Ошибки кибербезопасности, которые совершают технологические стартапы, по мнению эксперта

Если есть что-то одно, что ваш технологический стартап должен вынести из 2025 года, так это то, что ни один бизнес не является слишком малым, чтобы стать мишенью для киберпреступников. На самом деле, малый и средний бизнес сейчас является более привлекательной перспективой для программ-вымогателей, чем устаревшие предприятия, из-за их ограниченных ресурсов и ценных данных клиентов.

Часто стартапам не хватает знаний или ресурсов, необходимых для принятия правильных решений на ранних этапах своего бизнеса. Мы связались с экспертом по IT-безопасности, который часто работает с технологическими стартапами, чтобы получить представление о том, что нужно знать бизнесу, когда он только начинает.

Гэри Пауэр, операционный директор и директор по обслуживанию клиентов в Power Consulting(новое окно), имеет 25-летний опыт работы в индустрии IT-аутсорсинга. Power Consulting тесно сотрудничает с предприятиями всех размеров во всех отраслях, предоставляя услуги, включая управляемые IT-услуги, стратегическое планирование IT, а также аудит и услуги по кибербезопасности.

Мы поговорили с Гэри, чтобы понять, где технологические стартапы совершают ошибки на ранних этапах своего бизнеса.

Ваш бизнес не слишком мал для мер кибербезопасности

Используя нашу Обсерваторию утечек данных, Proton отслеживал утечки бизнес-данных в даркнете, чтобы понять, на кого нацелены хакеры и как взламывают предприятия. Мы обнаружили 794 утечки, в общей сложности более 300 миллионов утекших записей, и стало очевидно, что небольшие организации все чаще подвергаются риску.

Ваш бизнес может выиграть от изучения того, как и почему другие компании пострадали от утечек данных. Инсайты, полученные из Обсерватории утечек данных, а также наши рекомендации по кибербезопасности для технологических стартапов можно найти в нашей последней электронной книге Утечки, которые сломали 2025 год.

Скачать электронную книгу

Будь то недостаточное управление учетными данными или неспособность использовать защитные меры, такие как сквозное шифрование, похоже, что малый и средний бизнес совершает критические ошибки в своих методах обеспечения безопасности. И если малый бизнес останется уязвимым для киберугроз, это в конечном итоге нанесет ущерб отраслям и инновациям во всем мире, ограничив рост бизнеса.

Гэри отмечает, что ключевой частью адекватной защиты вашего бизнеса является изменение вашего мышления, когда речь идет о мерах безопасности, которые вы применяете.

«На раннем этапе основатели обычно задают реактивные вопросы, такие как

Вместо того чтобы пропускать шаги по мере становления вашего бизнеса, инвестируйте с самого начала в свою кибербезопасность. В конце концов, как говорит Гэри: «Самые успешные основатели понимают, что безопасность — это инструмент, а не препятствие».

Устаревшие инструменты не являются автоматически безопасными

Когда приходит время выбирать инструменты, такие как решения для электронной почты, хранилища и менеджера паролей, которые будет использовать ваш бизнес, ваш выбор имеет большое значение. Гэри предостерегает от предположения, что популярные и современные решения автоматически будут самым безопасным вариантом.

“Самое большое слепое пятно — это предположение, что безопасность «подразумевается», поскольку используются современные инструменты или облачные платформы. Основатели часто полагают, что Microsoft 365, Google Workspace или AWS автоматически означают безопасность. На самом деле большинство утечек происходит из-за неправильной настройки, слабого контроля личных данных, плохой гигиены доступа и отсутствия мониторинга, а не из-за экзотических хакерских методов.”

Это может звучать не позитивно, но это так: гораздо сложнее предсказать и предотвратить сложные методы взлома, чем выстроить надежные методы управления личными данными и мониторинга в вашей сети. Проблемы, которые выделяет Гэри, можно решить с помощью следующего:

• Тщательные методы безопасности веб-приложений, которые позволяют вам выявлять и смягчать потенциальные угрозы для вашей среды.
• Меры по управлению личными данными, такие как единый вход (SSO) и двухфакторная аутентификация (2FA), которые защищают вашу корпоративную сеть, делая доступ к ней проще и безопаснее для членов команды.
• Мониторинг даркнета — полезный инструмент, который может информировать вас, если какие-либо данные вашего бизнеса появятся в даркнете, позволяя вам действовать быстро и предотвратить утечку данных.

Человеческая ошибка — серьезная угроза

Не имеет значения, безопасны ли ваши инструменты, если они не используются безопасно. Человеческая ошибка на самом деле является одной из самых больших угроз кибербезопасности вашего бизнеса. Поверхности атак растут экспоненциально из-за сложности современных корпоративных сетей, требуя от членов команды создания десятков аккаунтов с уникальными паролями и потенциального доступа к этим аккаунтам со своих личных устройств.

«Еще один серьезный промах — недооценка человеческого риска: фишинг, повторное использование учетных данных и неуправляемые устройства обычно являются входной дверью».

Эти риски можно объяснить недостаточной осведомленностью о кибербезопасности и нечеткими ожиданиями относительно того, как или может ли осуществляться доступ к вашей корпоративной сети через личные устройства членов команды. К счастью, их можно легко устранить с помощью двуединого подхода политик и обучения:

• Обучение в масштабах всей компании о том, как распознавать фишинговые мошенничества и другие типы вредоносных программ(новое окно), поможет каждому члену команды защитить вашу корпоративную сеть
• Политика удаленной работы и политика использования личных устройств (BYOD), если это актуально для вашего бизнеса
• Безопасный корпоративный менеджер паролей гарантирует, что ваши политики паролей соблюдаются, а конфиденциальные учетные данные хранятся в центральном месте и при необходимости ими можно безопасно делиться.

«Ранние решения становятся постоянными стандартами», — говорит Гэри. «Модели личных данных, местоположения данных, доступ администратора и стандарты устройств невероятно трудно отменить позже — особенно когда в дело вовлечены клиенты, инвесторы и регуляторы. Долг по безопасности накапливается так же, как и технический долг. Гораздо дешевле и менее разрушительно установить хорошие ограждения на раннем этапе, чем переоборудовать средства контроля после утечки, провала аудита или отказа в киберстраховании».

Основы безопасности важнее инструментов

Инструменты — не единственное соображение, которое должны учитывать компании при выходе на рынок. Ваша ИТ-инфраструктура будет определять, насколько безопасно могут работать члены команды, насколько хорошо вы можете выявлять риски и как быстро вы можете устранять проблемы.

Гэри объясняет, как эксперты Power Consulting подходят к настройке инфраструктуры ИТ и кибербезопасности для стартапов. «Мы фокусируемся на основах, прежде чем переходить к блестящим инструментам».

• Настройте строгие политики управления личными данными и доступом, включая MFA и «наименьшие привилегии», что означает, что люди должны иметь доступ только к тем системам, которые им нужны.
• Защитите свои конечные точки, включая личные устройства сотрудников, с первого дня. Программное обеспечение для управления устройствами может помочь вам отслеживать, кто входит в вашу сеть и где.
• Используйте централизованное ведение журналов и мониторинг, чтобы такие проблемы, как несанкционированный доступ или утечки аккаунтов, не оставались незамеченными.
• Подготовьтесь к событию с помощью надлежащих инструментов резервного копирования и восстановления, таких как неизменяемые резервные копии (которые нельзя изменить после создания) или защита вне офиса, когда критически важные данные отправляются и хранятся вдали от вашего основного места ведения бизнеса.

Строя свой бизнес на прочных основах, вы в конечном итоге инвестируете в более безопасный бизнес для вашего будущего. Время, которое вы потратите на создание безопасной инфраструктуры, стоит денег, которые вы сэкономите, и риска, которого вы избежите в долгосрочной перспективе.

Потратьте время на правильную настройку

Гэри рекомендует сосредоточиться на архитектуре личных данных, поскольку это область с наибольшим влиянием на безопасность. Каждый член команды имеет цифровые личные данные, которые позволяют ему получить доступ к данным и инструментам, необходимым в вашей корпоративной сети, и правильная настройка этого имеет решающее значение в дальнейшем.

«Плохую архитектуру личных данных сложнее всего исправить — общие аккаунты, слабое внедрение MFA и слишком много администраторов создают долгосрочный риск», — объясняет Гэри. «Разрастание неструктурированных данных — еще одна серьезная проблема; как только конфиденциальные данные разбрасываются по личным хранилищам, почтовым ящикам электронной почты и неуправляемым приложениям SaaS, вернуть контроль становится болезненно. Наконец, отсутствие документации и ответственности на ранних этапах приводит к путанице и слепым пятнам по мере роста команд».