Как пояснил в комментарии RuNews24.ru CEO страховой платформы Polis.online Андрей Креер, у небольших компаний, как правило, ограниченные бюджеты на профессиональную IT-защиту и специалистов, устаревшее или не обновляемое ПО, слабая многофакторная аутентификация и отсутствие шифрования, а также низкий уровень подготовки сотрудников по вопросам кибербезопасности.
«Такие пробелы делают малый бизнес привлекательным для киберпреступников: один фишинговый электронный адрес или небезопасная система удаленного доступа могут открыть злоумышленникам доступ к корпоративной сети и данным», — отметил эксперт.
Кроме того, по его словам, компании даже без больших баз данных обрабатывают конфиденциальную информацию: договоры, финансовые документы. Этим также можно манипулировать, например, в атаках Business Email Compromise (BEC), когда злоумышленник выдает себя за руководителя организации и вынуждает сотрудников переводить деньги.
«Экономический ущерб от кибератаки включает не только прямые затраты на восстановление систем или выкуп, но и скрытые — судебные выплаты, штрафы за нарушение защиты персональных данных, расходы на уведомление пострадавших клиентов, а также возможные потери доверия аудитории», — рассказал Андрей Креер.
Учитывая, что более половины малых компаний могут прекратить работу после серьезного инцидента, риск становится уже не техническим, а стратегическим.
Один из вариантов решения проблемы, по словам эксперта, является киберстрахование, то есть страховой продукт, который компенсирует финансовые потери, возникшие в результате цифровых угроз: от взломов и утечек до DDoS-атак, внедрения программ-шифровальщиков и социальной инженерии.
Преимущества заключаются в покрытии затрат на восстановление ИТ-инфраструктуры и баз данных, компенсации юридических издержек и штрафов, поддержке в работе с клиентами и репутационными рисками, а также помощи в кризисном управлении после инцидента.
«Важно понимать, что страховой полис не отменяет необходимость собственной защиты, но служит финансовой подушкой, если кибератака все-таки произойдет. Сосредоточение на коротких выгодах и уверенность в невозможности атаки — это стратегия, которая уже не работает. Малый бизнес должен перестать недооценивать эти риски и воспринимать киберзащиту как неотъемлемую часть управления компанией», — подчеркнул Андрей Креер.
Комплекс подходов, включающий актуальные меры безопасности и киберстрахование, помогает не только снизить вероятность инцидента, но и защитить бизнес от негативных финансовых последствий, если злоумышленникам все-таки удастся запустить цифровую атаку.