После серии масштабных утечек данных в прошлом году, вопросам кибербезопасности стало уделяться больше внимания со стороны советов директоров. Об этом свидетельствуют результаты международного исследования EY в области информационной безопасности за 2018-2019 годы «Кибербезопасность: больше чем защита?». В опросе EY участвовали 1400 респондентов из числа руководителей служб кибербезопасности и управления рисками, представляющих крупнейшие и самые известные в мире компании с ежегодной выручкой от 10 млн до 10 млрд долларов США. Его целью было проанализировать первоочередные задачи, которые сегодня стоят перед бизнесом в части кибербезопасности, и предпринимаемые усилия по их решению.

Как следует из результатов опроса, 87% компаний отмечают недостаток средств для поддержания требуемого уровня кибербезопасности и устойчивости. Для 55% защита от киберугроз не входит в число приоритетов стратегии развития бизнеса и планов по ее реализации. Удивительно то, что эта проблема более актуальна для крупного бизнеса — о ней сообщают 58% представителей таких компаний против 54% респондентов, представляющих организации меньшего размера. При этом следует отметить, что крупные игроки сегодня планируют потратить больше денег на кибербезопасность — более половины представителей этой категории объявили о планах увеличить соответствующие бюджеты в этом году (63%) и/или в следующем (67%). Для сравнения: доля таких респондентов среди небольших организаций составляет 50% и 66% соответственно.

Большинство компаний (77%) сегодня понимают, что больше не могут ограничиваться стандартными мероприятиями в области кибербезопасности, и начинают внедрять современные решения, в том числе технологии искусственного интеллекта, роботизации, автоматизации и аналитики. Они не только продолжают наращивать базовый функционал, но и пересматривают подходы и всю архитектуру кибербезопасности. При этом лишь 8% респондентов считают, что их службы информационной безопасности полностью соответствуют текущим потребностям. Большинство же (78% представителей крупных компаний и 65% представителей организаций меньшего размера) отмечает, что решается лишь часть задач.

Все компании, принявшие участие в исследовании, реализуют проекты по цифровой трансформации, выделяя все больше средств на внедрение новейших технологий. Согласно результатам опроса, приоритетные направления для инвестирования в кибербезопасность в текущем году включают облачные решения (52%), аналитику киберугроз (38%) и мобильные вычисления (33%).

«Сегодня организации направляют все больше средств на внедрение новейших технологий в рамках проектов цифровой трансформации, которые не только создают множество новых возможностей, но и ведут к появлению новых уязвимостей и угроз. При этом необходимо понимать, что без доверия со стороны потребителей такая трансформация не может быть успешной. Кибербезопасность должна стать частью корпоративной философии, а для этого ее как минимум следует интегрировать в стратегию развития бизнеса», — прокомментировал Пол ван Кессель, руководитель направления по оказанию консультационных услуг в области кибербезопасности EY Global.

По признанию самих компаний, многие задумались о необходимости укрепления кибербезопасности и увеличения соответствующих бюджетов лишь после того, как столкнулись с весьма неприятными последствиями пробелов или инцидентов в системе безопасности. Согласно результатам опроса, самым большим источником риска являются беспечные, неосмотрительные сотрудники (34%). Список продолжают устаревшие средства контроля (26%), возможность несанкционированного доступа (13%) и использование облачных сервисов (10%). Только 8% участников опроса считают свои системы информационной безопасности полностью соответствующими текущим потребностям, при этом 38% респондентов отмечают, что их службы вряд ли смогут обнаружить изощренную атаку, а менее 10% называют свои системы зрелыми. Подавляющее большинство (82%) не уверено, что успешно выявляет все пробелы в своей защите и инциденты, и лишь менее трети компаний (31%), которым в прошлом году пришлось иметь дело с инцидентами в системе безопасности, смогли обнаружить брешь своими силами.

Сегодня компании понимают, что успех бизнеса в цифровую эпоху зависит от того, насколько эффективно они отслеживают киберриски и встраивают алгоритмы защиты на этапе проектирования систем. Лишь 18% респондентов отмечают, что вопросам информационной безопасности регулярно уделяется должное внимание при корректировке бизнес-стратегии. Кроме того, в большинстве компаний (60%) ответственное за кибербезопасность лицо не входит в состав высшего руководства. При этом 70% респондентов (73% среди крупных компаний и 68% среди организаций меньшего размера) заявляют, что высшее руководство либо полностью владеет ситуацией в области безопасности, либо принимает для этого необходимые меры.

Пол ван Кессель отметил: «Мы твердо убеждены, что в основе создания стоимости бизнеса будет лежать доверие к компании в цифровой среде. Чтобы его завоевать, следует перестать относиться к кибербезопасности как к очередной задаче в области ИТ и начать уделять ей внимание еще на этапе проектирования систем. Это повысит устойчивость к киберугрозам и позволит действовать уверенней в освоении новых возможностей и управлении киберрисками».

«Наши наблюдения из работы с организациями-клиентами в России по своей общей картине полностью соответствуют ответам российских компаний-респондентов — вопросы обеспечения кибербезопасности в зоне повышенного внимания топ-менеджмента; результаты исследования показывают, что российские компании чаще включают вопросы развития функций кибербезопасности в повестку совета директоров, и это не только вопросы стратегического развития, оптимизации и повышения эффективности функций кибербезопасности, но и вопросы безопасности использования передовых технологий, а также интеграции процессов и инструментов защиты информации в реализуемые стратегические инициативы по цифровой трансформации. Только 2% респондентов из России отмечают отсутствие какого-либо влияния кибербезопасности на стратегию развития компании. Значимость вопросов кибербезопасности для топ-менеджмента подтверждается также тем фактом, что только 26% респондентов из России отметили существенный недостаток бюджетирования функции кибербезопасности, в то время как более 86% глобальных респондентов отмечают недостаточное финансирование. При этом стоит отметить, что текущие ограничения и вызовы, с которыми сталкиваются российские компании при построении функции кибербезопасности, по своей природе аналогичны общемировым — это соответствие регуляторным требованиям, практическая демонстрация эффективности инвестиций в функции кибербезопасности — способности решения сложных задач по обеспечению кибербезопасности организации», — прокомментировал Николай Самодаев, партнер EY, руководитель практики в области управления информационными технологиями, ИТ-рисками и рисками кибербезопасности в СНГ.

Российские респонденты рассматривают три наиболее приоритетные технологии для информационной безопасности: аналитика в кибербезопасности, облачные и мобильные технологии. Данные ответы совпадают с ответами респондентов из других стран. При этом интересным выглядит разница в видении менее приоритетных технологий для кибербезопасности. Так, компании-респонденты из России выделяют следующие три технологии: Интернет вещей, роботизация и блокчейн, в то время как их зарубежные коллеги отмечают блокчейн, искусственный интеллект и биометрию.

Результаты исследования показали, что только 7% компаний-респондентов из России обнаружили наиболее значимые инциденты кибербезопасности силами внутреннего операционного центра обеспечения кибербезопасности (Security Operations Center) (глобально 16%), при этом 37% российских компаний-респондентов отметили, что данные инциденты были выявлены бизнес-подразделениями, а не функцией кибербезопасности.

«При встраивании решений по информационной и кибербезопасности в инициативы по цифровой трансформации сегодня недостаточно говорить только об экономическом эффекте, достигаемом за счет синергии цифровых решений и решений по обеспечению доверия к внедряемым технологиям. Из нашего опыта взаимодействия с компаниями из различных отраслей, мы также видим, что высшее руководство в не меньшей степени заинтересовано в снижении операционных рисков. При этом, основными задачами по-прежнему остаются создание и выстраивание прозрачной целостной многоуровневой системы управления киберрисками и её встраивание в общую систему риск-менеджмента компании», — отметил Николай Самодаев.

Пресс-релиз

Версия для печати