Новости / февраль 2019
Рубрики: Информационная безопасность

Безопасность нуждается в финансировании

Анна Устинова
© ComNews
20.02.2019

Около 30% российских компаний из нефтегазового сектора, промышленности и транспорта, кредитно-финансовой сферы, ретейла, здравоохранения и ИТ заявили о росте бюджета на информационную безопасность. Об этом свидетельствуют данные исследования компании "СёрчИнформ" на основе опроса респондентов.

Аналитики "СёрчИнформ" провели анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам ИБ. В исследовании приняли участие 1024 человека. Среди них начальники и сотрудники ИБ-подразделений, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование затронуло IT, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ретейл, здравоохранение и другие отрасли.

Из опроса следует, что 30% компаний заявили о росте бюджета на безопасность. Однако 12%, напротив, затраты сократили. "Главным образом российские компании по-прежнему ограничиваются установкой антивирусных программ и использованием средств администрирования Windows и NGFW. Ожидаемо низкие показатели использования более сложных продуктов - DLP- и SIEM-систем", - отмечают эксперты "СёрчИнформ".

Такую динамику эксперты объясняют новым фактором - требованием регуляторов. И в России, и в мире начали работу знаковые ИБ-законы. В РФ речь идет о ФЗ-187 (Федеральный закон от 26.07.2017 №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"), в случае зарубежья - директивы GDPR, имеющие экстерриториальное действие.

Чаще всего инциденты приводили компании к имиджевому и мелкому финансовому ущербу (по 28% ответов). Примерно одинаковое число нарушений приводили к крупному финансовому ущербу, а также compliance-рискам - угрозе или факту наказания от регулятора. "Только 4% российских компаний оставляют инциденты без внимания, не применяя санкций к нарушителям. 34% работодателей увольняют нарушителей, половина делают выговор и штрафуют (23% и 27%). До суда доводят дело только 8% компаний", - свидетельствует из исследования компании.

"Компании предпочитают не выходить в публичное поле с конфликтами. Единицы решаются на это, и только в самых вопиющих ситуациях. Тогда доказательством часто служат данные, полученные из программных комплексов, в частности DLP-систем. К сожалению, этот факт часто не фигурирует в материалах дела. Еще в ряде случаев доказать вину сотрудника оказывается крайне сложно: и по причине отсутствия комплексов фиксации нарушений, и из-за отсутствия в компании регламентов на этот счет", - поясняет руководитель отдела аналитики "СёрчИнформ" Алексей Парфентьев.

Как свидетельствуют данные исследования, с утечками по вине инсайдеров в 2018 г. столкнулось 66% компаний. Чаще всего пропадала коммерческая информация - о клиентах и сделках, партнерах, бухгалтерии (в сумме 51%), реже утекала техническая информация (24% случаев). Персональные данные также легко подвергаются утечке (20% случаев).

При этом компании не спешат сообщать об этом в СМИ. Так поступает только 3,5% организаций. Тем не менее этот показатель выше, чем годом ранее. Тогда об утечках в СМИ сообщило лишь 2% организаций. За год показатель вырос почти на 16% - до 28%. 

"Доля компаний в РФ, признающих ответственность за инцидент, неуклонно растет и в скором времени сравняется с мировым показателем, - комментирует результаты исследования Алексей Парфентьев. - Это довольно интересный тренд, ведь санкции в России и в мире кардинально различаются. Например, в России штраф за разглашение персональных данных измеряется десятками тысяч (рублей), а в Евросоюзе - миллионами (евро). Таким образом, именно личная ответственность, сознательность отечественных компаний являются главной причиной, а вовсе не угроза штрафа".

В исследовании говорится, что количество документов в виде изображений - сканов, фотографий, скриншотов, PDF - за последнее время значительно увеличилось. Еще три года назад таких документов в организациях было не более трети. Как показало исследование "СёрчИнформ", сегодня в 54% компаний половина информации и более хранится в графических форматах. Треть таких документов утекают по электронной почте, еще 30% документов сотрудники выносят на мобильных устройствах.

В 2018 г. 15% компаний отметили рост числа внутренних инцидентов. По данным экспертов "СёрчИнформ", это на 9% больше, чем годом ранее. Как показали данные опроса, 74% инцидентов допускают рядовые сотрудники. Чаще всего нарушителями становятся менеджеры отделов снабжения (коррупционная емкость профессии), бухгалтеры и финансисты (доступ к критическим данным, деньгам). На долю обеих профессиональных отраслей приходится почти половина всех инцидентов. Высокие показатели нарушений эксперты наблюдали у помощников руководителя и ИТ-специалистов (16% и 15% соответственно). По обоим причина одна - доступ к критичной информации и привилегированность положения.

Positive Technologies в прошлом году провел исследование, участниками которого стали компании преимущественно Центрального региона из топ-500 крупнейших компаний страны. Согласно его результатам, в 83% опрошенных организаций с численностью штата более 1000 человек бюджет на ИБ составлял не менее 10 млн руб. По данным исследования, лишь 47% крупных региональных компаний-респондентов выделили на защиту информационных систем более 10 млн руб., что существенно меньше аналогичных показателей прошлого года по Центральному федеральному округу. Тогда каждый пятый участник опроса отмечал, что отдельная статья расходов на обеспечение кибербезопасности в их компании не предусмотрена: средства на эти нужды выделяются из бюджета на информационные технологии. Более половины респондентов констатировали, что размер бюджета на ИБ не изменился по сравнению с 2017 г., в то время как 16% компаний-респондентов столкнулись с сокращением бюджета на ИБ в 2018 г.

Как свидетельствует из исследования Positive Technologies, в большинстве региональных компаний бюджет на информационную безопасность оказался довольно низкий. Так, бюджет организаций сферы образования, принявших участие в опросе, в 2018 г. не превышает 5 млн руб. Среди участников опроса солидные суммы (более 50 млн руб.) готовы тратить на ИБ только несколько финансовых и государственных организаций. В то же время доля финансовых и государственных организаций с крайне низким бюджетом на ИБ (не более 0,5 млн руб.) достигает 14% и 20% соответственно.

Самой популярной статьей расходов в бюджете региональных компаний на ИБ, по данным Positive Technologies, стала покупка систем защиты информации и продление лицензий (75%). 48% компаний-респондентов выделили средства на внедрение решений класса SIEM. При этом менее трети организаций (31%) запланировали в своем бюджете статью расходов на выполнение требований закона №187-ФЗ о безопасности критической информационной инфраструктуры (КИИ), а в каждой второй компании уверены, что требования закона к ним неприменимы.

По данным ведущего аналитика отдела развития "Доктор Веб" Вячеслава Медведева, с 2014 г. у очень многих компаний ежегодно бюджеты на ИБ сокращались на 20%. По его мнению, денег нет даже на замену техники. "По нашим оценкам, кризис не преодолен. Во многом он связан с падением реальных доходов населения - у людей просто нет ресурсов на закупку необходимых товаров и услуг. Это сказывается на малом и среднем бизнесе. А те, в свою очередь, начинают экономить - и на ИТ в том числе", - говорит Вячеслав Медведев.

В то же время, продолжает специалист "Доктор Веб", многие компании и организации попали под требования защиты критической инфраструктуры. "Им просто приходится выделять дополнительные средства. Другие компании переносят обработку персональных данных в Россию, внедряют меры во исполнение так называемого закона Яровой. Все это - вынужденные траты. Относить ли их к затратам на ИБ, исходя из интересов компании? Спорный вопрос", - рассуждает эксперт.

По данным исследования "Информационная безопасность бизнеса", проведенного "Лабораторией Касперского" весной 2018 г., более 70% опрошенных представителей компаний ответили, что в ближайшие 3 года бюджет на ИБ будет увеличен. Причем более 30% опрошенных считают, что финансирование информационной безопасности вырастет на 10-29%. Сделать существенные изменения в бюджете на информационную безопасность (+50% к текущему) планировало около 11% компаний.

По наблюдениям специалистов "Лаборатории Касперского", ущерб от инцидентов кибербезопасности постоянно растет: компаниям приходится иметь дело со множеством последствий - от дополнительной работы с общественностью до найма новых сотрудников. Также продолжается рост финансовых потерь в случае возникновения киберинцидентов.

Средний ущерб от успешной атаки для крупных российских предприятий оценивается в 14,3 млн руб., а для компаний из сегмента СМБ - 4,3 млн руб., делятся статистикой в "Лаборатории Касперского". В эту сумму включается и упущенная выгода, и затраты на наем новых сотрудников/дополнительные выплаты текущим сотрудникам, и расходы на привлечение сторонних экспертов и обучение сотрудников информационной безопасности, и инвестиции в дополнительное оборудование.