Российский бизнес по ряду важных параметров чувствует себя более защищенным, чем зарубежный. Об этом свидетельствуют данные международного опроса EY, с которым ознакомились «Известия». Так, в России большее число компаний считают, что смогут отразить изощренную кибератаку. Оценка осведомленности топ-менеджеров об IT-рисках значительно превосходит среднемировую. В EY считают, что это ложная уверенность и в ближайшие годы бизнес будет довольно агрессивно тестироваться на предмет кибербезопасности. Готова ли к таким вызовам Россия — вопрос открытый.
Бизнес всё больше задумывается о кибербезопасности. Результаты исследования EY, с которым ознакомились «Известия», показывают, что обеспокоенность компаний этими вопросами высока. 71% участников опроса отмечают необходимость увеличения бюджета на IT-безопасность до 50%.
Примечательно, что по ряду показателей российские предприниматели настроены более уверенно, чем их коллеги за рубежом. Так, 30% считают, что смогут распознать изощренную кибератаку. В мире средняя оценка — 12%. Лишь 42% наших компаний не создали единого центра обеспечения кибербезопасности — в мире — 48%. При этом 49% опрошенных фирм в России заявили о том, что топ-менеджмент обладает достаточными знаниями в информационной безопасности, чтобы управлять такими рисками. Среднемировая оценка — 17%.
В двадцатом по счету исследовании кибербезопасности EY приняли участие 1200 респондентов из разных стран, представляющих организации более чем из 20 секторов экономики.
В EY ожидают, что в ближайшие годы предметом интереса хакеров будут в меньшей мере деньги и в большей — технологии. В таких условиях предпринимателям придется осознать, что информационная безопасность — это далеко не только установка антивируса, но и системная работа над рисками. Ведь заметную брешь в безопасности компаний создают оплошности ее сотрудников и непонимание ими создаваемых проблем. Так, 60% респондентов видят угрозы в некомпетентности и неосведомленности собственных работников.
— Использование только технических решений и экспертизы специалистов по информационной безопасности в отрыве от выстраивания процессной модели ее обеспечения в организации не гарантирует должной защиты. Необходимо повышать уровень всех процессов в компании, а также компетенций персонала служб информационной безопасности, ИТ-отделов, пользователей систем и руководства организаций, — прокомментировал партнер EY руководитель направления по предоставлению услуг в области бизнес-рисков, управления ИТ и кибербезопасностью в СНГ Николай Самодаев.
По словам гендиректора Digital Security Ильи Медведовского, российские компании более самоуверенны в вопросах оценки своего уровня кибербезопасности, чем организации из США.
— Последние атаки вирусов-шифровальщиков наглядно это продемонстрировали, — отметил Илья Медведовский.
Эксперт подчеркнул, что 90% российских компаний до сих пор используют антивирусы, но они годятся лишь для защиты от уже известных киберугроз. Наименее защищены от хакерских атак промышленные компании, а наиболее подвержены рискам банки, подчеркнул Илья Медведовский.
Некоторые российские фирмы уже начали внедрять системный подход к таким рискам. Хотя это себе могут позволить лишь серьезные холдинги.
— Крупные корпоративные заказчики не ограничиваются только антивирусными решениями. Напротив, используют различные классы решений и для сетевой безопасности, и для защиты информации от утечек (DLP). Уровень проникновения DLP-систем в российских компаниях крупного и среднего бизнеса составляет порядка 50%. Именно целенаправленные утечки приносят компаниям наибольшие убытки, — отметил руководитель аналитического центра Zecurion Владимир Ульянов.
Эксперт согласен с выводом EY о том, что всё большую угрозу представляют для корпораций их халатные сотрудники.
— Крупные компании уже сейчас страдают от киберугроз. Причем не только хакеров, но и инсайдеров (внутренних нарушителей), которые имеют доступ к информации, и их задача состоит лишь в том, чтобы незаметно вынести файлы. Еще одна серьезная угроза связана с халатным персоналом. Причем угроза эта растет, — подчеркнул эксперт.
Не исключено, что в скором времени на многие организации обрушится целая волна хакерских атак — от самых простых до наиболее изощренных, прогнозируют в EY. Подобным атакам можно и нужно уметь давать отпор. Необходимо принимать решительные ответные меры по всем фронтам, начиная с противостояния наиболее распространенным атакам и заканчивая применением более «тонких» подходов для противодействия продвинутым и принципиально новым видам атак. Полностью защититься от атак невозможно, но реально создать систему реагирования.