Специалисты аналитического центра Anti-Malware по итогам исследования отечественного рынка информационной безопасности пришли к выводу, что он находится в неутешительном состоянии. Нет ни нужного количества обученных людей, ни достаточных финансов, ни четких планов по развитию кибербезопасности в долгосрочной и среднесрочной перспективе.
В своем исследовании Anti-Malware опирались на опрос компаний из таких отраслей, как ИТ и телекоммуникации, машиностроение, финансы, банки, страхование, наука и образование, и других секторов экономики.
В частности, статистика показывает, что в большинстве российских компаний нет системной работы по обеспечению информационной безопасности и чувствуется нехватка штатных ИБ-специалистов. При этом63% опрошенных выделяют на информационную безопасность менее 500 тыс. руб. в год. Только 12% компаний располагают бюджетом более 10 млн руб., и всего 6% компаний тратят на кибербезопасность более 50 млн руб. в год.
От недостатка финансирования (который, напомним, задается еще на государственном уровне ) идет следующий большой провал отрасли, отсутствие планов развития. В половине (52%) опрошенных компаний персонала и бюджетов хватает только на текущую операционную деятельность. А квалифицированных специалистов по кибербезопасности и впрямь мало – в большинстве компаний (54%) над кибербезопасностью работает от одного до пяти человек, 27% организаций малого и среднего бизнеса вообще не имеют выделенных КБ-специалистов, и только в 8% крупных компаний (от 500 сотрудников и выше) отдел КБ составляет более 20 человек.
Ввиду экономии на КБ, сравнительно новом для бизнеса феномене, происходит слияние ролей ИБ и ИТ. Примерно в четверти случаев решение о закупке необходимых средств защиты принимают руководители направлений ИБ или лично директор по ИБ, почти в трети случаев к решению привлекаются коллеги из ИТ. ИТ-департамент привлекается к принятию решений о покупке средств защиты сетевого периметра и от DDoS-атак.
Вместе с тем, в государственных организациях, в банковской сфере и области телекома, по мнению экспертов, проблемы информационной безопасности решаются достаточно эффективно, и удручающая статистика относится, в основном, к среднему по стране уровню. Все еще значительную роль играет недостаточная информированность о том, как действую современные хакеры, и какие риски несут их атаки. Недооценка рисков приводит к недофинансированию и, что хуже, к неэффективным тратам денег на уже неэффективные средства защиты.
По статистике «Лаборатории Касперского», которую она собрала в результате исследования весной 2018 г., каждая крупная компания в России за прошедший год столкнулась с хотя бы одним инцидентом информационной безопасности. «В топ-5 причин, по которым происходили инциденты, входят недостаток знаний и недобросовестность сотрудников в области ИБ. Так, 33% опрошенных компаний столкнулись с ненадлежащим использованием ИТ-ресурсов сотрудниками, которое привело к ИБ-инцидентам: в 30% организаций сотрудники банально теряли мобильные устройства или съемные носители, содержащие корпоративную информацию.
Притом, что с кибербезопасностью в России пока все плохо, необходимость прогресса в данной области это практически вопрос выживания – ведь не будем забывать страшные цифры 2018-го: 82% российских компаний кибератаковали, 47% из них – успешно .
