ИБ не хватает людей, финансов и планирования
В большинстве российских компаний наблюдается нехватка специалистов по информационной безопасности (ИБ), недофинансирование ИБ, а также отсутствие четких планов по развитию ИБ в долгосрочной и среднесрочной перспективе. К таким выводам пришли специалисты аналитического центра Anti-Malware по итогам исследования отечественного рынка информационной безопасности.
В исследовании в Anti-Malware опирались на опрос компаний из таких отраслей, как ИТ и телекоммуникации, машиностроение, финансы, банки, страхование, наука и образование, и других секторов экономики. По данным исследования в большинстве российских компаний нет системной работы по обеспечению информационной безопасности и чувствуется нехватка штатных ИБ-специалистов.
Аналитики Anti-Malware.ru отмечают, что 63% опрошенных выделяют на информационную безопасность менее 500 тыс. руб. в год. "Только 12% компаний располагают бюджетом более 10 млн руб., и всего 6% компаний тратят на кибербезопасность более 50 млн руб. в год. Это сказывается на приоритетах развития ИБ в организациях. Лишь около 48% компаний четко определяют планы развития - такие результаты хорошо соотносятся со статистикой численности служб ИБ и их бюджетами. В половине российских компаний выделенных специалистов и имеющихся средств хватает только на операционную деятельность, не предполагающую среднесрочное и долгосрочное планирование", - приводят данные в Anti-Malware.
Еще один тренд, выявленный по результатам исследования, - нехватка ИБ-специалистов. В большинстве компаний (54%) над кибербезопасностью работает от одного до пяти человек, 27% организаций малого и среднего бизнеса не имеют выделенных ИБ-специалистов, в 8% крупных компаний (от 500 сотрудников и выше) отдел ИБ составляет более 20 человек, в 11% компаний - от 6 до 20 специалистов.
"Нехватка квалифицированных кадров в области кибербезопасности и дефицит экспертизы - отчетливая тенденция на рынке ИБ, с которой нам часто приходится сталкиваться. Особенно это касается регионов, где нехватка знаний в области кибербезопасности приводит к существенному отставанию специалистов от глобального развития киберугроз. Очень важно создавать условия для получения образования и дополнительного профобучения в этой сфере", - комментирует результаты отчета генеральный директор компании Attack Killer Рустэм Хайретдинов.
Несмотря на нехватку ИБ-специалистов, что приводит к развитию аутсорсинга в этой сфере, лишь 20% опрошенных компаний используют аутсорсинг, 67% вообще не прибегают к аутсорсингу каких-либо услуг ИБ.
"По результатам исследования виден масштаб недофинансирования ИБ в российских компаниях. У большинства из них бюджета хватает на минимальную, зачастую формальную, базовую защиту, которая на деле оказывается неэффективной против современных атак. В таких условиях объявленный государством курс на ускоренную цифровизацию экономики неминуемо создает серьезные дополнительные риски, которые необходимо учитывать уже сейчас", - комментирует генеральный директор Anti-Malware Илья Шабанов.
Аналитики, исследуя рынок ИБ, пришли к выводу, что происходит слияние ролей ИБ и ИТ. Как следует из опроса, примерно в четверти случаев решение о закупке необходимых средств защиты принимают руководители направлений ИБ или лично директор по ИБ, почти в трети случаев к решению привлекаются коллеги из ИТ. Причем значительно чаще директора по ИБ оставляют под своим контролем вопросы закупки DLP-систем, WAF и средств анализа защищенности. ИТ-департамент привлекается к принятию решений о покупке средств защиты сетевого периметра и от DDoS-атак.
"В российском бизнесе идет процесс конвергенции функций ИБ- и ИТ-служб, ведь большинство инструментов ИБ перестают быть "навесными" и начинают интегрироваться в инфраструктуру. Идентичными оказываются решаемые задачи - помощь в достижении бизнес-целей и обеспечение работоспособности инфраструктуры. Оптимальный путь для ИБ-служб - стать подразделениями, способными обосновывать инвестиции в развитие отрасли: для этого нужно уходить исключительно от пассивных выполнений требований регуляторов и контроля защищенности инфраструктуры к аналитике, предупреждению нарушений, расследованию инцидентов совместно с другими департаментами", - отметил Рустэм Хайретдинов.
Специалист по информационной безопасности компании Group-IB Сергей Золотухин, комментируя результаты исследования, отметил, что было бы ошибкой считать, что системная работа по ИБ в компаниях не ведется.
"В государственных компаниях подход к защите информации исторически носит сиcтемный характер, опирающийся на нормативно-правовую базу, согласованный регуляторами и обеспеченный внутренними регламентами и процедурами. В крупных коммерческих организациях также существуют внутренние структуры - департаменты, управления, отделы, в задачи которых входит обеспечение безопасности - от выработки стратегии до реализации защиты информации на практике. Что это, как не системная работа? Однако эффективность такой работы крайне низкая - именно поэтому мы наблюдаем непрекращающийся рост успешных атак. К сожалению, принципы, на которых строится системная работа, в современном мире уже устарели. Требуется изменение парадигмы мышления, для того чтобы информационная безопасность перестала быть ненужным "прицепом" к динамичному "спорткару" - бизнесу и отвечала насущным требованиям бизнеса, как тормозная система, которая позволяет максимально быстро и безопасно двигаться по сложным трассам" - говорит Сергей Золотухин.
Говоря об отсутствии системной работы компаний с направлением ИБ, руководитель отдела аналитики Positive Technologies Евгений Гнедин отметил, что рынок информационной безопасности в России показывает рост. "По данным компании, рост рынка ИБ в России в 2018 г. составил 10% по сравнению с 2017 г. И при этом общее количество инцидентов, происходящих в мире, и в России в частности, также год от года растет: они приобретают все большую массовость и все чаще оборачиваются крупномасштабными эпидемиями, ущерб от которых также становится все ощутимее (от нарушения работы отдельных сервисов до полной остановки бизнес-процессов со всеми вытекающими последствиями). Получается, что, с одной стороны, среднестатистическая организация все больше сил и средств вкладывает в свою информационную безопасность, а с другой - ситуация лучше не становится", - говорит он.
В 2017 г. эксперты Positive Technologies опросили представителей 170 российских компаний - руководителей ИТ- и ИБ-подразделений, директоров. Организации, принявшие участие в исследовании, различны по сфере экономики, количеству сотрудников и офисов.
Анализ показал, что бюджет, выделяемый на обеспечение ИБ некоторыми госкомпаниями, достигает 800 млн руб. в год, в то время как, например, образовательные учреждения ограничены существенно меньшими суммами.
"К сожалению, комплексный подход к защите от киберугроз мы увидели только в финансовых учреждениях. Риск-ориентированный подход к решению задач информационной безопасности используется в компаниях редко и не в полном объеме. О страховании рисков кибератак большинство российских компаний либо не слышали, либо только начинают задумываться, за исключением банковской сферы, где страхование в принципе широко распространено. Хотя на Западе страхование является стандартным способом обработки рисков в тех ситуациях, когда компания не в силах принять меры для их снижения и не имеет возможности отказаться от деятельности, связанной с ними", - сказал Евгений Гнедин.
Заместитель технического директора DIS Group Василий Хасанов не вполне согласен с теми проблемами, которые были вычленены в ходе исследования. "Не могу сказать, что наблюдаю отсутствие системной работы, нехватку специалистов или дефицит экспертизы. По крайней мере, в банковской сфере и области телекома. Там проблемы информационной безопасности решаются достаточно эффективно", - добавил он.
Сергей Золотухин совершенно согласен с тем, что чувствуется нехватка штатных ИБ-специалистов. "Причем ситуация очень интересная. С одной стороны, все больше и больше вузов выпускают специалистов по информационной безопасности, с другой - специалистов не хватает. Причина такого положения - отрыв теоретических знаний, которые дают в вузах, от реальной практики. К сожалению, техники и тактики злоумышленников развиваются гораздо быстрее, чем академические программы, и вузы не успевают выпускать специалистов, готовых с институтской скамьи сразу вступить в бой. Для преодоления такой ситуации в нашей компании, например, построена система привлечения студентов старших курсов. После двух-трех лет практической работы на рынке появляется высококлассный специалист, способный решать практические задачи. Очень многие специалисты в нашей компании начали работу здесь со студенческой скамьи", - рассказал Сергей Золотухин.
Говоря о влиянии дефицита кадров на развитие аутсорсинга, он говорит, что организации вынуждены решать задачи через аутсорсинг в условиях, когда существует определенный дефицит специалистов, способных противодействовать современным киберугрозам. "Я бы предложил рассматривать аутсорсинг шире, чем просто привлечение ресурсов для решения определенных задач. Я бы говорил об аутсорсинге компетенций - это не всегда передача ресурсов, очень часто это передача знаний и опыта. Это направление активно развивалось в 2018 г. и остается приоритетным для нас и в 2019 г. Построение SOC в рамках реализации требований к защите критической инфраструктуры - отличный пример, когда мы передаем уникальную экспертизу всей компании, а не просто продаем человеко-часы работников Group-IB", - отметил Сергей Золотухин.
Евгений Гнедин говорит о том, что эксперты по ИБ - уникальный и "штучный товар". "Мы в буквальном смысле слова собираем их по крупицам: поддерживаем специализированные мероприятия - типа хакатонов или конференции PyCon, - организуем свои. Обучаем сами: проводим стажировки, поддерживаем большую программу Positive Education, которая объединяет несколько десятков вузов - предоставляем им стенды виртуальных инфраструктур, программные продукты, проводим мастер-классы, разрабатываем практикумы", - поделился он, рассуждая о нехватке специалистов на рынке ИБ.
Рассуждая о недофинансировании ИБ в российских компаниях, Евгений Гнедин рассказал, что в 2018 г. Positive Technologies проводил анализ региональных компаний, который показал, что в большинстве организаций бюджет на информационную безопасность довольно низкий. "Так, бюджет организаций сферы образования, принявших участие в опросе, в 2018 г. не превышал 5 млн руб. Среди участников опроса солидные суммы - более 50 млн руб. - готовы тратить на ИБ только несколько финансовых и государственных организаций. В то же время доля финансовых и государственных организаций с крайне низким бюджетом на ИБ - не более 0,5 млн руб. - достигает 14% и 20% соответственно", - сказал он.
Сергей Золотухин подтвердил, что с финансированием ситуация очень тяжелая. "Отсутствие знаний о том, как действуют современные хакеры, приводит к тому, что недооцениваются риски ИБ. Недооценка рисков приводит к недофинансированию и, что хуже, к неэффективным тратам денег на средства, которые в современном мире потеряли эффективность. Усугубляет ситуацию чувство ложной защищенности: когда деньги потрачены на бесполезные устаревшие средства защиты, а атаки продолжаются, возникает вопрос целесообразности дальнейшего финансирования", - констатирует он.
Комментируя то, что не во всех компаниях есть службы ИБ, Евгений Гнедин отметил, что по данным Positive Technologies, подразделение, отвечающее непосредственно за информационную безопасность, существует лишь в 44% компаний-респондентов, в остальных организациях необходимые функции выполняются специалистами ИТ-отдела.
Василий Хасанов не видит тенденции к слиянию ролей ИБ и ИТ: "Скорее появляются задачи, которые оказываются на стыке этих отделов. Информационная безопасность традиционно сконцентрирована на защите периметра и меньше внимания уделяет происходящему внутри него. Но сейчас данные становятся одним из ключевых активов организации. В современных условиях важно, с одной стороны, обеспечить максимальную доступность данных для сотрудников. Без этого невозможно эффективно вести бизнес. С другой стороны, важно обеспечить при этом должный уровень конфиденциальности и безопасности. Эта задача может оказаться новой для подразделений ИБ. Как раз задачи правильного выстраивания политик управления данными могут оказаться на стыке сразу нескольких отделов. А именно - ИБ, ИТ, подразделений, ответственных за Data Governance, Compliance и риски".
Евгений Гнедин, комментируя отсутствие четких планов по развитию ИБ в компаниях на среднесрочном и долгосрочном уровне сказал, что каждый пятый участник опроса Positive Technologies в регионах РФ отмечал, что отдельная статья расходов на обеспечение кибербезопасности не предусмотрена: средства на эти нужды выделяются из состава бюджета на информационные технологии. "Интересно, что в 20% таких организаций доля бюджета ИБ выше среднего показателя. Представители этих компаний отметили, что на 2018 г. была запланирована замена устаревших технических средств обеспечения ИБ современными решениями", - добавил он.
Сергей Золотухин отметил, что планирование существует отчасти. "В частности, на основе постоянно обновляемых регуляторами требований к защитным средствам. Но это краткосрочное планирование, игра по ситуации, без четкого плана. Проблема в реализации среднесрочного и долгосрочного планирования - отсутствие знаний о том, как атакуют современные киберпреступники, и знаний о современных технологиях, которые позволяют защитить от самых новых атак. Парадоксально, но такие средства существуют и разрабатываются, в том числе российскими компаниями, а многие организации по старинке уповают на антивирус и "лучшие практики" 10-летней давности. Информированность рынка о новых технологиях, позволяющих прогнозировать атаки и активно им противодействовать - вот что позволит выстроить эффективную систему среднесрочного и долгосрочного планирования", - считает он.
По статистике "Лаборатории Касперского", которую она собрала в результате исследования весной 2018 г., каждая крупная компания в России за прошедший год столкнулась с хотя бы одним инцидентом информационной безопасности. "В топ-5 причин, по которым происходили инциденты, входят недостаток знаний и недобросовестность сотрудников в области ИБ. Так, 33% опрошенных компаний столкнулись с ненадлежащим использованием ИТ-ресурсов сотрудниками, которое привело к ИБ-инцидентам: в 30% организаций сотрудники теряли мобильные устройства или съемные носители, содержащие корпоративную информацию.
"Что касается малого бизнеса, то исследование "Лаборатории Касперского" показало, что российский малый бизнес по-прежнему уязвим к киберугрозам, ведь практически треть - 30% - его представителей доверяют решение вопросов информационной безопасности сотрудникам, не имеющим опыта в этой области", - сказала корреспонденту ComNews руководитель управления корпоративных продаж "Лаборатории Касперского" Евгения Наумова.