• О компании
  • Новости
  • 91% организаций формируют ИБ‑стратегию без учета бизнес‑рисков и возможных потерь
Новости

91% организаций формируют ИБ‑стратегию без учета бизнес‑рисков и возможных потерь

K2 Cloud, K2 Кибербезопасность и Positive Technologies представили результаты масштабного исследования о киберустойчивости российских компаний. В анонимном опросе приняли участие 387 специалистов из средних и крупных организаций разных отраслей — преимущественно ИБ- и ИТ-руководители. Основной итог — российские компании все еще плохо подготовлены к реальным киберугрозам и не понимают как защищать себя самостоятельно.

Неподготовленность к угрозам. Лишь 20% компаний относятся к вопросу кибербезопасности серьезно и кроме формального прохождения аудита у регуляторов внедрили внутренние ИБ-стандарты с учетом трендов угроз и для реальной защиты. Меньше половины (40%) централизованно и регулярно сканируют системы на уязвимости для их своевременного устранения. Почти треть компаний не проводит проверку защищенности ИТ-инфраструктуры вовсе. Только у 15% есть документированные сценарии реагирования на инциденты, которые регулярно тестируются и совершенствуются.

У 36% компаний функции кибербезопасности до сих пор выполняют сотрудники ИТ-департамента без четкого разграничения ролей и ответственности. При этом у 80% компаний часть штата работает удаленно или в гибридном формате. Размытый периметр доступа в сочетании с нечеткой ответственностью за безопасность — готовая точка входа для злоумышленников.

«Данные показывают типичную картину „бумажной“ безопасности. ИБ-функция формально существует, но операционная зрелость: непрерывный мониторинг, тестирование сценариев, риск-ориентированное бюджетирование — остается уделом меньшинства. Разрыв между наличием структуры и реальной способностью реагировать на угрозы в большинстве организаций огромен. При этом 41% компаний до сих пор не используют облака — а значит, берут на себя всю нагрузку по защите инфраструктуры самостоятельно, не всегда имея для этого достаточно ресурсов и экспертизы. Между тем облачные провайдеры за последние годы сильно изменились: сегодня это не просто вычислительные мощности в аренду, а платформы, которые серьезно инвестируют в собственную безопасность и предлагают уровень защиты, который большинству компаний сложно воспроизвести in-house».

Анжелика Захарова
Анжелика ЗахароваРуководитель практики кибербезопасности K2 Cloud

ИБ-стратегия. Российским компаниям все еще трудно самостоятельно формировать свою ИБ-стратегию — лишь у 9% ИБ-бюджет, задачи и KPI основаны на оценке ущерба и вероятности инцидентов. У большинства объем расходов на кибербезопасность формируется просто исходя из числа сотрудников или общего объема ИТ-бюджета. Поэтому многие продолжают ориентироваться на внешнюю экспертизу ИБ-интеграторов. 30% участвуют в программе bug bounty и/или проводят регулярные пентесты и киберучения, в т. ч. с привлечением внешних экспертов.

«В прошлом году мы увидели положительную динамику — половина ИТ- и ИБ-директоров отметили значительное повышение интереса к кибербезопасности со стороны топ-менеджмента и увеличение бюджетов на ИБ. При этом текущий опрос показал, что лишь у 17% компаний есть выделенная роль CISO в составе совета директоров для формирования стратегии ИБ. Это очень низкий показатель. Целенаправленный характер атак и возможные бизнес-риски должны сделать кибербезопасность обязательной частью бизнес-стратегии любой организации».

Андрей Заикин
Андрей ЗаикинДиректор по развитию бизнеса К2 Кибербезопасность

У большинства компаний (76%) в слепой зоне продолжает оставаться обучение персонала, в том числе и политикам кибербезопасности — этот процесс либо отсутствует полностью или проводится очень редко и формально (при приеме на работу или уже после инцидента).

«Необходимость повышать общую киберграмотность сотрудников сегодня осознают не многие компании. И имеют дело с серьезными последствиями — взломом бизнеса через социальную инженерию и фишинг. Важно, что обучение должно быть сквозным: от рядовых сотрудников до CEO. Топ-менеджмент интересен хакерам, поскольку руководители обладают максимальными полномочиями доступа к критической информации и финансовым ресурсам компании. ИБ-специфику важно учитывать при формировании комплексного плана развития и сотрудников и руководителей».

Анастасия Федорова
Анастасия ФедороваРуководитель образовательных программ Positive Education, Positive Technologies

Средства защиты. 38% компаний для своей кибербезопасности продолжают довольствоваться только корпоративным антивирус и/или базовым файерволом, которые не способны всесторонне защитить от сегодняшних угроз. У 33% есть система обнаружения вторжений или защиты конечных точек (IDS, IPS, EDR), но без централизованной корреляции и проблемами с shadow-it.