Журнал "Information Security/ Информационная безопасность" #3, 2025

По результатам исследований, в 2024 г., как и годом ранее, сохраняется тенденция роста доли утечек информа- ции из малых организаций: показатель увеличился с 18,1% до 27,8%. При этом большинство инцидентов связано с утеч- ками персональных данных – они состав- ляют 64,8% от общего числа случаев в России. Персональные данные малого и среднего бизнеса все чаще становятся мишенью злоумышленников. Кто вино- ват и что делать в первую очередь? Малый и средний бизнес зачастую находится в плену стереотипа: он, якобы, не интересует злоумышленников, охо- тящихся за персональными данными. Но, как известно, любые стереотипы рано или поздно рушатся. На глазах исчезает и этот. По статистике, в 2024 г. киберпреступники выкладывали в Интер- нет данные, утекшие преимущественно от небольших компаний. Объем таких утечек от представителей малого и сред- него бизнеса вырос в 4 раза по сравне- нию с прошлым годом. Как выяснили аналитики Kaspersky Digital Footprint Intelligence, только за I квартал 2024 г. у представителей МСБ утекли 47 млн записей данных (против 12 млн в про- шлом году) 1 . По итогам 2024 г. тренд на увеличение количества утечек из малых организаций сохраняется 2 . МСБ страдает сегодня не только от внешних угроз, но все больше – и от внутренних нарушителей, действующих преднамеренно. Анализ данных о внут- ренних инцидентах показал, что в 2023 г. 71% компаний МСБ сталкивались с попытками слива информации. В боль- шинстве случаев инсайдеры пытались передать вовне финансовую информа- цию (64%), техническую документацию (50%) и персональные данные клиентов (47%). МСБ стал привлекателен для злоумышленников Часто малый и средний бизнес – поставщик или подрядчик крупных орга- низаций, он имеет доступ к персональ- ным данных последних, но защищает их недостаточно. Крупный бизнес в послед- ние годы усилил свою защиту, а вот малые и средние организации не обла- дают достаточными знаниями и ресур- сами для полноценной защиты от кибе- ругроз, что делает их более привлека- тельными для атакующих 3 . Угрозы ПДн в МСБ усилились неслу- чайно – злоумышленникам стали оче- видны их уязвимости. Во-первых, малые и средние орга- низации недооценивают опасность угроз обрабатываемым персональным данным ("у нас малый бизнес, кому мы нужны") и не защищают ПДн. В организациях порой нет обученного ответственного за ПДн, а где-то и вовсе имеют лишь смутное представление о персональных данных. Игнорирование проблемы на фоне роста числа утечек ПДн из МСБ, статистические данные о которых при- ведены выше, – это ошибка, отрыв от реальности, а потому – опасная уязви- мость. Во-вторых, если малые и средние организации все же понимают важность обеспечения безопасности ПДн, они имеют ограниченные ресурсы: не могут позволить себе обучить ответственного за организацию обработки ПДн, обучить ИТ-специалиста основам кибербезопас- ности (а часто ИТ-специалиста и вовсе нет в штате организации), крайне редко проводят аудит систем безопасности, а о внедрении систем защиты данных нет и речи. После ускоренного перехода на онлайн-сервисы после 2020 г. они не всегда внедряют адекватные меры без- опасности. Все это упрощает несанк- ционированный доступ к информацион- ным системам персональных данных (ИСПДн), и МСБ становится слабым звеном в цепочке партнерства для круп- ных компаний. Злоумышленники выбирают цели с оптимальным соотношением затрат и потенциальной выгоды. Низкие затра- ты на атаку и высокая доходность опре- деляют сегодня тенденцию к смещению фокуса злоумышленников с крупных корпораций на субъекты МСБ. Сегодня вся ИБ-отрасль испытывает острый дефицит специалистов, и уж тем более – специалистов, которые способны орга- низовать обработку ПДн в условиях ограниченных ресурсов МСБ. В-третьих, малые и средние орга- низации зачастую плохо осведомлены (или недостаточно осведомлены) о тре- бованиях российского законодатель- ства в области ПДн. Между тем, эти требования касаются всех операторов ПДн, в том числе и МСБ. Если они и знают о таких требованиях, то выпол- няют их часто некорректно. Так, напри- мер, результаты проверок Роскомнад- зора показали, что наиболее частым нарушением обработки ПДн на сайте является отсутствие размещенного на сайте согласия на обработку ПДн, а также нарушения, связанные с некор- ректным содержанием размещенных на сайтах политик (ч. 1 ст. 18.1 152– ФЗ) 5 . Причем нарушение правил может быть не только непреднамеренным (от неосведомленности), но и маскировать- ся под намеренное принятие компла- енс-рисков. 18 • СПЕЦПРОЕКТ Персональные данные: малый и средний бизнес под прицелом лоумышленники больше не идут напролом в крупные компа- нии, они заходят с фланга через малый и средний бизнес. Утечки, штрафы, незнание закона, иллюзия “мы никому не нужны” – все это делает МСБ не просто уязвимыми, а удоб- ной точкой входа в чужую инфраструктуру. З Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва) Фото: Л. Астахова 1 https://www.dp.ru/a/2024/06/06/hakeri-perekljuchilis-s-bolshogo 2 https://www.infowatch.ru/analytics/analitika/utechki-informatsii-v-rossii-otchet-za-proshedshiy-god 3 https://www.dp.ru/a/2024/06/06/hakeri-perekljuchilis-s-bolshogo