Российские компании недооценивают риски ИБ

Об этом говорится в исследовании проведенном аналитической компанией IDC по заказу Microsoft в шести странах Центральной и Восточной Европы. Исследование проводилось с сентября по ноябрь 2020 года в Венгрии, Греции, Польше, России, Румынии и Чехии. В исследовании приняли участие 1500 человек, из них 400 – из России, из которых 48% составили представители малого и среднего бизнеса. Только 42% компаний в Центральной и Восточной Европе разработали комплексную стратегию безопасности, при этом значительное большинство респондентов (86%) заявили, что удовлетворены уровнем кибербезопасности своей организации. Это может означать, что некоторые компании испытывают ложное чувство безопасности, отмечается в исследовании. 79% респондентов в шести странах назвали безопасный удаленный доступ к корпоративным сетям своей основной областью внимания. Стоит отметить, что раньше первое место занимала защита конечных точек (69%). В России эти показатели составили 79% и 61%. Проведенное исследование показало, что значение кибербезопасности возросло: 9 из 10 компаний планируют сохранить или увеличить бюджет на безопасность в ближайшие два года. 60% российских компаний сохранят прежний бюджет на ИБ, и только менее трети (28%) повысят расходы на ИБ в ближайшие два года. Это ниже среднего числа компаний, планирующих увеличить бюджет в странах Центральной и Восточной Европы (36%). Одним из факторов, влияющим на уровень ИБ, являются облачные решения: 54% респондентов заявили, что планируют перейти на облачные технологии в течение двух лет. В России этот показатель еще выше: 66% респондентов планируют использовать облако через два года. Это позитивный тренд для компаний, стремящихся сохранить гибкость своего подхода, поскольку облачные решения, как правило, более безопасны и позволяют быстрее обновлять системы ИБ, отмечается в исследовании. 68% компаний в Центральной и Восточной Европе планируют организовать обучение сотрудников принципам кибергигиены в течение двух лет, при этом 56% уделят внимание повышению уровня технических специалистов. В России сравнимые показатели: 68% планируют повышать знания по кибербезопасности для сотрудников, а 48% планируют разработать стратегию безопасности или улучшить существующую стратегию. "Уровень подготовки бизнеса в сфере ИБ довольно низкий - и сложно утверждать, что он в Восточной Европе выше, чем в РФ. Просто Восточной Европе ближе американская модель управления, Microsoft и другие западные компании там представлены гораздо больше, чем в России", - отмечает генеральный директор компании "Доктор Веб" Борис Шаров. "В данном исследовании речь идет о разработке фундаментальных правил поведения в компании, связанных с информационной безопасностью. И здесь мы сталкиваемся с различием в терминологии, в РФ не все это будут называть "стратегией", для многих это слово несет в себе несколько иной смысл. В итоге та или иная компания может быть занесена в исследование как не имеющая разработанной стратегии ИБ, но уровень ее защитных мер будет гораздо выше, чем у аналогичных компаний, заявивших о принятой у них стратегии информбезопасности", - подчеркивает Борис Шаров. "Если говорить о комплексных документах, где прописаны модели управления рисками, подходы к оценке ущерба, мероприятия по compliance-контролю и реагированию на меняющийся ландшафт угроз, то настолько зрелые стратегии пока в основном имеют только крупные компании. Уровень зрелости стратегий ИБ у среднего бизнес в целом намного ниже", - отмечет руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. "Вместе с тем, компании среднего размера имеют над корпоративным сегментом одно преимущество – им обычно легче и быстрее адаптировать свои планы применительно к новым угрозам и упорядочить защиту имеющихся информационных активов, изменить политику закупок систем и услуг. Что касается малого бизнеса, то он, как правило, обладает лишь начальным уровнем обеспечения ИБ, где речи не идет о выработке стратегии как комплексного документа для целевого обеспечения безопасности. Многие процессы у таких компаний не упорядочены, порой у них даже не существует общего плана мероприятий по кибербезопасности. Как правило, для малого бизнеса до сих пор в приоритете физическая и экономическая безопасность", - подчеркивает Андрей Арсентьев. Чем выше уровень зависимости бизнес-процессов компании от стабильности предоставления ИТ-сервисов, тем более важную роль играет направление кибербезопасности, отмечает Андрей Арсентьев. Развитая и адаптивная стратегия кибербезопасности обязательна для банков, розничных сетей, телекоммуникационных компаний, сферы транспорта, энергетике, многих промышленных компаний. Все значительнее роль кибербезопасности в здравоохранении, образовании и других сферах. "Прежде всего, необходимо отметить, что "информационная безопасность" и "кибербезопасность" - это не синонимы. Более того, существует разное понимание самого термина "кибербезопасность". Исходя из контекста, в отчёте говорится только о защите данных, обрабатываемых в автоматизированных системах, не затрагиваются другие вопросы ИБ", - подчеркивает руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. "В нашей стране есть Доктрина ИБ РФ, большое количество нормативно-правовых и других документов по защите информации, но отсутствуют стратегии кибербезопасности на уровне отраслей, да и сам термин "кибербезопасность" официально появился сравнительно недавно – в 2014 году в рамках ГОСТ Р 56205, разработанного на базе IEC/TS 62443-1-1:2009 (СЕТИ КОММУНИКАЦИОННЫЕ ПРОМЫШЛЕННЫЕ Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели)", - отмечает Михаил Смирнов. "Что касается отсутствия стратегий на предприятиях в России, то, традиционно, у нас формируются планы работы на перспективу один-три года, разрабатываются регламенты работы, но непосредственно документ, например, стратегию ИБ, политику ИБ пишут те, кто планирует пройти сертификацию в рамках системы менеджмента информационной безопасности. Обычно это или крупные предприятия, или российские представительства зарубежных. Также это актуально для предприятий, проходящих цифровую трансформацию", - подчеркивает Михаил Смирнов. По мнению Михаила Смирнова, стратегии кибербезопасности будут и дальше разрабатывать те, чей бизнес станет зависеть от "цифры", а будут они отдельным документом, или частью политик (стратегий) обеспечения непрерывности бизнеса или киберустойчивости – не важно. "Полагаю, что запланировать работу по обеспечению надежной и безопасной работы своих цифровых сервисов на перспективу 3-5 лет не помешает предприятию любой формы собственности, особенно владеющему критически важными или потенциально-опасными объектами", - отмечает Михаил Смирнов. "Мы видим, что в опросе проведенным IDC для Microsoft, 48% респондентов из сегмента среднего и малого бизнеса (СМБ). Разработка и реализация стратегии ИБ требует высокой квалификации сотрудников, СМБ компании редко могут себе позволить иметь в штате подобных специалистов, не говоря уже о том, что на рынке существует проблема с недостаточным количеством квалифицированных кадров. Здесь для многих компаний, уже не только СМБ-сегмента, может стать выходом передача всех или некоторых функций ИБ на аутсорсинг, привлечение провайдеров сервисных услуг по безопасности. Любой компании на рынке необходимо иметь хотя бы антивирусную защиту, позаботиться о повышении грамотности персонала, и иметь базовые прописанные политики – такие как правила аутентификации, установки и смены паролей и т.д. Поскольку информационная безопасность – это беспрерывный процесс, а не разовое вложение в средства защиты или разработку стратегии, то и заниматься этим нужно системно, не важно, своими силами или с привлечением сервисных служб", - отмечает руководитель управления корпоративных продаж "Лаборатории Касперского" в России Марина Усова. "Лаборатория Касперского" в России работает и с крупным бизнесом, и по нашему опыту 99% из этих компаний уже имеют разработанную стратегию ИБ. Стратегия ИБ, как правило, лучше всего проработана в сфере, чья деятельность критична: это энергетика и добыча, финансы, промышленность — все объекты, которые можно отнести к критической инфраструктуре", - подчеркивает Марина Усова. "Мы также видим, что многие компании стали прописывать для себя модели угроз, которые наглядно показывают бизнесу экономическую эффективность от реализации комплексной стратегии безопасности. К тому же, последние кибератаки шифровальщиков наглядно демонстрируют реальную уязвимость компаний и заставляют задуматься. Именно пошаговая реализация стратегии ИБ и наличие плана реагирования на киберинциденты помогает предотвратить подобные атаки или минимизировать их последствия. Поэтому мы видим увеличение роли информационной безопасности в целом, что выражается в том числе в деньгах. Реалии прошлого года уже потребовали от компаний увеличения инвестиций в информационную безопасность. Более того, по данным опроса "Лаборатории Касперского", 58% опрошенных ожидают, что в следующие три года расходы на информационную безопасность в их компании вырастут", - отмечает Марина Усова. "Основными предпосылками для увеличения бюджета респонденты называли растущую сложность корпоративной IT-инфраструктуры и необходимость повышать кибер грамотность сотрудников. Что касается объёма денег, то за 12 месяцев с июня 2019 по июнь 2020 российские компании малого и среднего бизнеса в среднем потратили на обеспечение безопасности корпоративного периметра 4,7 миллионов рублей каждая — это почти в два раза больше, чем за аналогичный период годом ранее (2,4 миллиона рублей). При этом общая доля расходов на кибербезопасность не изменилась: как и в предыдущие 12 месяцев, она составила 20% от всего ИТ-бюджета", - приводит данные опроса Марина Усова. "Результаты опроса иллюстрируют последствия пандемии: те компании малого и среднего бизнеса, которые смогли выжить и вовремя перестроить свою работу в условиях коронавируса, вынуждены больше тратить на ИТ и ИБ. Одним из главных драйверов инвестиций в информационную безопасность стала потребность бизнеса повышать киберграмотность сотрудников — больше 40% всех участников опроса сказали, что для их компании определяющей стала именно эта причина. Каждый пятый респондент отметил, что решение вложить деньги в усиление информационной безопасности было принято киберинцидента внутри организации, в том числе после случаев утечки данных. В 2020 году средняя цена потери от утечки данных для небольшой компании составила 1,9 млн рублей, а крупному предприятию обошлась в сумму примерно 7 млн рублей", - отмечает Марина Усова. По мнению Марины Усовой, для 70% российских компаний вопрос защиты данных является главной проблемой, связанной с кибербезопасностью. Ещё 59% обеспокоены недостаточной осведомлённостью штата на тему ИБ и 43% — стоимостью обеспечения безопасности сложных технических сред. Пандемия поставила на паузу огромное количество бизнес-процессов в первой половине 2020 года, многие компании попали в тяжёлое положение. Но несмотря на эти обстоятельства большинство организаций подняли кибербезопасность в списке своих приоритетов. Ссылка на источник