Кибербезопасность считают стратегическим вопросом лишь в каждой пятой компании мира
Исследования аналитиков демонстрируют крайне низкий уровень вовлеченности топ-менеджеров компаний по всему миру в вопросы обеспечения кибербезопасности их организаций. Они не обратят внимания на проблему, пока сами не пострадают от атак, хотя многие намерены увеличивать инвестиции в ИБ.
Крупные компании пренебрегают широкими наборами ИБ-средств
Более половины мировых компаний до сих пор не включили вопросы устойчивости к киберугрозам в свои ИТ-стратегии. Об этом свидетельствуют результаты исследования экспертов Ernst & Young в 2018-19 гг., в ходе которого они опросили 1400 топ-менеджеров по всему миру. При этом 77% компаний оперируют лишь базовыми средствами обеспечения кибербезопасности. Как отмечают аналитики, в таких организациях зачастую даже нет общего представления о том, какие информационные активы представляют наибольшую важность и нуждаются в серьезной защите.
«Ограничения бюджета и навыков заставляют сегодняшних лидеров безопасности принимать критические решения или идти на компромиссы, когда речь идет о реализации единой стратегии кибербезопасности, — отметил глава представительства Fortinet в России и Казахстане Михаил Родионов. — Основные ограничения, отмеченные респондентами CISO, включают отсутствие централизованно организованной стратегии кибербезопасности, адекватного бюджета и поддержки со стороны высшего руководства».
Позитивным моментом в Ernst & Young называют то обстоятельство, что бюджеты кибербезопасности растут. Две трети крупных компаний намерены серьезно увеличить свои инвестиции в ИБ в 2019 г. (63%) и в 2020 г. (67%). Для среднего бизнеса эти показатели заметно ниже — 50% и 66% соответственно.
Топ-менеджеры обеспокоены ростом угроз, но все равно ничего не предпринимают
Исследователи также отмечают рост зависимости компаний от доступности глобальной ИТ-инфраструктуры. Это происходит по нескольким причинам, среди которых - конвергенция операционных технологий (OT) и ИТ-сетей и расширение практики использования облачных вычислений. Это приводит к определенным последствиям.
В частности, третей по величине угрозой для бизнеса (после фишинга и вредоносных программ) стали кибератаки, имеющие цель нарушить непрерывность бизнеса или полностью его остановить. Это понятно, с учетом того, что деловые операции практически прекращаются в случае краха IP-сети.
«Важно отметить, что все больше организаций начинают осознавать общую природу угрозы, — говорит Ричард Уотсон (Richard Watson), глава департамента кибербезопасности Ernst & Young в Азиатско-Тихоокеанском регионе. — Единственное, что изменилось в лучшую сторону за последние 12 месяцев, отчасти — на фоне нескольких крупных кибератак, — это растущее осознание того, что безопасность — это история не только про данные, но и про обеспечение непрерывности бизнес-операций».
Но даже при этом подавляющее число компаний не считают нужным инвестировать в свою кибербезопасность, пока они не сталкиваются с атаками, которые причиняют серьезный материальный ущерб бизнесу. В Ernst & Young считают, что эти предприятия играют с огнем, так как средняя стоимость взлома составляет, по оценкам Ponemon Institute, $3,62 млн. Но лишь 18% топ-менеджеров признались, что информационная безопасность постоянно влияет на стратегические планы бизнеса. О недостаточно серьезном отношении к киберугрозам свидетельствует и тот факт, что в 60% компаний лицо, непосредственно отвечающее за ИБ, даже не является членом совета директоров. Впрочем, в 92% организаций существует обеспокоенность возможностями ИБ-департаментов. Многие из них, говоря о недостаточных усилиях в этой сфере, ссылаются на нехватку навыков (30%) и ограниченные бюджеты (25%).
«Кибербезопасность не может быть ответственностью ИТ-команды. Одна из самых больших проблем, возникающих внутри периметра сети, — это внутренние угрозы. Управление внутренними угрозами и рисками, особенно непреднамеренными событиями, например, нажатием на фишинговую ссылку, использованием слабых паролей или незащищенным устройством в сети, отнимает много времени и ресурсов у группы безопасности. Это время можно потратить лучше — на управление угрозами из внешних источников. Чтобы решить эту проблему, сотрудники разных отделов должны играть более активную роль в кибербезопасности, обучаясь и помогая группам безопасности разрабатывать подходы, которые будут достаточно эффективными и не ограничат производительность», — заключил Михаил Родионов.