В России количество компаний, разработавших стратегию информационной безопасности (ИБ), ниже среднего среди стран Центральной и Восточной Европы (39% против 42%). 61% российских компаний не имеют комплексной стратегии кибербезопасности.
© ComNews
17.05.2021

Об этом говорится в исследовании, проведенном аналитической компанией IDC по заказу Microsoft в шести странах Центральной и Восточной Европы. Исследование проводилось с сентября по ноябрь 2020 г. в Венгрии, Греции, Польше, России, Румынии и Чехии. В исследовании приняли участие 1500 человек, из них 400 - из России, из которых 48% - представители малого и среднего бизнеса.

Только 42% компаний в Центральной и Восточной Европе разработали комплексную стратегию безопасности, при этом значительное большинство респондентов (86%) заявили, что удовлетворены уровнем кибербезопасности своей организации. Это может означать, отмечается в исследовании, что некоторые компании испытывают ложное чувство безопасности.

79% респондентов в шести странах назвали безопасный удаленный доступ к корпоративным сетям своей основной областью внимания. Стоит отметить, что раньше первое место занимала защита конечных точек (69%). В России эти показатели составили 79% и 61% соответственно.

Проведенное исследование показало, что значение кибербезопасности возросло: 9 из 10 компаний планируют сохранить или увеличить бюджет на безопасность в ближайшие два года. 60% российских компаний сохранят прежний бюджет на ИБ, и только менее трети (28%) повысят расходы на ИБ в ближайшие два года. Это ниже среднего числа компаний, планирующих увеличить бюджет в странах Центральной и Восточной Европы (36%).

Одним из факторов, влияющих на уровень ИБ, являются облачные решения: 54% респондентов заявили, что планируют перейти на облачные технологии в течение двух лет. В России этот показатель еще выше: 66% респондентов планируют использовать облако через два года. Это позитивный тренд для компаний, стремящихся сохранить гибкость своего подхода, отмечается в исследовании, поскольку облачные решения, как правило, более безопасны и позволяют быстрее обновлять системы ИБ.

68% компаний в Центральной и Восточной Европе планируют организовать обучение сотрудников принципам кибергигиены в течение двух лет, при этом 56% уделят внимание повышению уровня технических специалистов. В России сравнимые показатели: 68% планируют повышать знания по кибербезопасности для сотрудников, а 48% планируют разработать стратегию безопасности или улучшить существующую стратегию.

"Уровень подготовки бизнеса в сфере ИБ довольно низкий - и сложно утверждать, что он в Восточной Европе выше, чем в РФ. Просто Восточной Европе ближе американская модель управления, Microsoft и другие западные компании там представлены гораздо больше, чем в России", - отмечает генеральный директор компании "Доктор Веб" Борис Шаров.

"В данном исследовании речь идет о разработке фундаментальных правил поведения в компании, связанных с информационной безопасностью. И здесь мы сталкиваемся с различием в терминологии - в РФ не все это будут называть "стратегией", для многих это слово несет в себе несколько иной смысл. В итоге та или иная компания может быть занесена в исследование как не имеющая разработанной стратегии ИБ, но уровень ее защитных мер будет гораздо выше, чем у аналогичных компаний, заявивших о принятой у них стратегии информбезопасности", - подчеркивает Борис Шаров.

"Если говорить о комплексных документах, где прописаны модели управления рисками, подходы к оценке ущерба, мероприятия по compliance-контролю и реагированию на меняющийся ландшафт угроз, то настолько зрелые стратегии пока в основном имеют только крупные компании. Уровень зрелости стратегий ИБ у среднего бизнес в целом намного ниже", - отмечет руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.

"Вместе с тем компании среднего размера имеют перед корпоративным сегментом одно преимущество - им обычно легче и быстрее адаптировать свои планы применительно к новым угрозам и упорядочить защиту имеющихся информационных активов, изменить политику закупок систем и услуг. Что касается малого бизнеса, то он, как правило, обладает лишь начальным уровнем обеспечения ИБ, где речи не идет о выработке стратегии как комплексного документа для целевого обеспечения безопасности. Многие процессы у таких компаний не упорядочены, порой у них даже не существует общего плана мероприятий по кибербезопасности. Как правило, для малого бизнеса до сих пор в приоритете физическая и экономическая безопасность", - подчеркивает Андрей Арсентьев.

Он отмечает, что чем выше уровень зависимости бизнес-процессов компании от стабильности предоставления ИТ-сервисов, тем более важную роль играет направление кибербезопасности. Развитая и адаптивная стратегия кибербезопасности обязательна для банков, розничных сетей, телекоммуникационных компаний, сферы транспорта, энергетики, многих промышленных компаний. Все значительнее роль кибербезопасности в здравоохранении, образовании и других сферах.

"Прежде всего необходимо отметить, что "информационная безопасность" и "кибербезопасность" - это не синонимы. Более того, существует разное понимание самого термина "кибербезопасность". Исходя из контекста, в отчете говорится только о защите данных, обрабатываемых в автоматизированных системах, не затрагиваются другие вопросы ИБ", - подчеркивает руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.

"В нашей стране есть Доктрина ИБ РФ, большое количество нормативно-правовых и других документов по защите информации, но отсутствуют стратегии кибербезопасности на уровне отраслей, да и сам термин "кибербезопасность" официально появился сравнительно недавно - в 2014 г. в рамках ГОСТ Р 56205, разработанного на базе IEC/TS 62443-1-1:2009 (Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели)", - отмечает Михаил Смирнов.

"Что касается отсутствия стратегий на предприятиях в России, то традиционно у нас формируются планы работы на перспективу один-три года, разрабатываются регламенты работы, но непосредственно документ, например стратегию ИБ, политику ИБ, пишут те, кто планирует пройти сертификацию в рамках системы менеджмента информационной безопасности. Обычно это или крупные предприятия, или российские представительства зарубежных. Также это актуально для предприятий, проходящих цифровую трансформацию", - подчеркивает Михаил Смирнов.

По его мнению, стратегии кибербезопасности будут и дальше разрабатывать те, чей бизнес станет зависеть от "цифры", а будут они отдельным документом или частью политик (стратегий) обеспечения непрерывности бизнеса или киберустойчивости - неважно. "Полагаю, что запланировать работу по обеспечению надежной и безопасной работы своих цифровых сервисов на перспективу трех-пяти лет не помешает предприятию любой формы собственности, особенно владеющему критически важными или потенциально опасными объектами", - отмечает Михаил Смирнов.

"Мы видим, что в опросе, проведенном IDC для Microsoft, 48% респондентов из сегмента среднего и малого бизнеса (СМБ). Разработка и реализация стратегии ИБ требуют высокой квалификации сотрудников, компании СМБ редко могут себе позволить иметь в штате подобных специалистов, не говоря уже о том, что на рынке существует проблема с недостаточным количеством квалифицированных кадров. Здесь для многих компаний, уже не только СМБ-сегмента, может стать выходом передача всех или некоторых функций ИБ на аутсорсинг, привлечение провайдеров сервисных услуг по безопасности. Любой компании на рынке необходимо иметь хотя бы антивирусную защиту, позаботиться о повышении грамотности персонала и иметь базовые прописанные политики - такие как правила аутентификации, установки и смены паролей и т.д. Поскольку информационная безопасность - это беспрерывный процесс, а не разовое вложение в средства защиты или разработку стратегии, то и заниматься этим нужно системно, неважно, своими силами или с привлечением сервисных служб", - отмечает руководитель управления корпоративных продаж "Лаборатории Касперского" в России Марина Усова.

"Лаборатория Касперского" в России работает и с крупным бизнесом, и, по нашему опыту, 99% из этих компаний уже имеют разработанную стратегию ИБ. Стратегия ИБ, как правило, лучше всего проработана в сфере, чья деятельность критична: это энергетика и добыча, финансы, промышленность - все объекты, которые можно отнести к критической инфраструктуре", - подчеркивает Марина Усова.

"Мы также видим, что многие компании стали прописывать для себя модели угроз, которые наглядно показывают бизнесу экономическую эффективность от реализации комплексной стратегии безопасности. К тому же последние кибератаки шифровальщиков наглядно демонстрируют реальную уязвимость компаний и заставляют задуматься. Именно пошаговая реализация стратегии ИБ и наличие плана реагирования на киберинциденты помогают предотвратить подобные атаки или минимизировать их последствия. Поэтому мы видим увеличение роли информационной безопасности в целом, что выражается в том числе в деньгах. Реалии прошлого года уже потребовали от компаний увеличения инвестиций в информационную безопасность. Более того, по данным опроса "Лаборатории Касперского", 58% опрошенных ожидают, что в следующие три года расходы на информационную безопасность в их компании вырастут", - отмечает Марина Усова.

"Основными предпосылками для увеличения бюджета респонденты называли растущую сложность корпоративной ИT-инфраструктуры и необходимость повышать киберграмотность сотрудников. Что касается объема денег, то за 12 месяцев, с июня 2019 г. по июнь 2020 г., российские компании малого и среднего бизнеса в среднем потратили на обеспечение безопасности корпоративного периметра 4,7 млн руб. каждая - это почти в два раза больше, чем за аналогичный период годом ранее, 2,4 млн руб.). При этом общая доля расходов на кибербезопасность не изменилась: как и в предыдущие 12 месяцев, она составила 20% от всего ИТ-бюджета", - приводит данные опроса Марина Усова.

"Результаты опроса иллюстрируют последствия пандемии: компании малого и среднего бизнеса, которые смогли выжить и вовремя перестроить свою работу в условиях коронавируса, вынуждены больше тратить на ИТ и ИБ. Одним из главных драйверов инвестиций в информационную безопасность стала потребность бизнеса повышать киберграмотность сотрудников - больше 40% всех участников опроса сказали, что для их компании определяющей стала именно эта причина. Каждый пятый респондент отметил, что решение вложить деньги в усиление информационной безопасности было принято после киберинцидента внутри организации, в том числе после случаев утечки данных. В 2020 г. средняя цена потери от утечки данных для небольшой компании составила 1,9 млн руб., а крупному предприятию обошлась в сумму примерно 7 млн руб.", - отмечает Марина Усова.

По ее мнению, для 70% российских компаний вопрос защиты данных является главной проблемой, связанной с кибербезопасностью. Еще 59% обеспокоены недостаточной осведомленностью штата на тему ИБ и 43% - стоимостью обеспечения безопасности сложных технических сред. Пандемия поставила на паузу огромное количество бизнес-процессов в первой половине 2020 г., многие компании попали в тяжелое положение. Но несмотря на эти обстоятельства, большинство организаций подняли кибербезопасность в списке своих приоритетов.

Новости из связанных рубрик