Аналитики «СёрчИнформ» провели анонимный опрос компаний России и СНГ с целью оценить уровень информационной защиты и подход к вопросам ИБ. Опрос здесь: https://searchinform.ru/research-2019/
В исследовании приняли участие 1052 человека: начальники и сотрудники ИБ-подразделений, эксперты отрасли и руководители организаций из коммерческой (76%), государственной (22%) и некоммерческой сфер (2%). Исследование затронуло IT, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ритейл, здравоохранение и другие отрасли.
В рамках обсуждения исследования глава Комитета АПКИТ по ИБ Дмитрия Кувшинникова, выделил два момента:
Тезис из исследования: «Предметом исследования были четыре темы: кто и в каких обстоятельствах становится нарушителем; насколько хорошо компании обеспечены защитными средствами; как часто бизнес сталкивается с утечками информации и другими инцидентами внутренней безопасности; какой ущерб несут работодатели и как наказывают нарушителей».
Сбор статистики по России и СНГ отдельно обусловлен тем, что существует разница в ИБ-практике этих регионов. Методики ИБ-специалистов из стран СНГ менее однородны, т.к. они аккумулируют и перенимают как российский, так и европейский опыт. Второй аспект – в большей части стран СНГ регулирование развивается медленнее, чем в России, и это отражается на том, с какими угрозами сталкиваются компании и в каком темпе внедряют защитные средства. И последний крайне важный фактор – российские компании обеспечены бюджетами на защиту информации лучше. В сумме это и определяет разницу в статистической картине.
Мнение Дмитрия Кувшинникова: Исследование безусловно интересно, однако надо принимать во внимание следующий момент: основой, на которой строится ИБ, являются модели угроз и нарушителя. То есть, проще говоря, что и от кого мы защищаем. Действия в одной модели могут считаться нарушением, при этом в соседней организации, имеющей другую модель, те же действия не будут считаться нарушением. К сожалению, в большинстве организаций эти основополагающие документы отсутствуют как класс, а там, где они есть, сотрудников очень редко знакомят с ними под подпись. Таким образом, сотрудники, а часто и руководители, дают ответы исходя из того как они видят эту проблему, а не так как установлено самой организацией.
Если мы будем исходить из допущения, что все опрошенные ознакомлены с моделями угроз и нарушителя в своих организациях, а эти модели безусловно присутствуют и составлены неформально, то из исследования можно сделать следующий вывод – ИБ до сих пор стоит не в приоритете. Расходы на ИБ не увеличиваются, многие до сих пор считают, что антивирус – это защита от всех проблем. Основная угроза видится в электронной почте. Эту точку зрения можно понять, так как один из абсолютно правильных выводов исследования заключается в том, что человеческий фактор всегда имеет главенствующую роль. Но при этом не учитывается, что с таким подходом много инцидентов для организации могут пройти незамеченным, при этом информация (финансы, клиентская база и пр.) может быть скачена злоумышленниками или, что еще хуже, в нее могут быть внесены изменения.
Тезис из исследования: Работодатели стали активнее контролировать каналы передачи информации. Компании видят, как много шума в медиа-пространстве создают новости об утечках информации по вине инсайдеров и не хотят повторять чужой печальный опыт. Хотя не все компании обеспечены продвинутыми защитными средствами (см. раздел «используемые средства защиты»), в компаниях осознают важность контроля над основными каналами утечки информации (корпоративная почта, внешние устройства и др.) и осуществляют его доступными способами.
Компании стали более эффективно использовать имеющиеся ИБ-средства, которые уже «стоят на вооружении», в частности DLP-системы. Их настройка требует принятия не только технических мер, но и административных: приходится обучать персонал, разрабатывать политики безопасности и т.п. Компании демонстрируют все более вдумчивый и конструктивный подход в этом деле. Кроме того, половина опрошенных готовы разово или регулярно решать вопрос информационной безопасности более бюджетным и в то же время цивилизованным способом – с помощью аутсорсеров. При том, что компании не торопятся повышать бюджеты на информационную безопасность, готовность оптимизировать свою работу выглядит оптимистично.
Мнение Дмитрия Кувшинникова: Я бы не был столь оптимистичным. Исходя из ответов и из практики, расходы на ИБ не растут, а в период пандемии - первыми пошли на секвестирование, что вызывает тревогу. Но радует, что компании начали «разрабатывать политики безопасности», хотя с этого надо начинать любые работы по внедрению ИБ.
Комитет по вопросам информационной безопасности: kdi@bcg.su
В исследовании приняли участие 1052 человека: начальники и сотрудники ИБ-подразделений, эксперты отрасли и руководители организаций из коммерческой (76%), государственной (22%) и некоммерческой сфер (2%). Исследование затронуло IT, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ритейл, здравоохранение и другие отрасли.
В рамках обсуждения исследования глава Комитета АПКИТ по ИБ Дмитрия Кувшинникова, выделил два момента:
Тезис из исследования: «Предметом исследования были четыре темы: кто и в каких обстоятельствах становится нарушителем; насколько хорошо компании обеспечены защитными средствами; как часто бизнес сталкивается с утечками информации и другими инцидентами внутренней безопасности; какой ущерб несут работодатели и как наказывают нарушителей».
Сбор статистики по России и СНГ отдельно обусловлен тем, что существует разница в ИБ-практике этих регионов. Методики ИБ-специалистов из стран СНГ менее однородны, т.к. они аккумулируют и перенимают как российский, так и европейский опыт. Второй аспект – в большей части стран СНГ регулирование развивается медленнее, чем в России, и это отражается на том, с какими угрозами сталкиваются компании и в каком темпе внедряют защитные средства. И последний крайне важный фактор – российские компании обеспечены бюджетами на защиту информации лучше. В сумме это и определяет разницу в статистической картине.
Мнение Дмитрия Кувшинникова: Исследование безусловно интересно, однако надо принимать во внимание следующий момент: основой, на которой строится ИБ, являются модели угроз и нарушителя. То есть, проще говоря, что и от кого мы защищаем. Действия в одной модели могут считаться нарушением, при этом в соседней организации, имеющей другую модель, те же действия не будут считаться нарушением. К сожалению, в большинстве организаций эти основополагающие документы отсутствуют как класс, а там, где они есть, сотрудников очень редко знакомят с ними под подпись. Таким образом, сотрудники, а часто и руководители, дают ответы исходя из того как они видят эту проблему, а не так как установлено самой организацией.
Если мы будем исходить из допущения, что все опрошенные ознакомлены с моделями угроз и нарушителя в своих организациях, а эти модели безусловно присутствуют и составлены неформально, то из исследования можно сделать следующий вывод – ИБ до сих пор стоит не в приоритете. Расходы на ИБ не увеличиваются, многие до сих пор считают, что антивирус – это защита от всех проблем. Основная угроза видится в электронной почте. Эту точку зрения можно понять, так как один из абсолютно правильных выводов исследования заключается в том, что человеческий фактор всегда имеет главенствующую роль. Но при этом не учитывается, что с таким подходом много инцидентов для организации могут пройти незамеченным, при этом информация (финансы, клиентская база и пр.) может быть скачена злоумышленниками или, что еще хуже, в нее могут быть внесены изменения.
Тезис из исследования: Работодатели стали активнее контролировать каналы передачи информации. Компании видят, как много шума в медиа-пространстве создают новости об утечках информации по вине инсайдеров и не хотят повторять чужой печальный опыт. Хотя не все компании обеспечены продвинутыми защитными средствами (см. раздел «используемые средства защиты»), в компаниях осознают важность контроля над основными каналами утечки информации (корпоративная почта, внешние устройства и др.) и осуществляют его доступными способами.
Компании стали более эффективно использовать имеющиеся ИБ-средства, которые уже «стоят на вооружении», в частности DLP-системы. Их настройка требует принятия не только технических мер, но и административных: приходится обучать персонал, разрабатывать политики безопасности и т.п. Компании демонстрируют все более вдумчивый и конструктивный подход в этом деле. Кроме того, половина опрошенных готовы разово или регулярно решать вопрос информационной безопасности более бюджетным и в то же время цивилизованным способом – с помощью аутсорсеров. При том, что компании не торопятся повышать бюджеты на информационную безопасность, готовность оптимизировать свою работу выглядит оптимистично.
Мнение Дмитрия Кувшинникова: Я бы не был столь оптимистичным. Исходя из ответов и из практики, расходы на ИБ не растут, а в период пандемии - первыми пошли на секвестирование, что вызывает тревогу. Но радует, что компании начали «разрабатывать политики безопасности», хотя с этого надо начинать любые работы по внедрению ИБ.
Комитет по вопросам информационной безопасности: kdi@bcg.su