Топ-5 самых частых ошибок кибербезопасности российского бизнеса по версии экспертов Тинькофф
реклама
Специалисты Тинькофф Бизнес опубликовали отчет о наиболее частых ошибках по части информационной безопасности, характерных для российского бизнеса. Тинькофф Бизнес представляет целую экосистему продуктов и сервисов для бизнеса, которой пользуются в настоящее время более шестисот тысяч российских предпринимателей и компаний разной величины.
реклама
Рассматривались примеры, наиболее характерные для секторов малого и среднего бизнеса разных отраслей. В выборку для анализа попало огромное количество сайтов компаний, свыше 40.000. Всего было классифицировано два десятка наиболее распространённых типовых ошибок, в основном, связанных с доменами, базами данных и шифрованием. По мнению экспертов «Тинькова», чуть менее, чем в половине из таких случаев, обнаруженные бреши в системе безопасности сайтов позволяют злоумышленникам поставить их функционирование под угрозу и реализовать различные мошеннические схемы, в том числе, украв базы данных компании.
У 46% компаний были обнаружены проблемы с информационной безопасностью, при этом, 44% уязвимостей приходится на фирмы, занимающиеся консультационными услугами (17%), розничной торговлей (14%) и, как ни странно, информационными технологиями (13%). Далее в зоне риска идут прочие организации из сферы услуг (13%) и оптовая торговля (11%). А у каждой пятой компании из общего числа имеется сразу несколько "слабых мест".
На основании этого, специалисты сформировали список из пяти наиболее частых уязвимостей и дали рекомендации по их устранению.
реклама
1. Неподтвержденный адрес сайта, отсутствие верификации домена, адреса сайта. Самая распространенная брешь в безопасности компаний сектора малого и среднего бизнеса, присутствующая у трети компаний – 34% от общего числа участвующих в выборке. Заключается в том, что владельцы компании не подтвердили, что адрес сайта компании принадлежит непосредственно данной компании. При этом, потенциальный «кибертеррорист» может успешно заявить свои права на данный сайт и его адрес, в случае успеха "украв" его у компании. Чтобы это предотвратить, необходимо заблаговременно обратиться к регистратору в письменном виде, подтвердив свои права на данный домен.
2. Незащищенные базы данных. Встречается чуть чаще, чем в четверти случаев (27%) у предприятий малого и среднего бизнеса. Хакер может украсть базу данных, используя различные ошибки сайта, если она открыта и для доступа к данным придется только подобрать нужный логин и пароль. В случае успеха всех этих манипуляций, сведения о сотрудниках компании, её клиентах, конкретных заказах и суммах сделок могут использоваться далее в мошеннических целях. Специалисты Тинькофф Бизнеса предлагают предпринять целый комплекс мер, который усложнит данную задачу злоумышленникам: закрыть порт базы данных, использовать сложные пароли, включить фильтр IP-адресов, которые могут получать доступ к базе данных. Желательно также, чтобы доступ к базе имели только непосредственные владельцы и руководители компании и узкий круг доверенных лиц.
3. Ошибка сертификата безопасности SSL. Данный сертификат позволяет работать по протоколу безопасного соединения HTTPS и подтверждает, что сайт реально принадлежит указанной организации. В 15% рассмотренных случаев сертификат оказался не соответствующим актуальному домену, что делало работу с сайтом потенциально не безопасной, увеличивая риски перехвата данных. Специалисты рекомендуют своевременно перевыпускать сертификат SSL.
4. Плохая защита от шифровальщиков. В случае получения доступа к информационным ресурсам компании, хакер может зашифровать некоторые данные, сделав их недоступными для дальнейшего использования, а затем вымогать выкуп за их расшифровку. Данной угрозе оказались подвержены 9% организаций малого и среднего бизнеса. Решение проблемы – закрыть порты и, без крайней необходимости, не открывать их.
реклама
5. Просроченный SSL-сертификат. Когда срок действия сертификата истекает, браузер начинает наглядно сообщать об этом зашедшим на сайт пользователям, что подрывает их доверие к ресурсу и отбивает желание им пользоваться, особенно, совершать заказы через него и вводить личные данные. Это приводит к потере клиентов и потенциальной прибыли 7% компаний сектора.
К относительно редким уязвимостям специалисты отнесли те из них, которые связаны с удаленным управлением корпоративными серверами – чуть более 5% от общего числа.
Отмечается, что для клиентов Тинькофф Бизнеса доступна возможность бесплатно провести анализ информационных ресурсов на предмет наличия уязвимостей, для чего нужно оставить заявку в чате мобильного приложения. Итогом проверки специалистами сервиса будет готовый отчёт с рекомендациями по решению выявленных проблем.
В оформлении статьи использована инфографика, предоставленная Тинькофф Бизнес и кадр из клипа Axel Thesleff "Bad Karma"
реклама
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Комментарии Правила