В каждой пятой российской ИТ-компании сотрудники плохо знают основы ИБ

В 19% ИТ-компаний у сотрудников низкий уровень знаний основ информационной безопасности. В частных ИТ-компаниях больше сотрудников с хорошим уровнем знаний основ, чем в государственных, однако общий уровень подготовки у них хуже.

Такие данные получила компания "СёрчИнформ" в исследовании уровня информационной безопасности в организациях России за 2023 год. Количество инцидентов по вине внутренних нарушителей возросло на 18% в сравнении с 2022 годом. При этом компании с "хорошим" и "средним" уровнем подготовки сотрудников сталкивались с инцидентами так же часто, как и организации с "плохим".

Всего с инцидентами ИБ столкнулись 69% компаний, чаще всего в них фиксировали утечку данных. Слив данных происходил почти в 2 раза чаще, чем годом ранее. Больше всего теряли: персональные данные, информацию о клиентах и сделках и техническую документацию.

На рост инцидентов влияет не только низкий уровень знаний сотрудников или недостаточная оснащенность защитными средствами, но и нехватка квалифицированных кадров, которые могут работать со всеми этими направлениями. Компании по-прежнему испытывают дефицит ИБ-специалистов, 63% организаций считают, что он остается уровне 2021 и 2022 года, а 14% — что усилился. Наиболее привлекательным решением проблемы для частных компаний является привлечение готовых специалистов с рынка, почти половина используют этот подход. Для государственных — профессиональная переподготовка своих специалистов. 12% компаний используют аутсорсинг, ещё 10% планируют к ним присоединиться. Компании отмечают, что это поможет быстрее начать и повысить ИБ и снизить трудозатраты. Проблем с дефицитом кадров нет и не было у 16% ИТ-компаний, 8% считают, что он ослаб.

Для обеспечения должной защиты 39% ИТ-компаний увеличивают бюджет на информационную безопасность, больше половины оставляют бюджет без изменений. Чаще всего его выделяют на продление лицензионных ключей (68%), закупку нового оборудования (49%) и импортозамещение зарубежного ПО (42%). Совсем не выделяют бюджет — меньше 1% компаний.

"Плохой уровень подготовки сотрудников — это ответственность работодателей. Зачастую они не вкладываются в обучение работников основам информационной безопасности. В 2022 году мы узнавали, как российские ИТ-компании строят обучение, и большинство из них указали, что знания по ИБ сотрудники получают в письменных регламентах, которые должны изучить самостоятельно. А 24% — вообще не обучают сотрудников. Однако работники часто не вчитываются в регламенты, так как они или непонятно написаны, или неубедительны, из-за чего нет веры в реалистичность прописанных угроз. И в итоге, сотрудники остаются без знаний о том же фишинге или других действиях социальных инженеров. А это ставит под угрозу защищенность компании. Поэтому сотрудников важно не только контролировать техническими средствами, но и качественно обучать, показывать на примерах, чем может обернуться несоблюдение базовых правил безопасности, чтобы уменьшить вероятность возникновения инцидентов", — комментирует Алексей Дрозд, начальник отдела информационной безопасности "СёрчИнформ".

"В 2022 году 25% компаний увеличили бюджет на безопасность, в 2023 эта цифра выросла на 14%. Это большой скачек, так как в предыдущих исследованиях рост финансирования этой сферы стабильно фиксировали не больше четверти российских ИТ-компаний. На это, в том числе, повлияли запланированные изменения в российском законодательстве в области защиты ПДн — ужесточение ответственности и увеличение суммы штрафов до полумиллиарда рублей. Однако в 2023 году эти планы оказали опосредованное влияние на спрос, потому что окончательное решение еще не принято. В этом году должен сработать отложенный спрос на закупку новых и расширение имеющихся ИБ-решений", — Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ".