Согласно новому исследованию Центра ресурсов по борьбе с кражей личных данных (ITRC), подавляющее большинство малых предприятий США за последний год пострадало от утечки данных или нарушений безопасности, а многие (38%) в результате этого повысили цены. Отчёт организации основан на интервью с 662 владельцами бизнеса или руководителями компаний с численностью персонала менее 500 человек.
Президент ITRC Джеймс Ли утверждает, что инфляционное воздействие утечек данных действует как «скрытый киберналог» на потребителей. Он заявил, что эта информация должна послужить тревожным сигналом для законодателей и приблизить принятие новых государственных мер на уровне штатов и федеральном уровне для смягчения финансового бремени киберугроз.
«Этот теневой налог тормозит экономику США, подпитывает инфляцию и ложится непропорционально большим бременем на малые предприятия, создающие рабочие места и поддерживающие жизнь в местных сообществах. В условиях нехватки ресурсов, которыми обладают их более крупные конкуренты, они вынуждены выбирать между инвестициями в рост, поддержанием низких цен и защитой от постоянно существующей цифровой угрозы», — сказал Ли.
Из 81% малых компаний, пострадавших от киберинцидентов и последующей утечки данных за последний год, значительная часть (41%) объяснила это атаками с использованием ИИ. Остальные случаи были связаны с внешним воздействием (43%) и работой злонамеренных инсайдеров (42%). В ITRC предупредили, что нейросети всё чаще используются для создания гиперреалистичных фишинговых писем и дипфейков для компрометации корпоративной электронной почты (BEC), разработки адаптивного вредоносного ПО и автоматизированной разведки.
В отчёте также отмечается «опасный разрыв» между уверенностью топ-менеджеров в своей киберустойчивости и внедрением ими мер безопасности. Одновременно снизилось число респондентов, заявивших о своей «достаточной готовности» к взлому (с 57% до 38%), и показатели применения многофакторной аутентификации (с 34% до 27%). А инвестиции в новые ИБ-инструменты сократились на 15% в годовом исчислении.
ITRC рекомендовал представителям малого бизнеса бороться с угрозой атак, осуществляемых с помощью ИИ, сосредоточив внимание на людях, процессах и технологиях, а именно:
- актуализировать обучение по вопросам безопасности, чтобы сотрудники могли распознавать сгенерированный контент и чувствовать себя вправе ставить под сомнение необычные или срочные запросы;
- обеспечить соблюдение строгой политики внеполосной проверки (out-of-band verification) для конфиденциальных запросов, таких как финансовые транзакции и изменения доступа к привилегированным учётным записям;
- инвестировать в современные СЗИ на основе алгоритмов, которые используют поведенческий анализ для выявления аномальной активности в сети или на конечных устройствах и поиска фишингового контента, сгенерированного ИИ.
Усам Оздемиров
