Киберпредизвикателствата пред бизнеса
Рубрика
Малкият бизнес на прицел
През последните десетилетия електронните услуги, новите технологии, информационните системи и мрежите се превърнаха в част от ежедневието ни. Животът се пренесе в глобалната дигитална среда.
Дигитализализацията засегна практически всички бизнес процеси в стопанските субекти, но ентусиазмът от повишената ефективност, беше охладен от загубите и пропуснатите ползи вследствие на кибератаки.
Проблемът с киберсигурността стана все по-актуален.
Оказа се, че удобството да сключим сделка в рамките на няколко минути с контрагент от друг континент, да организираме работа в екип на хора от целия свят без да излизат от дома си или да подадем данни за финансови отчети без да занесем в счетоводството един лист хартия върви ръка за ръка с риска да станем обект на злонамерена атака от колкото реално съществуващи, толкова и митични, човешки същества с добилото гражданственост прозвище „хакери“. Хакерите могат да имат същия произход, с ограничена само от пределите на земното кълбо география, както и потенциалните ни делови партньори.
Атаките по правило се осъществяват анонимно, случват се сякаш от нищото, но усещаме ефекта им изведнъж, като удар от мълния, а пораженията могат да бъдат по-тежки и от градушка.
Масовата нагласа сред малкия бизнес е, че това „точно на нас няма как да ни се случи“ и „какво пък толкова има да ми хакват на мене“. Като следствие се пренебрегват елементарни правила за цифрова хигиена и в бюджетите не се залагат разходи за киберсигурност.
Инцидент от миналия месец принуди хиляди засегнати да променят виждането си. Компютри с инсталирани програмни продукти на един от най-големите български производители на счетоводен и търговски софтуер, бяха подложени на атака, довела до криптиране или унищожаване на информацията в тях. Всъщност атаката беше срещу системата за управление на базата данни, с която работят продуктите, но, така или иначе, ефектът се изразяваше в загуба на информация, въвеждана месеци и години, и спиране работата на търговски обекти, поради блокиране на системата за продажби. На част от засегнатите потребители хакерите поискаха четирицифрени суми, за да декриптират данните. Нямам сведение дали някой се е възползвал от тази „услуга“. С терористи, пък били те и функциониращи в дигиталното пространство, не се преговаря, а и световният опит показва, че случаите, в които изнудвачите изпълняват обещанието си, са в рамките на десетина процента.
Станахме свидетели на остра дискусия в интернет между представители на производителя и потребители на софтуера относно вината за инцидента.
Вероятно производителят не е дал достатъчно ясни указания относно мерките за безопасност при инсталацията на продуктите и работата с базата данни, но все пак многократно е предупреждавал клиентите си, както чрез социалните мрежи, така и на семинари, да извършват регулярно архивиране.
Лично съм присъствал на няколко такива събтия на живо и съм бил свидетел каква досада се изписва по лицата на присъстващите, когато се зесегне темата за сигурността на информацията.
Миналата година организирахме безплатен онлайн семинар по киберсигурност за счетоводители и се записаха не повече от тридесет участника.
След иницидента бяхме засипани от молби да организираме нов семинар. Явно повечето хора са склонни да обърнат внимание на рисковете, едва след като се сблъскат с последствията от подценяването им.
Не знаем какви са били мотивите на хакерите в коментирания случай, но едно е сигурно – кибератаките са заплаха не само големите корпорации, но и за представителите на средния и малкия бизнес.
Нещо повече. Макар и преките материални щети от кибератаки при малкия бизнес да не са съпоставими като абсолютен размер с тези при големите организации, реализирането на идваща от дигиталния свят заплаха може да постави под въпрос съществуването на дребния предприемач.
Представете си малка счетоводна кантора с десет клиенти, на която информацията в компютрите става неизползваема точно преди сроковете за подаване на ДДС и годишни данъчни декларации. Ако не са правени архиви на външен носител (оказа се, че все още има такива случаи, въпреки предупрежденията) съществува опасност клиентите да понесат големи глоби по вина на кантората. Освен финансовите загуби, ще са необходими месеци за възстановяване на данните, а доверието в нея ще бъде сринато.
Големите компании имат възможност да отделят адекватен бюджет за техническо и технологично обезпечаване на противодействието на кибератаки и да наемат висококвалифицирани специалисти. Прилагат политики и планове за управление на риска, реакции при киберинциденти и осигуряване на непрекъсваемост на работа, така че при успешна атака негативното ѝ въздействие да бъде минимизирано и организацията бързо да възстанови обичайния си режим на функциониране. А киберзастраховки покриват финансовите щети.
Частният предприемач понася пряко последствията при киберинцидент за разлика от ръководителя на една обществена институция, където отговорността може лесно да се размие и ръководителят да се размине даже без административна санкция. Поне засега. В някой от следващите материали в рубриката ще обърнем на внимание на промените, които ще настъпят в това отношение. Ще разгледаме по-подробно и последствията от инцидент, довел до унищожаване, изтичане или загуба на достъп до информацията в следствие на хакерска атака, независимо от мащаба на бизнеса.
Нека само да допуснем, че при атака като обсъжданата, информацията не само е унищожена, но преди това е извлечена. Оттам нататък всеки получил достъп до нея ще знае кои са клиентите и доставчиците на обслужваните от счетоводната кантора бизнеси, на каква цена се осъществяват сделките, какви обороти и печалби се реализират.
Още по-неприятно е, ако изтекат и данните на персонала – имена, ЕГН, данни за деца, заболявания и т.н., което е предпоставка за сериозна санкция по GDPR и Закона за защита на личните данни.
Да бъдем реалисти. Вероятността международна хакерска групировка да акатува целенасочено малка българска фирма граничи с фантастиката.
Ако обаче фирмата е част от веригата за доставки на по-голяма организация тогава е напълно възможно да стане косвена жертва на киберармия, явно или скрито спонсорирана от неприятелска държава ( Дори и при „гореща“ война един от най-сигурните начини да победиш врага е да засегнен тиловото му осигуряване ).
Малка фирма може да стане обект на целенасочена атака и ако е част от широк кръг еднотипни клиенти на по-голяма компания. Имаше подозрения, че атаките срещу потребителите на счетоводния и търговски софтуер са направени именно с цел да ударят производителя на софтуера.
Третият много възможен вариант малка фирма да стане обект на атака е, когато ИТ инфраструктурата ѝ има търсени от хакерите уязвимости, т.е. не представлява интерес фирмата сама по себе си, а лесният достъп до информационните ѝ активи.
Не трябва за изключим и една ставаща все по-възможна хипотеза – фирмата да бъде атакувана съвсем целенасочено с основно намерение да се навреди именно и точно на нея, напр. от конкурент, бивш служител, недоволен клиент и т.н. В днешно време за това не се изискват нито задълбочени познания, нито голям финансов ресурс. Срещу минимална сума престъпни групировки биха свършили работата по модела „софтуер-като-услуга“. Не искам да давам лоши идеи, но съм длъжен да предупредя за съществуването на такава тенденция.
Каквито и да са мотивите и целите на хакерите, малкият и среден бизнес трябва да е наясно, че оцеляването и развитието му все повече ще зависят от киберсигурността. Както отделя ресурси за физическа охрана на материалните си активи, така трябва да се погрижи и за сигурността в дигиталното пространство, защото инцидентите в него носят последствия и в реалния живот.
За целта следва да отдели ресурси за изграждане на надеждна информационна инфраструктура, консултиране със специалисти и обучение на персонала.
Дори и основните бизнес процеси да не са дигитализирани, най-малкото финансово-счетоводната дейност е уязвима от заплахите в дигиталната среда. В този смисъл, при наемането на външен изпълнител на дейностите по счетоводство и управление на персонала трябва да се търси не най-ниската цена, не само качество на самата услуга, но и да се изискват мерки за сигурност на информацията.
Законодателството в областта на киберсигурността невинаги включва в обхвата си малкия и среден бизнес, но пък заедно със стандартите в тази област е добра основа за налагане на добри практики за киберсигурно функциониране на всяко предприятие.
Свързаната с киберсигурността нормативна база ще бъде обект на отделна статия от поредицата „Киберпредизвикателствата пред бизнеса“.
Йонко Бояджиев,
Фондация Киберсигурно.БГ