По данным отчета «2012 NCSA/Symantec National Small Business Study», 86% руководителей компаний малого и среднего бизнеса удовлетворены уровнем защиты информации своих клиентов и сотрудников (52% респондентов удовлетворены полностью и 34% — до некоторой степени).
В то же время исследование продемонстрировало, что в секторе SMB очень слабо реализованы технические и организационные меры по обеспечению информационной безопасности. У 87% опрошенных организаций нет сформулированной политики информационной безопасности для сотрудников, работающих в Интернете, у 83% — нет плана защиты от кибератак, у 59% — отсутствует план реагирования на утечки данных, 72% — не имеют политики безопасного использования мобильных и удалённых устройств. Только 14% респондентов применяют многофакторную аутентификацию для доступа к сети, и лишь 23% — шифрование данных клиентов.
«Действительно, малый и средний бизнес отстает в плане реализации даже элементарных политик и процедур обеспечения информационной безопасности, — комментирует эксперт по вопросам информационной безопасности eScan в России и СНГ. — Это происходит из-за недостаточной информированности руководства организаций SMB об угрозах и доступных средствах защиты, а также из-за ограниченности ресурсов, направляемых SMB на создание и поддержание своих систем информационной безопасности».
Не только безопасность, но и ИТ-инфраструктура в целом в таких организациях финансируется по остаточному принципу. Основу компьютерного парка составляют устаревшие операционные системы и приложения, часто не лицензионные, и это тоже серьезная проблема, резко усложняющая любые внедрения систем безопасности.
Между тем малый и средний бизнес становится мишенью киберпреступников всё чаще. И даже если в информационной сети небольшой организации не обрабатываются конфиденциальные данные, и потому ей не «страшны» кражи информации, она может подвергнуться другим угрозам: например, выйти из строя из-за DoS-атаки или быть использованной хакерами в качестве части ботнета.
«Совершенно очевидно, что SMB не должны пренебрегать вопросами информационной безопасности, — отмечает эксперт eScan. — Малым предприятиям и домашним офисам, не имеющим, как правило, выделенного ИТ-персонала, мы советуем использовать эффективные, но простые в установке и обслуживании средства защиты. Среднему бизнесу можно уже рекомендовать более „продвинутые“ продукты, имеющие ряд дополнительных функций, таких как контроль USB-устройств и репутационные сервисы. Кроме использования технических решений, малым и средним предприятиям стоит также реализовать необходимые организационные меры и закрепить их в комплекте нормативно-распорядительных документов».