«Солар»: как советы директоров российского бизнеса определяют приоритеты в кибербезопасности

1 апреля 2025 г.

Группа компаний «Солар», Ассоциация независимых директоров (АНД) и Национальное объединение корпоративных секретарей (НОКС) в 2024 году провели исследование о приоритетах кибербезопасности сквозь призму корпоративного управления. В ходе исследования 60% представителей советов директоров отметили, что подходят к решению вопросов кибербезопасности системно. При этом 30% компаний рассматривают вопросы ИБ ситуационно — только при возникновении инцидентов.

60% респондентов отметили, что их компании находятся в процессе цифровой трансформации. При этом акцент на клиентский опыт и переход в цифровые каналы взаимодействия формируют дополнительные риски атак на пользователей, партнеров и IT-инфраструктуру. Так, только за первые девять месяцев 2024 года в России эксперты Solar AURA зафиксировали 569 инцидентов, связанных с утечкой данных, что на 35% больше, чем за весь 2023 год.

Актуальной для бизнеса становится и позиция российского общества, которое обеспокоено собственной цифровой защищенностью. По данным ряда исследований, 63% пользователей уверены, что их данные есть в сети и к ним можно получить доступ, 71% предпочитают знать, каким образом компании используют их персональные данные, при этом более 50% пользователей опасаются, что эти данные могут быть использованы против них.

В связи с этим кибербезопасность становится не только инструментом защиты данных и информационных систем. С учетом актуального масштаба киберугроз компании, способные обеспечить высокий уровень безопасности, получают значительное преимущество в глазах клиентов и повышают качество корпоративного управления.

Топ-менеджмент российских компаний выделяет четыре ключевых элемента успешной стратегии кибербезопасности: риск-сбалансированный подход (69%), киберкультура (56%), соответствие требованиям регуляторов, включая защиту от утечек (44%), и продвинутый мониторинг кибератак (38%).

Наиболее востребованными инструментами повышения эффективности кибербезопасности, по мнению респондентов, остаются проведение киберучений и стресс-тестирований (75%), развитие кадрового потенциала (50%) и включение трендвотчинга в процесс принятия решений по развитию ИБ (38%).

Наиболее популярным для топ-менеджеров способом получения информации об уровне кибербезопасности их компаний являются отчеты CISO, их практикуют 63% респондентов. Сопоставимой альтернативой является информация от независимого аудита (63%).

Дополнительными источниками отчетности для топ-менеджеров являются данные по итогам тестирования защищенности (38%), а также «второе мнение» от CIO (44%). Сочетание различных типов источников информации позволяет понять реальное состояние киберзащищенности компании и выявить области для ее развития.

«Комитет АНД по новым технологиям отмечает растущие риски киберугроз и, соответственно, повышение актуальности и многогранности вопросов кибербезопасности. На советах директоров все чаще обсуждаются вопросы кибербезопасности: риски, стратегия, планы действий. В советы директоров сейчас часто приглашают технологических лидеров. Практикуются экспертные доклады, вопросы включаются в обсуждение на стратегических сессиях и т.п.», — отмечает Николай Прянишников, председатель комитета АНД.

«Переход в „цифру“ для многих компаний повышает требования к информационной безопасности. Поэтому позиция высшего менеджмента играет важную роль в стратегическом планировании инвестиций, которые необходимы для реализации комплексных программ по кибербезопасности. Если стратегия базируется на риск-ориентированном подходе и принята на всех уровнях управления, то компания получает возможность снизить потенциальный ущерб для клиентов и операционной деятельности в результате киберинцидентов», — дополняет Роман Чаплыгин, директор по консалтингу ГК «Солар».

По итогам проекта эксперты «Солара» выделили семь областей корпоративного управления, тесно связанных с защитой конфиденциальной информации компании, ее активов и репутации.

В число приоритетных вошли ответственность руководителей за управление компанией, в том числе уголовная и административная; комплаенс и соблюдение требований регуляторов рынка. Важную роль также играют стратегическое планирование инвестиций в комплексную кибербезопасность; защита репутации компании и обеспечение финансовой стабильности на фоне рисков кибератак для операционной деятельности или утечек конфиденциальной информации. Эксперты также выделяют управление киберрисками и киберкультуру, которая тесно связана с этикой и безопасным поведением в цифровом мире.

Значимым элементом системного развития кибербезопасности эксперты считают участие топ-менеджеров в стратегическом управлении ИБ. Хорошей практикой остается подход к развитию ИБ «сверху вниз», при котором на уровне руководства компании определены и оцифрованы стратегические риски, сформулированы цели и ожидания от кибербезопасности, выстроена схема регулярного взаимодействия руководства компании и ИБ-директора.

В исследовании приняли участие более 50 экспертов — члены советов директоров, генеральных директоров и вице-президентов, директоров по IT и ИБ транспортных, металлургических, электроэнергетических компаний, банковского сектора и e commerce.

Источник: Пресс-служба компании «Солар»