношении уведомлений об утечках данных есть возможности для улучшения. В то время как большинство организаций, пострадавших от утечек (83%), уведомили пострадавших потребителей, 17% этого не сделали. Задержки или пропуски в уведомлениях о нарушениях часто были результатом запросов правоохранительных органов, представления о том, что скомпрометированные данные не причинят вреда, или уверенности в том, что никакая личная информация не была раскрыта.

В ответ на взломы организации предлагают более широкий спектр услуг по восстановлению, включая кредитный мониторинг (44%), платные услуги по восстановлению личности (47%) и доступ к бесплатным услугам через некоммерческие организации (27%). Тем не менее, примерно 13% организаций не предлагали никаких услуг.

В конечном счете, в отчете за 2023 год подчеркивается рост угроз, с которыми сталкиваются малые предприятия, и их растущая уверенность в смягчении этих проблем. В нем подчеркивается острая необходимость в надежных мерах кибербезопасности и своевременных уведомлениях о нарушениях, подчеркивая, что, хотя ландшафт меняется, то же самое должно происходить и с защитой малых предприятий.

Внедрение передовых практик

Малые предприятия играют ключевую роль в нашей современной экономике, и по мере усиления киберугроз их устойчивость приобретает все большее значение. В отчете рассматривается внедрение этими предприятиями передовых практик в области кибербезопасности.

Полученные данные свидетельствуют о медленном внедрении устоявшихся передовых практик и новейших технологий для защиты личной и деловой информации. Многие малые предприятия еще не внедрили важные инструменты, такие как многофакторная аутентификация (MFA) для использования сотрудниками или клиентами, обязательные политики надежного пароля или ролевого контроля доступа к конфиденциальным данным. Показатели внедрения этих практик варьируются в пределах 20-34%, что отражает потребность в более комплексных стратегиях кибербезопасности.

Аналогичным образом, в отчете подчеркивается, что показатели внедрения методов защиты потребительских данных остаются относительно низкими и составляют от 21 до 37%. Законы штатов, предписывающие лучшие методы защиты данных, способствовали увеличению этих показателей. Эти выводы подчеркивают необходимость для малых предприятий уделять приоритетное внимание кибербезопасности и внедрять новые передовые практики для защиты своих данных и поддержания доверия клиентов.

Будущие исследования

Выводы отчета указывают на острую необходимость проведения текущих исследований в области кибербезопасности для малого бизнеса. Хотя в отчете освещается текущая ситуация и проблемы, в нем также обозначены направления на будущее. В 2024 году будут проведены дальнейшие исследования барьеров, препятствующих внедрению передовых практик. Целью этого продолжающегося расследования является предоставление полезной информации и решений для укрепления состояния кибербезопасности малых предприятий.

Утечки данных в цепочке поставок

В 2023 году количество зарегистрированных случаев взлома данных достигло рекордно высокого уровня. Уже зарегистрировано более 2100 случаев взлома данных, что превышает годовой рекорд в 1862 году в 2021 году. Примечательно, что более 1300 организаций пострадали из-за атак всего на 87 поставщиков, многие из которых были малыми и средними предприятиями, встроенными в цепочки поставок крупных организаций.

Этот всплеск обусловлен усилением должной осмотрительности, вызванной требованиями киберстрахования, законами штата о конфиденциальности и федеральными нормативными актами. Компаниям теперь требуется информация о прошлых утечках данных и оповещения в режиме реального времени по мере появления новых утечек. В ответ ITRC создала решение для оповещения о нарушениях, которое поможет организациям разобраться в истории кибербезопасности поставщиков и обеспечить соответствие корпоративным и юридическим требованиям.

Заключение

В отчете о влиянии на бизнес за 2023 год представлена суровая реальность: малые предприятия сталкиваются с растущей волной киберугроз. Хотя эти предприятия демонстрируют непоколебимую уверенность в своей способности противостоять этим вызовам, в отчете подчеркивается настоятельная необходимость в надежных мерах кибербезопасности, своевременных уведомлениях о нарушениях и внедрении передовой практики. Малые предприятия должны совершенствовать свою защиту, чтобы соответствовать меняющемуся ландшафту угроз.

В условиях роста числа утечек данных этот отчет служит призывом к действию, призывающим компании уделять приоритетное внимание кибербезопасности и защищать своих клиентов, сотрудников и репутацию в постоянно меняющемся мире.