У 40% российских компаний нет стратегии ИБ

У 40% российских компаний нет стратегии информационной безопасности (ИБ). Такие данные приводит компания PricewaterhouseCoopers (PwC) по результатам глобального исследования по кибербезопасности, в ходе которого PwC анализировала данные и от российских компаний.  Эксперты PwC также отмечают, что план реагирования на инциденты информационной безопасности отсутствует у 56% российских компаний, а у 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.

Как уточнили корреспонденту ComNews в компании PwC, в опросе приняли участие 248 российских компаний в период с 24 апреля по 26 мая 2017 г. Приглашения принять участие в исследовании были направлены по электронной почте читателям журналов CIO и CSO, а также клиентам PwC из 122 стран.

Глобально основой исследования стали ответы более 9,5 тыс. глав бизнес-подразделений и ИТ-служб - руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров информационных служб, руководителей служб безопасности, вице-президентов и директоров по вопросам ИТ и информационной безопасности из 122 стран.

В исследовании PwC приняли участие компании государственного и частного секторов разного размера: 28% респондентов представляли компании с годовым оборотом менее $100 млн, на долю организаций с оборотом свыше $500 млн пришлось 46% респондентов, еще 4% - это некоммерческие организации, государственные или образовательные учреждения.

Как выяснилось, у 40% российских компаний, принявших участие в исследовании, нет стратегии информационной безопасности. Процесс реагирования на инциденты информационной безопасности отсутствует в 56% компаний.

У 48% российских компаний, согласно данным PwC, нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.

Уровню осведомленности сотрудников по части информационной безопасности компания Eset посвятила отдельное исследование, в котором приняли участие 600 интернет-пользователей из России и стран СНГ. Опрос проводился в июне 2017 г.

Согласно данным Eset, 69% участников сообщили, что никогда не проходили в своих компаниях тренинги по ИБ. Еще 15% признали, что работодатель ограничился минимальным объемом информации о пользовании ПК, правила кибербезопасности не затрагивались. Качественные тренинги прошли только 16% опрошенных.

Среди пострадавших от кибератак полностью уверены в способности установить личность правонарушителя только 19% участников российской  части исследования PwC.

Почти четверть опрошенных из российских компаний утверждают, что использование мобильных устройств является причиной инцидентов в области информационной безопасности, следует из опроса PwC. Данный фактор занял второе место после фишинговых атак, которые лидируют в числе угроз, названных респондентами.

Согласно данным исследования, 48% участников опроса из России к самым серьезным последствиям кибератак относят нарушение конфиденциальности данных. Кроме того, они указывали такие риски, как нарушение нормального хода деятельности - 47%, снижение качества продукции - 27% и угроза жизни - 21%.

Руководитель поддержки продаж Eset Russia Виталий Земских, изучив результаты исследования PwC, отметил, что статистика близка к реальности. Специалист Eset добавил, что проблемы возникают у всех компаний. За крупными организациями из финансового сектора ведется пристальное наблюдение со стороны киберпреступников. Он отметил, что их реальность - целевые атаки, сложные вредоносные операции. Как сообщил Виталий Земских, компании малого и среднего бизнеса (СМБ) не всегда являются основной целью атак, но могут стать жертвами уязвимой системы безопасности.

В "Лаборатории Касперского" в целом подтверждают опрос PwC. "Лаборатория Касперского" и компания B2B International проводили свой опрос в марте-апреле 2017 г. среди 4505 респондентов из компаний с количеством сотрудников до 4999. В опросе приняли участие представители компаний различных размеров и индустрий из 29 стран.

В частности, 81% российских компаний отметили, что среди всех вопросов ИБ их больше всего беспокоит защита данных. Затем следует вопрос обеспечения выполнения персоналом политик ИБ и нормативных требований (52%) и обеспечение непрерывности бизнес-процессов (40%).

Как следует из исследования "Лаборатории Касперского", за год 56% российских организаций провели тренинги по повышению осведомленности об ИТ-рисках для своих сотрудников и еще четверть планировали провести их в ближайшие полгода.

Также, говоря о планах на ближайшие 12 месяцев, 55% респондентов отметили, что собираются проводить тренинги, 31% собирались развивать ИБ-политики компании и 28% планировали направить усилия на улучшение систем обнаружения и расследования ИБ-инцидентов. Кстати, как отметили в "Лаборатории Касперского", 60% российских компаний признали, что им необходимо улучшение систем обнаружения и расследования инцидентов.

В опросе "Лаборатория Касперского" попросила респондентов отметить тип инцидентов информационной безопасности, с которыми им пришлось столкнуться за год. В рейтинге из пяти самых популярных инцидентов три позиции занимают случаи, так или иначе связанные с мобильными или переносными устройствами: 38% компаний пострадали от физической потери устройств или носителей, содержащих корпоративную информацию, 37% - от ненадлежащего обмена данными посредством мобильных устройств и еще 30% - от физической потери мобильных устройств, подвергшей организацию рискам.

Однако не все согласны с результатами исследования, представленного PwC. Ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев полагает, что компания PwC основывалась на ответах своих клиентов, а не на реальной статистике инцидентов. Специалист "Доктора Веба" уверен, что на самом деле и в мире в целом, и в России в частности все обстоит гораздо хуже.

Согласно опросам "Доктора Веба", не более 1% компаний внедрили процедуры, позволяющие реагировать на инциденты безопасности в реальном времени (запуск экстренных проверок не в счет).

Вячеслав Медведев отметил, что корпоративные мобильные устройства, а также гаджеты сотрудников крайне редко обеспечиваются защитой, а тем более компьютеры, с которых сотрудники работают удаленно.

Технический директор компании Check Point Software Technologies Никита Дуров обратил внимание на критическую в плане ИБ отрасль промышленности - энергетику. По его словам, объекты, заводы, электростанции строились в те времена, когда о киберугрозах еще никто не думал, поэтому сейчас интегрировать системы информационной безопасности в таких организациях бывает крайне сложно.

В СМБ же проблема состоит в том, что никто всерьез не верит, что их будут взламывать, считает Никита Дуров. Однако он предупредил, что мелких подрядчиков злоумышленники могут использовать как трамплин для атаки на их крупных клиентов.

"В больших компаниях проблема часто состоит в отсутствии цифровой гигиены: сотрудники не осознают риски открытия писем от незнакомых отправителей, загрузки программ из недостоверных источников и подключения корпоративных гаджетов к публичному Wi-Fi. Известны случаи социальной инженерии, когда хакеры отправляли простые письма с резюме в HR-отделы, сотрудники их читали, без подозрений открывали вложенный doc-файл с резюме и тем самым запускали заражение", - привел пример специалист Check Point Software Technologies.

"Малый и средний бизнес, как правило, задумывается о необходимости решения вопросов, связанных с информационной безопасностью, лишь столкнувшись с серьезным инцидентом", - уверен руководитель направления информационной безопасности компании "Крок" (ЗАО "КРОК инкорпорейтед") Андрей Заикин. Он считает, что в государственных организациях вопросы ИБ не всегда решаются должным образом, в первую очередь из-за дефицита персонала. Однако Андрей Заикин заметил положительные изменения с переходом к цифровой экономике.

По данным Group-IB, абсолютное большинство крупных коммерческих компаний, госструктур, а также предприятий малого и среднего бизнеса (более 92% респондентов) сталкивались за последние годы с инцидентами информационной безопасности. Наибольший ущерб был нанесен производственным, государственным, транспортным предприятиям, а также компаниям из ретейла и телекома. Транспортные компании, промышленность, стратегические объекты ТЭК с каждым годом привлекают все большее внимание взломщиков - атаки на ИТ-инфраструктуру предприятий растут с каждым годом на 20%.

Как отметили в Group-IB, банки и финансовые институты защищены лучше, поскольку находятся на острие кибератак - их атакуют чаще, злоумышленники испытывают на них самое современное цифровое оружие. Отсюда можно сделать вывод, что компании хорошо осведомлены об угрозах, но плохо осведомлены о методах работы киберпреступников и, как следствие, способах противодействия атакам. 

Как отмечают в Group-IB, киберугрозы касаются не только компаний, но и частных инвесторов. Три четверти - 74% опрошенных консультантов из сферы Wealth management, Family office, Private banking, обслуживающих частные капиталы, сталкивались с большим количеством кибератак и оценивают этот тип угроз как значительный. Таковы результаты опроса двух фокус-групп в Цюрихе на Russian Wealth Advisors Forum 2017, организованном Институтом Адама Смита, и в Москве на закрытом мастер-классе Group-IB для собственников бизнеса. Только каждый десятый опрошенный заявил, что пока не сталкивался с кибератаками или не подозревает о том, что был атакован.

Судя по результатам опроса Group-IB, состоятельные люди испытали на себе различные виды атак со стороны киберпреступников: 55% опрошенных сталкивались с фишингом, 52% - с вредоносными программами.13% опрошенных стали жертвой вируса-шифровальщика. При этом опасность для состоятельных людей представляет кража не только денег, но и конфиденциальной информации. У 16% атакованных хакеры воровали деньги, у 23% - информацию. 

"Для индустрии Wealth management каждая атака обходится в среднем в $3,8 млн, и ущерб растет год от года", - замечает глава департамента по работе с частными клиентами Group-IB Руслан Юсуфов.

Согласно данным PwC, в 60% российских компаний уже есть стратегия по информационной безопасности, 57% российских компаний - участников опроса уже внедрили или в данный момент внедряют стратегию в области безопасности в связи с применением "подключенных" устройств.

В прошлом году исследователи зафиксировали, что 48% респондентов в России уже перераспределили свои инвестиции в кибербезопасность, уделив особое внимание защите внедряемых цифровых технологий. Примечательно, что 48% опрошенных в России отмечают, что цифровая трансформация бизнес-процессов увеличила расходы на информационную безопасность.

Как следует из исследования "Лаборатории Касперского", по сравнению с прошлым годом в среднем доля бюджета на ИБ в ИТ-бюджете (для российских компаний) выросла с 13% до 17% для компаний СМБ и с 18% до 21% - для крупного бизнеса. При этом компании ожидают, что в ближайшие три года бюджет на ИБ увеличится на 14% для компаний СМБ и еще на 20% - для крупных компаний.

В прошлом году Group-IB, Microsoft и ФРИИ выпустили совместное исследование "Киберпреступность в России и ее влияние на экономику страны". Согласно полученным данным, суммарный ущерб экономике России от киберпреступности достиг 203,3 млрд руб., или 0,25% от ВВП России, что равняется почти половине бюджетных расходов на здравоохранение в 2015 г.

При этом, привел статистические данные генеральный директор Group-IB Илья Сачков, прямой финансовый ущерб бизнесу составил 123,5 млрд руб. (0,15% от ВВП России), а затраты на ликвидацию последствий киберинцидентов - более 79,8 млрд руб. (0,1% от ВВП России). По данным компании, абсолютное большинство крупных коммерческих компаний, госструктур, а также предприятий малого и среднего бизнеса (более 92% респондентов) сталкивались в 2015 г. с инцидентами информационной безопасности.

По данным мониторинга киберугроз Threat Intelligence Group-IB, 99% всех инцидентов - это воровство денег. Илья Сачков назвал топ-5 самых опасных киберпреступлений: вирусы-шифровальщики, атакующие стратегические и финансовые объекты, атаки на ICO и криптосервисы, целевые атаки на банки, воровство у юридических лиц - клиентов банка, хищения денег в интернет-банкинге у пользователей.  

Руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин считает, что регулярный обмен информацией как на уровне отдельных компаний, так и на международном уровне может помочь быстрее выявить угрозу и стать наиболее эффективным инструментом в борьбе с киберпреступностью.

Как считает Виталий Земских из Eset, корпоративные пользователи переосмыслили опыт эпидемий шифраторов WannaCry и Petya и учатся на своих ошибках. "Во-первых, компании больше не воспринимают кибератаки как некую абстрактную угрозу и на собственном опыте, или и опыте коллег поняли необходимость инвестиций в защиту. Во-вторых, некоторые организации - потерпевшие, прежде всего - провели чистку кадров с последующим наймом квалифицированных специалистов", - пояснил он.

Об этих же угрозах, заставивших внимательнее отнестись к проблеме кибербезопасности, говорит и специлист Check Point Software Technologies. "Никогда ранее тема информационной безопасности не появлялась так часто в заголовках газет и на федеральных каналах. В то же время эти эпидемии шифровальщиков показали, что далеко не все компании действительно готовы к массированным атакам. Взломы коснулись крупных организацией, банков и критических инфраструктур - это говорит нам о том, что впереди еще очень много работы в области ИБ", - сказал Никита Дуров.

Вячеслав Медведев из "Доктора Веба" не видит тенденции к улучшению ситуации с информационной безопасностью в России. "Даже широкое освещение в СМИ атак вредоносных программ не способствует росту защищенности. Каждая новая эпидемия полностью соответствует афоризму: "Никогда такого не было, и вот опять". Компании заражаются два, три раза одними и теми же типами вредоносных программ - и не предпринимают никаких существенных мер защиты. Они считают, что снаряд в одну воронку два раза не попадет. Но он попадает", - сказал Вячеслав Медведев. При этом он отметил, что в ходе эпидемии WannaCry не пострадал ни один их клиент.

"В России и странах бывшего СССР риски ведения бизнеса существенно выше рисков информационной безопасности, так что последние просто не учитываются", - считает специалист "Доктора Веба". По его мнению, специалистов по безопасности и администраторов не учат взаимодействовать с бизнесом. "Они не умеют объяснять проблемы, проводить презентации, обучать сотрудников, и сложно их за это упрекать. Система образования не нацелена на выпуск специалистов, взаимодействующих с самыми разными подразделениями и умеющих управлять ситуацией", - добавил он.

Как отметил Илья Сачков из Group-IB, две трети российских компаний считают, что за последние три года количество киберинцидентов увеличилось в среднем на 72%, а ущерб вырос в два раза. При этом он добавил, что в краткосрочной перспективе (три года) респонденты прогнозируют рост как количества инцидентов, так и ущерба от них на 173% и 192% соответственно.

По словам специалиста Group-IB, эксперты наблюдают обратную динамику - тенденцию к снижению потерь, однако вместе с тем резкое увеличение количества инцидентов с целенаправленными атаками, в первую очередь на банки, где прямой ущерб исчисляется десятками и сотнями миллионов рублей. При этом появление новых типов угроз может в корне изменить не только количество инцидентов, но и ущерб от них.

"Причина успеха многих целевых атак - излишняя вера в то, что стандартные средства защиты, такие как лицензионный и обновленный антивирус, последняя версия операционной системы, использование межсетевых экранов (Firewall) или средств предотвращения утечек (DLP), остановят злоумышленников на одном из этапов развития атаки. Это не так", - отметил Илья Сачков.

"Расследования инцидентов показывают, что на зараженном компьютере практически всегда была установлена антивирусная защита популярных антивирусных производителей, а инфраструктура организации достаточно хорошо защищена системами обнаружения вторжения и другими техническими и программными средствами. Конечно, 100%-ной гарантии защиты от целевых атак на банки не существует, но снизить риски и повысить эффективность защиты возможно. Лучше всего это позволяет сделать использование Threat Intelligence - системы сбора, мониторинга и анализа информации об актуальных угрозах, преступных группах, их тактике, инструментах", - сказал Илья Сачков.

Виталий Земских считает, что угрозы формируют интерес клиентов к обеспечению безопасности, консалтинговым и сервисным услугам в области киберзащиты и телеметрическим сервисам.

Он обратил внимание на продукты компании, в частности, на телеметрический сервис Eset Threat Intelligence, который предоставляет доступ к данным о целевых атаках, новых вредоносных программах и активности ботнетов. Виталий Земских добавил, что, располагая такими данными, компания может прогнозировать, например, что одним из инструментов атаки будет шифратор и/или что злоумышленники используют социальную инженерию. Кроме того, Eset стала первым антивирусным вендором в России, который предоставляет на официальном уровне комплекс консалтинговых и сервисных услуг в области защиты от киберпреступности.

Технический директор компании Check Point Software Technologies Никита Дуров заметил, что за последний год компании стали внимательнее относиться к теме информационной безопасности. "К ним постепенно приходит осознание того, что информационная безопасность должна быть не придаточным сервисом, ее необходимо выстраивать на одном уровне со всей ИТ-инфраструктурой - только такой подход будет эффективен в борьбе с киберугрозами", - отмечает он.

Илья Сачков из Group-IB предложил пять шагов для улучшения ситуации в информационной безопасности, которые сама компания уже начала применять. Во-первых, внедрение технологий, которые помогают предотвращать и расследовать киберпреступления. В Group-IB сообщили, что раньше, чем многие частные компании и государство, внедрили CERT (центр круглосуточного реагирования на киберинциденты), Big Data и Threat Intelligence (киберразведка). Технологии позволяют не только бороться с конкретными киберпреступниками, а добиваться того, чтобы их бизнес становился неэффективным и экономически нецелесообразным.

Во-вторых, необходимо развивать международное сотрудничество с Европолом и Интерполом, направленное на совершенствование как международных процедур взаимной правовой помощи, так и национального законодательства о составах преступлений и процедурах расследования.

В-третьих, нужно повышать уровень киберграмотности, осведомленности об угрозах и способах защиты. В-четвертых, делать новые продукты для страхования киберрисков - в конце 2012 г. Group-IB вместе с одним из лидеров рынка страхования, компанией AIG, начали первыми в России предлагать программу страхования от киберугроз. Потом пошли дальше и запустили комплексную программу Group-IB TDS & AIG CyberEdge по защите от хакерских атак и реагированию на киберинциденты.

В-пятых, требуется развенчание романтического ореола вокруг хакеров, чтобы за киберпреступления стали давать серьезные сроки, связанные с лишением свободы.

В Group-IB прогнозируют, что киберпреступность станет еще быстрее, масштабнее, традиционный криминал полностью уйдет в "цифру". "Главной проблемой для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры как финальный этап целенаправленной хакерской атаки. Ожидаются новые мощные DDoS-атаки. Киберпреступники будут создавать новые бот-сети за счет IoT-устройств - видеокамер, маршрутизаторов, в том числе для их последующего использования в DDoS-атаках. Увеличится количество атак на криптовалютные сервисы и блокчейн-стартапы - многие преступные группы, раньше атаковавшие банки и их клиентов, переключились на ICO", - отметил Илья Сачков.

Однако наибольшую опасность, по мнению специалиста Group-IB, представляет кибероружие, оказавшееся в руках преступников. "Если не будет принят мораторий на использование кибероружия, возникнут высокие риски кибератак на стратегические объекты - АЭС, аэропорты и т.д. Нельзя заигрывать с кибероружием - последствия его применения будут гораздо хуже традиционной войны. ООН рассматривает вопрос о введении моратория на кибероружие. Если этого не будет, мы столкнемся с мировой катастрофой", - предупредил Илья Сачков.

Андрей Заикин из "Крок" не стал однозначно оценивать ситуацию с информационной безопасностью в России. С одной стороны, обратил внимание специалист "Крок", с точки зрения регулирования в сфере информационной безопасности в последние годы было довольно много положительных изменений. Он привел в пример обеспечение безопасности персональных данных, государственных информационных систем, критической информационной инфраструктуры. Кроме того, работа по улучшению ситуации с точки зрения воздействий регуляторов продолжается.

С другой стороны, как считает Андрей Заикин, развитие таких технологий, как Big Data, IoT, Blockсhain, а также тотальная автоматизация, расширяет ландшафт возможных угроз, в то время как информационная безопасность всегда выступает в роли догоняющего.

По словам специалиста "Крока", у большинства экспертов рынка ИБ подход сегодня такой: выстроить "непробиваемую" систему защиты крайне сложно. По его словам, намного важнее и эффективнее реагировать на возникающие атаки и вовремя их отражать.

Что касается деятельности "Крока", в данный момент компания строит собственный центр оперативного управления ИБ (Security Operations Center, SOC). Он поможет обеспечить поддержку технических и организационных мер по выявлению, анализу и предотвращению инцидентов информационной безопасности, включая распространение вредоносного программного обеспечения, активность бот-сетей, DDoS-атаки, несанкционированный доступ и компрометацию информационных систем, атаки на электронные платежные системы и т.п. Помимо этого, "Крок" развивает направление управляемых сервисов, когда заказчик может гибко управлять набором качественных и количественных параметров решения - например, числом пользователей, количеством интегрируемых систем и прочее.