Аналитики K2 Cloud, «K2 Кибербезопасность» и Positive Technologies изучили киберустойчивость российских средних и крупных компаний, анонимно опросив 387 специалистов — преимущественно ИБ- и ИТ-руководителей.

Оказалось, только 20% респондентов относится к кибербезу серьёзно и кроме формального аудита у регуляторов внедряет внутренние ИБ-стандарты с учётом трендов угроз. Всего лишь у 15% есть документированные сценарии реагирования на инциденты, которые регулярно совершенствуются. 40% организаций централизованно сканирует системы на уязвимости, а почти треть не проводит проверку защищённости ИТ-инфраструктуры вовсе.

У 36% опрошенных функции безопасников до сих пор возложены на айтишников — без чёткого разграничения ролей и ответственности. При этом у 80% часть персонала работает удалённо или в гибридном формате, что «размывает» периметр доступа.

«Данные показывают типичную картину «бумажной» безопасности. ИБ-функция формально существует, но операционная зрелость (непрерывный мониторинг, тестирование сценариев, риск-ориентированное бюджетирование) остаётся уделом меньшинства. Разрыв между наличием структуры и реальной способностью реагировать на угрозы в большинстве организаций огромен. При этом 41% компаний до сих пор не использует облака — а значит, берёт на себя всю нагрузку по защите инфраструктуры самостоятельно, не всегда имея для этого достаточно ресурсов и экспертизы. Между тем облачные провайдеры за последние годы сильно изменились: сегодня это не просто вычислительные мощности в аренду, а платформы, которые серьёзно инвестируют в собственную безопасность и предлагают уровень защиты, который большинству компаний сложно воспроизвести in-house», — отметила Анжелика Захарова, руководитель практики кибербезопасности K2 Cloud.

По данным исследования, только у 9% организаций ИБ-бюджет, задачи и KPI основаны на оценке ущерба и вероятности инцидентов. У большинства же статья расходов на кибербез формируется исходя из числа сотрудников или общего объёма ИТ-бюджета. Поэтому многие продолжают ориентироваться на мнение ИБ-интеграторов. 30% участвует в программе bug bounty и/или проводит регулярные пентесты и киберучения (в том числе с привлечением внешних экспертов). 

«В прошлом году мы увидели положительную динамику — половина ИТ- и ИБ-директоров отметила значительное повышение интереса к кибербезопасности со стороны топ-менеджмента и увеличение бюджетов на ИБ. При этом текущий опрос показал, что лишь у 17% компаний есть выделенная роль CISO в составе совета директоров для формирования стратегии ИБ. Это очень низкий показатель. Целенаправленный характер атак и возможные бизнес-риски должны сделать кибербезопасность обязательной частью бизнес-стратегии любой организации», — считает Андрей Заикин, директор по развитию бизнеса «К2 Кибербезопасность».

Также выяснилось, что у 76% не отлажен процесс обучения персонала ИБ-политикам — он либо отсутствует полностью, либо проводится очень редко и формально (при приёме на работу или уже после инцидента).

«Необходимость повышать общую киберграмотность сотрудников сегодня осознают не многие компании. И имеют дело с серьёзными последствиями — взломом бизнеса через социальную инженерию и фишинг. Важно, что обучение должно быть сквозным: от рядовых сотрудников до CEO. Топ-менеджмент интересен хакерам, поскольку руководители обладают максимальными полномочиями доступа к критической информации и финансовым ресурсам компании. ИБ-специфику важно учитывать при формировании комплексного плана развития и сотрудников и руководителей», — констатировала Анастасия Федорова, руководитель образовательных программ Positive Education, Positive Technologies.

Наконец, по данным опроса, 38% респондентов продолжает довольствоваться корпоративным антивирусом и/или базовым файерволом, не способными всесторонне защитить организацию от сегодняшних угроз. У 33% есть система обнаружения вторжений или защиты конечных точек (IDS, IPS, EDR), но без централизованной корреляции и проблемами с shadow-it.