Поделиться
Риски инцидентов информационной безопасности при использовании открытого ПО выше у малого и среднего бизнеса
Интегратор решений и поставщик сервисов для информационной безопасности «Кросс технолоджис» фиксирует значительный рост рисков инцидентов информационной безопасности для малых и средних предприятий в связи с использованием открытого программного обеспечения (open-source). При этом по данным недавних исследований, 77% компаний в России называют open-source серьезной альтернативой проприетарному программному обеспечению. Об этом CNews сообщили представители «Кросс технолоджис».
Малый и средний бизнес (МСБ) часто сталкивается с повышенными рисками инцидентов информационной безопасности при использовании открытого программного обеспечения (ОПО). Это связано с рядом факторов, которые делают их уязвимыми перед киберугрозами.
Одной из ключевых проблем является ограниченность ресурсов, выделяемых на безопасность. В отличие от крупных компаний, МСБ редко имеет возможность содержать постоянных специалистов по информационной безопасности, которые могли бы отслеживать появление уязвимостей, своевременно применять обновления и проводить аудит кода. Отсутствие выделенной команды DevSecOps приводит к тому, что вопросы безопасности отходят на второй план.
Дополнительный риск создает недостаточный уровень квалификации сотрудников. В небольших компаниях редко есть эксперты, способные анализировать исходный код открытого ПО, выявлять потенциальные угрозы и корректно настраивать системы. Нередко администраторы просто не успевают разбираться во всех тонкостях или не обладают достаточными знаниями, чтобы обеспечить безопасное использование программного обеспечения.
Значительную опасность представляют задержки с обновлениями. Открытое ПО требует регулярного обновления, так как его уязвимости быстро становятся известными злоумышленникам. Однако в малом бизнесе обновления часто откладываются из-за опасений нестабильности или возможных проблем с совместимостью. В результате организации работают на устаревших версиях, оставляя свои системы без защиты.
Нередко МСБ использует неподдерживаемые решения, которые больше не получают исправлений безопасности. Причина этого – отсутствие четкого контроля за используемым ПО и зависимость от старых версий, которые могут оказаться критичными для работы бизнеса. Такие системы представляют собой серьезную угрозу, так как их уязвимости остаются открытыми для атак.
Большое количество инцидентов также связано с ошибками конфигурации. Открытые системы, такие как базы данных, веб-серверы и контейнерные платформы, требуют грамотной настройки. Часто администраторы забывают отключить дефолтные учетные записи, устанавливают слабые пароли или оставляют критически важные сервисы доступными из интернета. Все это создает благоприятные условия для атак.
Еще одной слабостью является зависимость от сторонних разработчиков. Небольшие компании нередко привлекают фрилансеров или небольшие аутсорс-команды, у которых уровень компетенции в вопросах безопасности может существенно различаться. Это увеличивает вероятность использования уязвимого или даже намеренно вредоносного кода.
Помимо всего прочего, у малого бизнеса зачастую отсутствуют системы мониторинга и реагирования на угрозы. В отличие от крупных компаний, у которых есть Security Operations Center (SOC) и системы обнаружения атак (SIEM), в небольших организациях кибер-инциденты обнаруживаются уже после того, как они нанесли ущерб. Это делает их легкой мишенью для злоумышленников.
«Специалисты ИБ уже давно призывают компании уделять внимание вопросам информационной безопасности, инвестируя в квалифицированные кадры и современные решения. Безопасность не должна быть второстепенной задачей – это основа устойчивого и успешного бизнеса. Использование open source решений не является отягчающим фактором в случае инцидента информационной безопасности, если нет требований ФСТЭК к использованию сертифицированного ПО. Однако, мы уже наблюдаем инициативы, согласно которым применение сертифицированных решений может стать смягчающим фактором, демонстрирующим, что компания сделала все возможное для обеспечения безопасности. Пока эта инициатива не закреплена законодательно, но мы уверены, что такой подход поможет более четко распределить ответственность в случае кибератак», – сказал исполнительный директор «Кросс технолоджис» Лев Фисенко.
Поделиться
Короткая ссылка
