Кибербезопасность в России хорошо отрегулирована

Компания Comparitech изучила уровень кибербезопасности в 76 странах, оценив такие показатели, как процент мобильных устройств и компьютеров, зараженных вредоносным ПО, количество хакерских атак с целью кражи денег, готовность страны к хакерским атакам и современность ее законодательства в сфере кибербезопасности. Исследователи обнаружили, что законодательство России лучше всего отвечает современным требованиям в сфере кибербезопасности.

Исследователи выявили огромные различия по ряду категорий, от уровня вредоносных программ до законодательства о кибербезопасности. "На самом деле, ни одна страна не была "лучшей в своем классе" по всем направлениям. Все страны, которые мы проанализировали, нуждались в значительных улучшениях", - пояснили в Comparitech.

Исследователи обнаружили, что показатели большинства стран улучшились с прошлого года. Но из-за активизации усилий большинства стран в области кибербезопасности это означает, что некоторые из лучших разработчиков прошлого года опустились в рейтинге. Это касается, например, США, которые опустились с пятого места по кибербезопасности в мире на 17-е.

Согласно исследованию, Алжир по-прежнему является наименее кибербезопасной страной в мире, несмотря на незначительное улучшение показателей. В стране по-прежнему самое плохое законодательство. Алжир также показал плохие результаты по заражению компьютерными вредоносными программами (19,75%) и подготовке к кибератакам (0,262). Во всех других категориях атаки снизились, как это было в большинстве стран.

Другими "отстающими" странами стали Таджикистан, Туркменистан, Сирия и Иран. Самый высокий процент заражений мобильным вредоносным ПО показал Иран - 52,68% пользователей было заражено в 2019 г. Наибольшее количество финансовых вредоносных атак - Белоруссия - 2,9% пользователей. Самый высокий процент компьютерных вредоносных программ - Тунис - 23,26% пользователей. Самый высокий процент атак telnet (по стране происхождения) - Китай - 13,78%. Наибольший процент атак криптомайнеров - Таджикистан - 7,9% пользователей.

Результаты показали, что Дания является самой кибербезопасной страной в мире, а также Япония, которая опустилась на четыре позиции до пятой по кибербезопасности страны.

Другие страны с самыми высокими показателями: Швеция, Германия, Ирландия и Япония. Франция, Канада и Соединенные Штаты были вытеснены из пятерки самых кибербезопасных стран и заняли соответственно девятое, шестое и 17-е места.

Оценка США значительно снизилась из-за высокого уровня заражения компьютерными вредоносными программами (9,07%) и большого числа атак telnet (4,71%).

Самый низкий процент мобильных вредоносных программ - Финляндия - 0,87% пользователей. Наименьшее количество финансовых вредоносных атак - Дания, Ирландия и Швеция - 0,1% пользователей. Самый низкий процент компьютерных вредоносных программ - Дания - 3,15% пользователей. Самый низкий процент атак telnet (по стране происхождения) - Туркменистан - 0%. Самый низкий процент атак криптомайнеров - Япония - 0,17% пользователей.

По данным исследования, самое современное законодательство по кибербезопасности - во Франции, Китае, России и Германии - все семь категорий охвачены.

Показатели большинства стран улучшились по сравнению с прошлым годом. "Индекс Индонезии значительно улучшился: с 54,89 в прошлом году до 31,33 в этом году. Причем немало европейских стран также отметили значительные улучшения (например, Украина, Германия, Португалия, Болгария и Хорватия). Только США, Бразилия, Япония, Франция, Иран и Сингапур имеют худшие результаты, чем в предыдущем году. Хотя во всех случаях наблюдается лишь небольшая разница, как мы видели в случае с США, этого достаточно, чтобы способствовать значительному снижению рейтинга из-за улучшений во многих других странах", - пишут исследователи в отчете.

Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов сказал, что само по себе количество законодательных инициатив не является ни преимуществом, ни недостатком. "Оно лишь свидетельствует о том, что в вопросах информационной безопасности назрела серьезная необходимость учесть интересы бизнеса и общества, которую приходится решать микрорегулированием. Любой серьезный компьютерный инцидент - будь то остановка производства из-за вируса шифровальщика или кража хакерами персональных данных заемщиков - причиняет ущерб и пострадавшему бизнесу, и окружающим. С ростом числа киберинцидентов и ущерба, который причиняют преступники, практически все развитые страны пришли к необходимости усилить давление на бизнес, вынуждая его защищать интересы общества. В разных странах для этого применяются разные подходы. Так, ЕС и США идут по пути усиления карательной стороны нормативного регулирования: государство не устанавливает для бизнеса какие-либо обязательные требования по обеспечению информационной безопасности, зато инциденты, затрагивающие интересы третьих лиц, могут караться очень жестоко. Так, штраф в размере 4% годового оборота в случае утечки персональных данных, установленный в европейском законодательстве, - веский стимул заняться вопросами защиты персональных данных, даже если сама по себе утечка ущерба бизнесу не причиняет. Законодательство РФ в этом отношении значительно мягче: попытки установить серьезные штрафы за правонарушения вызывают серьезное сопротивление общества. Поэтому государству приходится заниматься микрорегулированием, внося детальные требования по обеспечению информационной безопасности в отраслевые нормативные акты. Такие требования установлены в сфере государственного управления, КИИ, финансовой сфере, в сфере связи и т.п. Этот подход и делает Россию лидером по количеству законодательных инициатив в области ИБ", - рассказал Дмитрий Кузнецов корреспонденту ComNews.

"Тормозит ли развитие отрасли наличие законодательных требований или стимулирует? Хороший вопрос. Тут суть проблемы в том, что, несмотря на наличие требований по защите, реализовать их могут очень и очень немногие. Малый бизнес, частные предприниматели, фрилансеры. Денег у них на полноценную защиту нет, а требования к ним такие же, как и к крупным корпорациям, что логично: какая разница у кого утекут важные данные, у малого бизнеса или у его заказчика - транснациональной компании. В результате рынок сбыта для подавляющего числа типов защитного программного обеспечения крайне мал. И у их производителей нет средств на то, чтобы развиться до мирового уровня. Если у Microsoft почти 150 тыс. сотрудников - за сколько лет напишет свою операционную систему или офисный продукт компания, количество сотрудников которой исчисляется в лучшем случае сотнями. А то и меньше. В результате есть потребность в аналогах имеющегося зарубежного ПО - но... нет тех, кто окупит разработку. Количество компаний крупного бизнеса, готовых купить и внедрить новый продукт в России, крайне невелико", - прокомментировал ведущий менеджер сектора продуктового маркетинга "Доктор Веб" Вячеслав Медведев.

Вячеслав Медведев отметил, что в России, действительно, имеются (и планируется к принятию) законодательные акты и приравненные к ним требования регуляторов в области компьютерной безопасности. "И это, в общем-то, не так уж плохо. Дело в том, что бизнес не любит тратить деньги на информационную безопасность. В том числе безопасность персональных данных. К чему это приводит, можно посмотреть на примере США, которые с точки зрения требований по защите персональных данных, принятых в Евросоюзе, не являются страной, с компаниями которой можно работать без опасения за защиту персональных данных. Требования к информационной безопасности, принятые в РФ, обязывают компании и частных пользователей реализовать систему защиты, использовать продукты, соответствующие определенным требованиям. Выполнение требований может быть проконтролировано. В результате средства защиты будут закуплены и установлены. Но с высокой вероятностью - не настроены. Дело в том, что имеющиеся требования в большинстве своем очень высокоуровневые. Грубо говоря, требуется построить дом! И его построят, благо требования к материалам, из которых нужно строить, - есть. Но вот требований класть или не класть ключ под коврик - нет. И в результате дверь будет соответствовать всем требованиям, но ее откроют и кирпичом припрут, чтобы не мешала работать. Возьмем для примера США. Требований на уровне законодательства нет. Но есть, например, NIST, выпускающий документы, описывающие лучшие практики. И если компания действительно хочет обеспечить безопасность - она берет эти документы, из которых ей становится ясно, что класть ключик под коврик - очень плохая идея, не стоит это делать. В итоге у нас неплохие требования по защите персональных данных, госорганов, критически важных объектов. Но ответить на вопрос, а зачем у вас установлен в компании антивирус, 19 из 20 специалистов по безопасности не могут. Если компания хочет построить реальную защиту, то у нее возникает множество мелких, но важных вопросов. Например, как построить модель угроз, какие риски принять важными. И ей приходится опираться на зарубежные документы в поисках ответов на эти вопросы", - рассказал Вячеслав Медведев.

Руководитель отдела технического сопровождения продуктов и сервисов компании Eset Сергей Кузнецов отчасти согласен с выводами исследователей. "Многие страны СНГ ориентируются на Россию, перенимая опыт государственного регулирования вопросов ИБ. Это в большей степени касается безопасности КИИ, финансовой отрасли и защиты персональных данных. С другой стороны, мне кажется, что в первую очередь необходимо повышать осведомленность граждан в вопросах кибербезопасности, а не только заниматься ужесточением законов и регулированием. У любой медали есть оборотная сторона. Для государственного регулирования ИБ - это сертификация СЗИ. Процесс сертификации достаточно долгий, который может затянуться настолько, что продукт (версия продукта) устареет. Киберпреступники же не проходят никаких сертификаций и используют передовые технологии для целевых или массовых атак. Необходимо искать баланс между регулированием и технологиями. Возможно, стоит пересмотреть некоторые требования, чтобы упростить данную процедуру", - считает Сергей Кузнецов.