29 ноября 2017 г.
Подавляющее число российских компаний полагают, что их служба кибербезопасности не в полной мере соответствует потребностям организации — такого мнения придерживаются 98% респондентов, принявших участие в международном исследовании EY в области информационной безопасности «Кибербезопасность на новом витке: готовимся противостоять киберугрозам» (Cybersecurity regained: preparing to face cyberattacks) за 2017 год. Согласно данным исследования 2016 года, ранее такого мнения ранее придерживались 86% опрошенных.
В двадцатом по счету исследовании приняли участие 1200 респондентов из разных стран, представляющих организации из более чем 20 секторов экономики.
Результаты исследования показывают, что обеспокоенность компаний вопросами кибербезопасности высока: 71% участников опроса отмечают необходимость увеличения бюджета на кибербезопасность до 50%. Количество респондентов, уверенных в том, что им с большой долей вероятности удастся распознать изощренную кибератаку, уменьшилось — в этом году такого мнения придерживаются 30% по сравнению с 50% в прошлом году.
Тем не менее, несмотря на растущую осведомленности респондентов о киберугрозах, 42% компаний не создали центров обеспечения информационной безопасности, в то время как эта практика получает все более широкое распространение. 69% опрошенных либо совсем не имеют специальной программы в области сбора и анализа информации о киберугрозах, либо ограничиваются неформальными мероприятиями в этой сфере. При этом почти половина компаний — 49% участников опроса — уверены, что высшее руководство их организаций обладает достаточными знаниями в области информационной безопасности, чтобы осуществлять эффективный надзор за киберрисками
Николай Самодаев, партнер EY, руководитель направления по предоставлению услуг в области бизнес-рисков, управления ИТ и кибербезопасностью в СНГ, комментирует: «При детальном рассмотрении данных опроса мы наблюдаем отставание российских компаний от зарубежных по уровню зрелости процессов управления кибербезопасностью и их интеграции с бизнес-процессами. Это усиливается общим несоответствием технического обеспечения информационной безопасности потребностям организации. Использование только технических решений и экспертизы специалистов по информационной безопасности в отрыве от выстраивания процессной модели ее обеспечения в организации не гарантирует должной защиты от новых атак, в ходе которых злоумышленники используют продвинутые механизмы сокрытия и удержания своего продолжительного присутствия в корпоративной сети. Необходимо повышать уровень всех процессов в компании, а также компетенций персонала служб информационной безопасности, ИТ-отделов, пользователей систем и руководства организаций».
Помимо этого, респонденты отметили возрастание таких угроз кибербезопасности, как фишинг и вредоносное программное обеспечение — говоря об актуальных для бизнеса угрозах, 64% респондентов назвали их главными. В прошлом году такого мнения придерживались 52% и 51% соответственно. Что касается существующих уязвимостей, большинство респондентов — 60% — видят их в неосмотрительности и неосведомленности сотрудников. Второе место заняли устаревшие средства контроля или архитектура безопасности — 46% считают этот фактор актуальным для своего бизнеса, на третьем месте — несанкционированный доступ (37%).
Николай Самодаев отмечает: «Сегодня компаниям важно осознать, что рано или поздно та или иная атака злоумышленников может увенчаться успехом. Предварительная подготовка к таким атакам вместе с наличием плана действий на случай нарушения информационной безопасности (cyber breach response plan, CBRP), который автоматически приводится в исполнение при обнаружении кибернарушений, являются наилучшим средством для сведения к минимуму их последствий. Стоит отметить, однако, что подобную программу нарушения информационной безопасности необходимо реализовывать в масштабах всей организации. Руководителем такой программы должен быть специалист, обладающий надлежащим опытом и знаниями в области операционного и стратегического реагирования».
Источник: Пресс-служба компании EY