6 февраля 2024 г.

Увеличить
Рис. 1. на сколько хорошо сотрудники знают основные правила информационной безопасности
Увеличить
Рис. 2. Какие инциденты по виге сотрудников происходили в 2023 году (в т.ч. предотвращенные)*
Увеличить
Рис. 3. Действия компании в случае утечки данных*
Увеличить
Рис. 4. Как ИТ-компании справляются с дефицитом кадров*

Такие данные получила компания «СёрчИнформ» в исследовании уровня информационной безопасности в организациях России за 2023 год.

В 19% ИТ-компаний у сотрудников низкий уровень знаний основ информационной безопасности. Об этом говорят данные исследования уровня ИБ за 2023 год, проведенные «СёрчИнформ» в организациях России. В частных ИТ-компаниях больше сотрудников с хорошим уровнем знаний основ, чем в государственных — работники используют сильные пароли, не предоставляют коллегам доступ к своим учеткам и пр. Однако общий уровень подготовки у них хуже. (рис. 1)

«Плохой уровень подготовки сотрудников — это ответственность работодателей. Зачастую они не вкладываются в обучение работников основам информационной безопасности. В 2022 году мы узнавали, как российские ИТ-компании строят обучение, и большинство из них указали, что знания по ИБ сотрудники получают в письменных регламентах, которые должны изучить самостоятельно. А 24% — вообще не обучают сотрудников. Однако работники часто не вчитываются в регламенты, так как они или непонятно написаны, или неубедительны, из-за чего нет веры в реалистичность прописанных угроз. И в итоге, сотрудники остаются без знаний о том же фишинге или других действиях социальных инженеров. А это ставит под угрозу защищенность компании. Поэтому сотрудников важно не только контролировать техническими средствами, но и качественно обучать, показывать на примерах, чем может обернуться несоблюдение базовых правил безопасности, чтобы уменьшить вероятность возникновения инцидентов», — комментирует Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».

Несмотря на то, что больший процент компаний считают, что знания сотрудников средние, ситуация с защитой от рисков ИБ остается напряженной. Количество инцидентов по вине внутренних нарушителей возросло на 18% в сравнении с 2022 годом. При этом компании с «хорошим» и «средним» уровнем подготовки сотрудников сталкивались с инцидентами так же часто, как и организации с «плохим».

Всего с инцидентами ИБ столкнулись 69% компаний, чаще всего в них фиксировали утечку данных. Слив данных происходил почти в 2 раза чаще, чем годом ранее. Больше всего теряли: персональные данные, информацию о клиентах и сделках и техническую документацию. (рис. 1)

При утечке данных большинство компаний проведет закрытое расследование, лишь четверть из них персонально информирует клиентов/партнеров/других лиц, а 9% — принесут публичные извинения или оповестят общественность через СМИ. (рис. 3)

Для обеспечения должной защиты 39% ИТ-компаний увеличивают бюджет на информационную безопасность, больше половины оставляют бюджет без изменений. Чаще всего его выделяют на продление лицензионных ключей (68%), закупку нового оборудования (49%) и импортозамещение зарубежного ПО (42%). Совсем не выделяют бюджет — меньше 1% компаний.

«В 2022 году 25% компаний увеличили бюджет на безопасность, в 2023 эта цифра выросла на 14%. Это большой скачек, так как в предыдущих исследованиях рост финансирования этой сферы стабильно фиксировали не больше четверти российских ИТ-компаний. На это, в том числе, повлияли запланированные изменения в российском законодательстве в области защиты ПДн — ужесточение ответственности и увеличение суммы штрафов до полумиллиарда рублей. Однако в 2023 году эти планы оказали опосредованное влияние на спрос, потому что окончательное решение еще не принято. В этом году должен сработать отложенный спрос на закупку новых и расширение имеющихся ИБ-решений», — считает Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

На рост инцидентов влияет не только низкий уровень знаний сотрудников или недостаточная оснащенность защитными средствами, но и нехватка квалифицированных кадров, которые могут работать со всеми этими направлениями. Компании по-прежнему испытывают дефицит ИБ-специалистов, 63% организаций считают, что он остается уровне 2021 и 2022 года, а 14% — что усилился. Наиболее привлекательным решением проблемы для частных компаний является привлечение готовых специалистов с рынка, почти половина используют этот подход. Для государственных — профессиональная переподготовка своих специалистов. 12% компаний используют аутсорсинг, ещё 10% планируют к ним присоединиться. Компании отмечают, что это поможет быстрее начать и повысить ИБ и снизить трудозатраты. Проблем с дефицитом кадров нет и не было у 16% ИТ-компаний, 8% считают, что он ослаб. (рис. 4)

* — вопросы с возможностью выбрать несколько вариантов ответов.

«СёрчИнформ» проводит исследование «Ситуация с ИБ в компаниях России и СНГ» седьмой год подряд. Респонденты — специалисты по информационной безопасности компаний из различных отраслей. Опрос проводится в рамках ежегодной серии конференций Road Show SearchInform.

Источник: Пресс-служба компании «СёрчИнформ»