Бери что хочешь: с какими кибератаками сталкивается малый бизнес
Недавно мы рассказали об основных стереотипах, из-за которых малый и средний бизнес не хочет вкладываться в свою защиту. Отговорок и причин немало, но основная — непонимание опасности, которая ждёт компании в цифровом пространстве.
Давайте разберём основные виды киберугроз, с которыми может столкнуться малый и средний бизнес. Не все из них состоят из строчек кода — порой достаточно невнимательности сотрудников или некорректно настроенных доступов.
Открытые корпоративные сервисы
Как вору легче всего зайти в ваш дом? Через дверь. Облачные сервисы и документы быстро стали частью бизнес-процессов, но работать с ними пока научились не все. Поисковые системы индексируют всё, что происходит онлайн, даже якобы «закрытые» корпоративные группы: так, почти все публичные доски российских компаний в канбан-сервисе Trello оказались в открытом доступе. Чтобы получить внутренние данные вашей компании, не нужно быть хакером — достаточно воспользоваться гуглом.
О том как нужно решать проблемы с крышеванием малого бизнеса.
Слив данных
Самая страшная угроза — та, про которую вы даже не знаете. Хакеры используют разные инструменты, от социальной инженерии до банального взлома, чтобы получить доступ к информации вашего бизнеса. Мы уже писали о том, что интеллектуальная собственность компании может принести больше денег, чем физическое имущество — поэтому всё больше мошенников работают тонко и охотятся за внутренней информацией.
Программы-вымогатели
Тут всё просто: данные и доступ к информации блокируются, а на весь экран выводится сообщение с суммой и номером кошелька. По факту, это кибер-шантаж: и как с офлайн-шантажом, единственное правило — не платить. Чаще всего, информация на жёстком диске не шифруется: это требует немалых усилий со стороны хакеров, которые они прилагать не любят. Поэтому хороший антивирус поможет предупредить подобную ситуацию, а грамотный специалист по кибербезопасности — решить.
Атаки на сайт
Самые частые кибератаки в секторе МСБ — это DDoS и дефейсы сайта. Первое — это массированная атака на сайт вашего бизнеса, цель которой «положить» ваш сайт и вывести его из работы. Дефейс — это взлом сайта напрямую и изменение информации на страницах. Такая атака может быть либо просто раздражающей (когда главную страницу меняют на рекламу или порочащую честь афишу), либо очень вредной — когда на сайте незаметно меняют реквизиты или контактные данные. Так можно потерять не только деньги, но и доверие пользователей.
Фишинг
Вид атаки, когда злоумышленник притворяется другим, чаще всего «полезным» или приятным, сервисом: например, промо-акцией в магазине или сайтом госуслуг. Иногда фишинговые сайты дублируют текущие страницы внутреннего сайта компании: например, окно логина. Задача фишингового сайта простая: сподвигнуть пользователя оставить свои данные. Необязательно номер карты: порой корпоративного адреса почты или пароля достаточно, чтобы получить доступ к внутренним сервисам бизнеса.
Правила успешных стартапов. Собственный бизнес. Малый бизнес. Стартап | Бизнес Конструктор
Вообще, видов кибер-атак гораздо больше, и сами они становятся всё изощрённее. Но не используйте этот факт как оправдание: не стоит обвинять хакеров в том, что пароль от вашей онлайн-бухгалтерии записан у вас на стикере. На любой ключ найдётся надёжный замок, и начинать стоит с главного: с кибербезопасности вашей компании.
Источник: b2b34.ru
X Международная студенческая научная конференция Студенческий научный форум — 2018
О ПРОБЛЕМАХ ИСПОЛЬЗОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ В МАЛОМ БИЗНЕСЕ
Потылицин И.А. 1
1 Сибирский Федеральный Университет
Работа в формате PDF
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке «Файлы работы» в формате PDF
Как известно, малый бизнес является одним из важнейших секторов современной экономики, влияющий на такие экономические аспекты, как экономическая стабильность, развитие, и в целом состояние экономики страны во многом зависит от того, насколько хорошо развита эта область. Важно отметить что на развитие малого бизнеса влияет множество факторов, например, экономическая ситуация в стране, поддержка со стороны государства, достаточна она или нет, и многое другое. Ни для кого не секрет, что в современном мире абсолютно все сферы деятельности связаны с использованием тех или иных информационных технологий, систем, и малый бизнес не исключение. Нельзя не отметить, что ИТ технологии во многом обеспечивают развитие и процветание этого экономического сектора, помогают малым предприятиям стать конкурентно-способными и быстро приспосабливаться кконъюнктурным изменениям, меняющимся потребностям и вкусам потребителей.Но внедрение и использование информационных систем и технологий в малом бизнесе не лишено проблем, о которых далее и пойдет речь.
Исследования показали, что предприятия малого бизнеса зависят от IT-технологий не меньше чем крупные фирмы и корпорации, но, тем не менее, IT-специалистов в них гораздо меньше. При этом обычно их роль заключается в обеспечении работы технологической составляющей предприятия, когда в крупных фирмах IT-специалисты, в свою очередь, занимаются реализацией бизнес-стратегий, идей, помогают сформировать базу знаний, бизнес-процессов и т.д.
Выше сказанное в совокупности с неоднозначным отношением предпринимателей к информационным системам, зачастую с нежеланием признать необходимость внедрения их в свой бизнес, необходимости их модернизации, и является одной из главных проблем внедрения и использования информационных систем и технологий в малом бизнесе. Но и это лишь вершина айсберга. Было бы глупо не учесть неравномерное развитие экономики страны, например, если в крупных городах информационные системы в малом бизнесе являются неотъемлемой частью, для примера, повсеместно используются информационные системы, автоматизирующие деятельность операторов, осуществляющих прием заказов, что наиболее актуально для предприятий, занимающихся доставкой товаров, то в деревнях и прочих маленьких поселениях предприниматели зачастую ограничиваются установкой терминалов оплаты и калькулятором, а весь учет и анализ происходит «на коленке». Все это обусловлено «малым» масштабом деятельности каждого конкретного малого предприятия и ограниченностью располагаемых материальных, трудовых и финансовых ресурсов, ведь интеграция и развитие информационной системы требует довольно крупных затрат, которые далеко не каждый предприниматель себе может позволить. Нельзя обойти стороной и то, что важные особенности малого бизнеса – многовекторность и узкая специализация, а так же высокие риски и склонность к быстрой смене деятельность, что, в совокупности с противоречивыми требованиями, предъявляемыми предпринимателем к ИС, выражает необходимость внедрения специализированных программных средств, которые не являются массово тиражируемыми и разработка которых требует довольных больших затрат.Так же важно упомянуть, что зрелость IT-инфраструктуры предприятий малого бизнеса в значительной степени зависит от информационной насыщенности бизнеса, от численности специалистов, занятых работой в информационной сфере, парка компьютеров и оргтехники, а также от степени формализации процессов управления.
Для решения вышеперечисленных проблем принимаются различные меры, о которых и пойдет речь далее. Одним из перспективных направлений в решении проблемы формирования зрелойIT-структуры предприятий малого бизнеса является использование облачных сервисов: Инфраструктура как услуга (SaaS), Коммуникация как услуга (CaaS) и др. Использование облачных сервисов должно обеспечить сокращение затрат на информационные технологии, сопровождение информационных систем, а также достаточно быстрый доступ к востребованным ресурсам при решении различного рода информационных задач и отказ от них при исчезновении потребности, прозрачность и предсказуемость расходов, повышение мобильности персонала, занимающегося информационной работой. Но и такой способ решения данных проблем не лишен ограничивающих факторов, связанных с информационной безопасностью, обеспечением конфиденциальности данных, а также проблемой доступа к сети интернет в некоторых уголках страны.Еще одним способом решения некоторых проблем является разработка простых приложений для автоматизации определенных бизнес-процессов с помощью доступных инструментальных средств, к примеру, с помощью MSOfficeVBA. Это позволит частично исключить потребность некоторых малых предприятий в высококвалифицированных специалистах IT-сферы, а также позволит существенно снизить затраты.
Исходя из вышесказанного можно сделать вывод, что причины возникновения проблем использования ИС в малом бизнесе, о которых и шла речь в данной статье, разнообразны, но все они связаны с экономическим положением в стране, спецификой малого бизнеса, бизнес-стратегией, которой придерживается предприниматель, а также со степенью развитости IT-сферы в стране, и решить их возможно только при совместных усилиях предпринимателей и государства.
Источник: scienceforum.ru
Софт для малого бизнеса: что может пойти не так?
Малый и средний бизнес тяжело решается на внедрение корпоративного программного обеспечения, но именно он быстрее всех ощущает эффект: в таких компаниях проще сделать удачное внедрение, обучить сотрудников и быстро выйти на рост продуктивности (или не выйти и отказаться). Однако всегда что-то может пойти не так — в любой внешней и внутренней ситуации, по не зависящим от самой компании причинам. И пока большие корпорации переживательно, но уверенно ищут многомиллионные альтернативы многомиллионным решениям, маленькие компании борются с трудностями, которые ежедневно уносят деньги. Это может случиться в любой день, и лучше знать, какие потенциальные проблемы ждут небольшие компании.
Начнём с главного. Безопасность
В далёких 2007-2010 годах, даже в крупных компаниях, одной из основных проблем безопасности было чрезмерное любопытство сотрудников, на втором месте — их шаловливые ручки, на третьем — попытки скомпрометировать данные или продать коммерческую информацию конкурентам. После 2010 года информационная безопасность компаний стала охватывать всё больший диапазон задач: и вот сегодня, весной 2022 года, компании должны оценивать внутренние, внешние, страновые и геополитические риски. Раньше это казалось сюром, если вы не «Газнефтьлеспром», а компания малого или небольшого среднего бизнеса. Сегодня одним из критичных моментов стал вопрос сохранения важнейших данных и накопленных баз.
Итак, рассмотрим вопрос безопасности более детально.
На первом месте рисков безопасности — поставщики услуг и программного обеспечения. Мы все знаем, что крупный бизнес столкнулся с проблемами, связанными с сервисами больших международных IT-компаний. Но мы в своём рынке малого и среднего бизнеса видим то, что незаметно в шуме новостей: отказ от обслуживания, кратный рост цен на важные IT-продукты и даже матерные рассылки с прямым указанием того, что клиенты больше обслуживаться не будут, сервера и инфраструктура будут выключены, а «данные будут использоваться». Бэкапы тоже не выдаются. По сути, многие компании столкнулись с ахиллесовой пятой облачных сервисов: их можно отключить быстро и без предупреждения, при этом данные клиента остаются на «погашенных» серверах, там же могут быть и бэкапы (если компания слишком доверилась вендору).
Это ужасно, потому что встаёт оперативная работа простых компаний, в которой работают сотни и тысячи человек. Кстати, если вы попали в число таких «брошенных» клиентов, мы готовы вас обеспечить отличным ПО на классных условиях (подробности в конце статьи) — уверены, что в кризис каждая компания должна сделать для других всё, что для неё возможно и посильно. И да, наша CRM-система — серверная, on-premise, то есть все ваши данные хранятся на ваших же серверах (или на выбранных вами надёжных VPS) и полностью принадлежат вам. Это преимущество оценили многие клиенты и оно действительно отлично встраивается в контур информационной безопасности.
Но я совру, если скажу, что такое поведение поставщиков ПО что-то из ряда вон выходящее в особых условиях. Нет, буквально за несколько лет мы видели и принудительные отключения от бесплатного тарифа, и погасшие на пару дней сервера, и утечки данных, и смену тарифа в одностороннем порядке, и радикальное обновление систем без уведомления (вплоть до смены функциональности), и бекапы и дамп базы из облака за деньги. Такое бывает в компаниях, которые любят «переменять концепции» развития и роста на лету. Страдают, конечно, клиенты и, что особенно важно, конечные пользователи — ведь они испытывают проблемы непосредственно с рабочим инструментом.
Но и это не всё. Поставщик может внезапно исчезнуть или прекратить своё существование (особенно если это дилер вендора с «диверсифицированным» бизнесом). Вы будете звонить по номеру, который пару месяцев назад бомбил вас феерически красивыми презентациями и обещаниями, а в трубке будет абонент не абонент. Поэтому выбирайте либо непосредственно разработчиков систем (их на российском рынке немало, более того, есть даже не известные, но старательные и качественные), либо надёжных партнёров, проверяя опыт в отрасли, обсуждая реальные сценарии использования и обговаривая каждый пункт будущих работ (партнёры вендора могут любой ценой добиваться вашей оплаты, но при этом не иметь должных компетенций). Вы никого не обидите, если будете внимательно относиться к выбору поставщика.
Сотрудники всегда были риском номер один, но теперь они на втором месте. Это могут быть злонамеренные действия, неосторожность, халатность или простая лень — корневая причина не имеет никакого значения, если данные ваших клиентов утекают в сеть и продаются пачкой или оказываются у конкурентов, которые в большинстве случаев не побрезгуют даже самой скромной базой на пару сотен записей.
- По-прежнему уязвимы пароли, которые слабо защищены, не контролируются и хранятся как попало.
- Сотрудники компании — простые и доступные жертвы фишинга и других примитивных атак (вплоть до звонков), которые способствуют взлому баз данных компании, если у неё нет более или менее путной политики безопасности.
- Слишком много сотрудников имеют доступ ко всем критическим данным компании — это наблюдаем и мы, и, например, наши сотрудники, которые до этого работали в облачных сервисах. В малом бизнесе вообще распространена философия доверия, когда каждый сотрудник получает все доступы, «потому что мы семья». Не хочу сгущать краски, но бывает так, что в семье не без урода.
- Часто нет одного сотрудника, отвечающего за информационную безопасность и выстраивающего весь контур. «Авось» приносит свои плоды — рано или поздно. Ну, к слову, наличие такого сотрудника тоже своего рода значительный риск, однако без него количество рисков даёт мультипликативный эффект.
- Разрешена установка любого ПО на рабочие компьютеры. Это фатальная ошибка, которая (пока что, да скорее всего, и потом) приводит к неприятным визитам правоохранительных органов (если с вами это ещё не случилось, не значит, что вы никому не интересны), сокращает долю эффективного рабочего времени и приносит потенциальные дыры в безопасности.
И уже только на третьем месте идут конкурентная разведка, атаки, взломы, преднамеренные и случайные действия злоумышленников и проч. Проблема в том, что перед ними все равны, а сами атакующие зачастую на 1-2 шага опережают развитие объектов атаки. И это проблема, которую нам, современным айтишникам, решать, причём на любом уровне — безопасникам и сисадминам скучать не придётся.
Кривое управление ИТ-активами — путь в никуда
Когда ты ИТ-компания, проблема кажется надуманной: любой профильный сотрудник может работать с инфраструктурой, настраивать оборудование, решать внутренние проблемы и обслуживать заявки сотрудников. Однако пользователями ПО для бизнеса часто являются неайтишные компании, в которых даже не всегда есть штатный системный администратор. Без должного внимания и управления проблемы ИТ-зоопарка компании накапливаются.
- Работают устаревшие решения, которые давно позабыты разработчиками, не обновлялись или просто не соответствуют потребностям компании. По сути, они отъедают ресурсы и деньги, но на самом деле практически не работают, потому что уж не актуальны и не удобны. От таких токсичных ИТ-активов нужно избавляться и заменять их на нужные, оптимальные решения.
- Не соблюдается лицензионная чистота и, как следствие, компания подвергается правовому риску и в любой момент может налететь на серьёзные штрафы. Кстати, иногда именно сотрудники «тащат» нелицензионное программное обеспечение на свои рабочие ПК (из необычного, что приходилось видеть — полные пакеты средств для обработки фото и видео и целые коллекции игр).
- Нет дорожной карты работы с парком программного обеспечения: не контролируются обновления, не ведутся доработки, не проходит оптимизация всего ПО. Фактически в компании работает куча разрозненных программ. Это неправильно: практика планирования и бюджетирования ИТ-инфраструктуры в малом и среднем бизнесе не такая сложная, но зато экономит и деньги, и труд, и силы.
- Не проводится аудит установленных систем. О важности аудита можно почитать в недавней статье.
ИТ-услуги должны управляться — и в кризисное время особенно тщательно. Компания может обратиться к аутсорсинговой компании, нанять штатного сотрудника для управления ИТ-активами или воспользоваться помощью разработчиков систем (как переходный вариант), они вам тоже не откажут. Но нужно понимать, что все три варианта платные, и эта плата зачастую стоит всей оперативной работы и сохранности данных.
Лебедь, рак да щука — когда бардак им всем на руку
Если в компании есть даже не отдел, а хотя бы один маркетолог и один продажник, вы можете с высокой вероятностью увидеть подковёрную (а иногда и вполне себе открытую) борьбу этих двух сотрудников. В основе конфликта лежит непонимание методов и подходов в работе друг друга, но и ПО нередко становится яблоком раздора: начинается закрытие доступов, борьба за данные, ругань из-за формата и полноты представления данных в корпоративных системах. Каждый тянет одеяло на себя и пытается доказать, что только он здесь аналитик, а остальные ламеры.
Когда знания одних и тех же отделов разрознены, ситуация может показаться непрозрачной, а работа будет несогласованной, сумбурной. Естественно, с каждый рабочим конфликтом ситуация будет только ухудшаться. В то же время корпоративный софт, например, CRM или BI-система, должны быть центром бизнеса, аккумулирующим всю информацию. Важно следить, чтобы ни один сотрудник не игнорировал работу с ИТ-системой и не «уходил» работать в цепочки писем электронной почты и в дебри электронных таблиц. Если каждый будет хранить рабочую информацию там, где ему удобно, внедрение корпоративных информационных систем не сработает.
Бизнес меняется, а софт — нет
Особенно это касается CRM и ERP-систем, с которыми работает большая часть сотрудников компании. Реальность такова, что система должна быть способной меняться вместе с вашим бизнесом: масштабироваться, развиваться, обновляться и наращивать возможности. На современном российском рынке есть три основных группы решений.
- Кастомизируемые и масштабируемые внутри самой системы (к таким относится RegionSoft CRM) — то есть такие приложения, которые могут дорабатываться силами вендора или штатного программиста под узкие задачи пользователей, имеют настраиваемые отчёты, формы, печатные формы, различные конструкторы, например, конструктор калькулятора, KPI или бизнес-процессов. Это удобные для развертывания, настройки и изменения системы, которые можно адаптировать к потребностям бизнеса даже в том случае, если сегодня компания продаёт бетон, завтра становится типографией полного цикла, а послезавтра начинает делать салаты навынос и печь пирожки.
- Системы, масштабируемые и кастомизируемые за счёт аддонов, сторонних приложений и интеграций. В каком-то смысле это тоже удобный вариант: компания может подключать или отключать любой «обвес» исходя из потребностей. Но это довольно дорогая история: вы платите не только за саму систему, но и за каждый аддон и каждое внешнее приложение (абонентская плата по модели SaaS). Конечная сумма получается далеко не та, которую мы видим в тарифах на сайтах. Ну и вновь, увы, стоит вспомнить о больном месте облачных сервисов: любой аддон или приложение могут перестать работать не только по объективным причинам, но и просто по прихоти его разработчика.
- «Жёсткие» системы, которые поставляются с набором возможностей, который практически никак нельзя кастомизировать и даже модифицировать. Причём такие системы есть как среди старых, почти уже заброшенных решений, так и среди вроде как актуальных облачных. Такая ситуация — следствие экономии на разработке. Кстати, забавно, что нередко именно у таких систем довольно агрессивный и провокационный маркетинг. А вот цена — на уровне первых двух групп, а порой и выше.
Поэтому, выбирая CRM или ERP, планируйте своё дальнейшее развитие, думайте о следующих шагах вашего бизнеса, о перспективах набора или сокращения персонала. В процесс выбора обозначьте планы вендору, чтобы он мог предусмотреть масштабирование системы и дал бы вам точную информацию о её потенциальных возможностях на перспективу.