Brakujący lider cyberbezpieczeństwa w małych firmach – jak uchronić się przed atakami?

Dlaczego małe firmy są tak narażone na cyberataki?

Średni koszt cyberataku dla małej lub średniej firmy (SMB) wynosi ponad 250 tysięcy dolarów. Tymczasem pensja głównego specjalisty ds. bezpieczeństwa informacji (CISO) waha się między 250 a 400 tysięcy dolarów rocznie – wynika z raportu Sophos i Cybersecurity Ventures. Większość SMB nie stać na zatrudnienie takiego eksperta na pełen etat, dlatego często podejmują ryzyko, licząc na to, że nie padną ofiarą ataku. To niebezpieczna strategia, zwłaszcza że małe i średnie przedsiębiorstwa stanowią kręgosłup amerykańskiej gospodarki.

Cyberzagrożenia rosną – a wraz z nimi ryzyko dla SMB

Wraz z cyfryzacją gospodarki, małe firmy korzystają z tych samych narzędzi co duże przedsiębiorstwa: chmury obliczeniowej, systemów płatniczych, zdalnego dostępu, baz danych klientów i innych zewnętrznych usługodawców. Jednak bez odpowiedniego przywództwa w dziedzinie cyberbezpieczeństwa, zabezpieczenia często sprowadzają się do zestawu narzędzi, checklist i dokumentacji ubezpieczeniowej. Takie podejście może pomóc w wypełnieniu ankiety, ale nie buduje realnej odporności na zagrożenia.

Ponad połowa wszystkich zgłoszonych incydentów cybernetycznych dotyczy małych firm, a globalne straty z tego tytułu mają wzrosnąć do 12,2 biliona dolarów rocznie do 2031 roku. Przestępcy coraz częściej wykorzystują sztuczną inteligencję do automatyzacji ataków, takich jak phishing, rozsyłanie złośliwego oprogramowania czy rozpoznanie ofiar. Dzięki temu mogą skutecznie atakować mniejsze firmy przy mniejszych nakładach finansowych i mniejszych umiejętnościach technicznych.

Nowe wyzwania: ataki z użyciem komputerów kwantowych

Przestępcy gromadzą również dane szyfrowane z myślą o ich późniejszym odszyfrowaniu, gdy będą dysponować wystarczająco dużymi komputerami kwantowymi. Firmy z branży obronnej, opieki zdrowotnej i finansowej, które są częścią łańcuchów dostaw większych przedsiębiorstw, często posiadają wrażliwe dane uwierzytelniające. Niestety, większość z nich nie jest przygotowana na wdrożenie szyfrowania odpornego na ataki kwantowe.

Brakuje lidera – a wraz z nim strategii cyberbezpieczeństwa

Małe firmy zdają sobie sprawę z zagrożeń cybernetycznych, ale brakuje im odpowiedniego przywództwa. Potrzebny jest ekspert, który:

• przetłumaczy zagrożenia techniczne na decyzje biznesowe,
• ustali priorytety w zakresie bezpieczeństwa,
• przeprowadzi briefingi dla kadry zarządzającej,
• przygotuje firmę do audytów,
• będzie odpowiedzialny za współpracę z dostawcami.

Pełnoetatowy CISO to dla większości SMB zbyt duży wydatek. Rozwiązaniem może być wirtualny CISO (vCISO) – ekspert świadczący usługi zdalnie, na żądanie, obsługujący jednocześnie kilka firm. Alternatywą jest częściowy CISO (fCISO) – dedykowany, ale zatrudniany w niepełnym wymiarze czasu pracy, bardziej zaangażowany w codzienne funkcjonowanie firmy.

Jakie korzyści przynosi współpraca z vCISO lub fCISO?

Oba modele dają małym firmom dostęp do eksperckiej wiedzy z zakresu cyberbezpieczeństwa w elastycznej i bardziej przystępnej finansowo formie niż zatrudnienie pełnoetatowego CISO. Pozwalają one:

• zredukować ryzyko cyberataków,
• zyskać wsparcie w budowaniu strategii bezpieczeństwa,
• skutecznie współpracować z dostawcami zewnętrznymi,
• spełnić wymogi regulacyjne i audytowe.

Rola państwa w wsparciu cyberbezpieczeństwa SMB

Rząd powinien ułatwić małym firmom zatrudnianie częściowych liderów ds. cyberbezpieczeństwa, ponieważ rynek prywatny sam nie rozwiązuje tego problemu. Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) oraz Administracja ds. Małych Firm (SBA) mogłyby wesprzeć SMB poprzez:

• opublikowanie przewodników dla nabywców usług cyberbezpieczeństwa,
• określenie kryteriów oceny dostawców,
• przygotowanie przykładowych zakresów prac i rezultatów,
• udostępnienie studiów przypadków pokazujących, jak powinna wyglądać wysokiej jakości współpraca z vCISO lub fCISO.

Przewodniki są niezbędne, ponieważ wiele małych firm ma trudności z odróżnieniem prawdziwego lidera ds. cyberbezpieczeństwa od sprzedawcy narzędzi, konsultanta zajmującego się jedynie zgodnością z przepisami lub ogólnego dostawcy usług zarządzanych.

Na co zwrócić uwagę przy wyborze vCISO lub fCISO?

Przy ocenie potencjalnych dostawców należy zwrócić szczególną uwagę na:

• udokumentowane doświadczenie w budowaniu i prowadzeniu programów bezpieczeństwa,
• niezależność od motywów finansowych dostawców (brak powiązań z konkretnymi produktami),
• umiejętność dostosowania się do specyfiki branży i wielkości firmy.

Podsumowanie: inwestycja w cyberbezpieczeństwo to konieczność

Cyberzagrożenia dla małych firm rosną zarówno pod względem skali, jak i zaawansowania. Bez odpowiedniego przywództwa w dziedzinie cyberbezpieczeństwa, SMB stają się łatwym celem dla przestępców. Współpraca z wirtualnym lub częściowym CISO to praktyczne i ekonomiczne rozwiązanie, które pozwala zbudować realną odporność na ataki. Państwo powinno odegrać aktywną rolę w edukacji i wsparciu małych firm w tym zakresie, aby chronić je przed rosnącymi zagrożeniami cyfrowymi.