Як кіберзагрози впливають на бізнес

В Україні та світі існують серйозні ризики комплексних кібератак, кількість та ефективність яких постійно зростає. Про це свідчать результати двадцятого міжнародного дослідження компанії EY «Cybersecurity regained: preparing to face cyber attacks», присвяченого аналізу впливу кіберзагроз на бізнес.

НОВІ РИЗИКИ ТА ВРАЗЛИВОСТІ

Як зазначається у прес-релізі компанії EY, у ході дослідження було опитано близько 1200 керівників найбільших міжнародних (в тому числі й українських) компаній, що допомогло розкрити найбільш актуальні питання та підходи компаній до управління кібербезпекою.

Результати дослідження демонструють, що 56% опитаних планують або вже реалізовують зміни у стратегії кібербезпеки. Причини – збільшення впливу кіберзагроз і поява нових ризиків та вразливостей. Внаслідок встановлення більш тісних взаємозв’язків між філіями міжнародних компаній через розвиток IoT (Internet of Things) виникла можливість експлуатації нових вразливостей для реалізації комплексних кібератак на компанію. Дослідження виявило, що для реалізації кібератак успішно використовуються вже відомі компаніям вразливості. Це демонструє непослідовність в імплементації стандартних процедур безпеки.

Пол ван КЕССЕЛ, Керівник міжнародного центру консультаційних послуг EY з управління ризиками, зазначив: «Останні успішні кібератаки базуються на простих методах, які використовують відомі вразливості компаній. Окрім того, гіперпідключеність і нові технології створюють не тільки можливості, але й нові ризики. Тому при переході до цифрової ери компанії мають проводити комплексне дослідження своїх цифрових екосистем для захисту бізнесу сьогодні, завтра та в далекому майбутньому».

ВИТРАТИ НА КІБЕРБЕЗПЕКУ

Дослідження показало, що більшість компаній продовжують збільшувати витрати на кібербезпеку. Понад 90% респондентів заявили, що очікують виділення більших бюджетів на захист у цьому році. Боротьба з кіберзагрозами вимагатиме більш жорсткої реакції, тому 87% опитаних зазначили, що вимагатимуть збільшити бюджет на кібербезпеку принаймні на 50%. Проте лише 12% очікують підвищення фінансування принаймні на 25%. В Україні 75% керівників департаментів інформаційної безпеки, враховуючи поточну ситуацію, будуть вносити пропозиції для менеджменту щодо збільшення бюджету на ІТ на 50% чи більше.

76% респондентів стверджують, що виявлення атаки, яка завдала шкоди, ймовірно, сприятиме збільшенню фінансування. З іншого боку, 64% (у минулому році – 62%) стверджують, що атака, яка не завдала шкоди, не стане причиною збільшення бюджету на кібербезпеку, навіть попри те що шкоду від атаки може бути виявлено не одразу.

Багато респондентів також визнають, що недостатнє фінансування може підвищити кіберризики. 56% опитаних заявили про те, що розглядають або вже внесли зміни до своїх стратегій і планів боротьби з ризиками. Проте 20% визнають, що не мають належної оцінки стану інформаційної безпеки та потенційних вразливостей.

НАЙБІЛЬШІ ЗАГРОЗИ

64% респондентів розглядають шкідливе програмне забезпечення (52% – у 2016 році) та фішинг (51% – у 2016 році) як найбільш небезпечні загрози за попередній рік.

Також загрозою для компаній вважаються необачні або необізнані співробітники -60% респондентів (55% – у 2016 році).

77% опитаних вважають найбільш вірогідним джерелом атак необачних співробітників, 56% – кримінальні синдикати, 47% – зловмисних співробітників.

Багато компаній мають значні проблеми з реагуванням на складні кібератаки, що реалізуються організованими та підготованими групами. 75% респондентів оцінюють зрілість процесу виявлення вразливостей як дуже низьку або середню. Ще 12% зазначили, що не мають програми виявлення втручань, а 35% вказали, що політика захисту даних у них відсутня або не формалізована. Водночас 38% зовсім не мають програми контролю за доступом або обмежуються неформальними заходами.

«В Україні 78% респондентів оцінюють зрілість процесу виявлення вразливостей в їхніх компаніях як дуже низьку або середню. Респондентами були представники провідних підприємств, установ, організацій України, більшість з яких мають програму виявлення втручань та формалізовану політику захисту даних. Лише 11% українських респондентів зазначили, що зовсім не мають програми контролю за доступом або обмежуються неформальними заходами. Така ситуація не тільки свідчить про те, що успішні комплексні атаки 2017 року були лише питанням часу, але й не дає впевненості, що подібні атаки не матимуть успіху в майбутньому», – прокоментував Дмитро ЛАЗУЧЕНКОВ, Старший менеджер відділу послуг у галузі управління інформаційними технологіями та ІТ-ризиками EY в Україні.

КОМПЛЕКСНЕ УПРАВЛІННЯ КІБЕРБЕЗПЕКОЮ

Задля покращення своєї готовності до реагування на кібератаки більшість компаній визнають необхідність створення операційного центру забезпечення інформаційної безпеки (SOC), що є централізованим, структурованим та координованим хабом для всіх заходів у сфері кібербезпеки. Проте 48% респондентів стверджують, що досі не мають ані власного, ані аутсорсингового центру. Більш того, 57% респондентів не мають спеціальної програми в галузі збору та аналізу інформації про кіберзагрози або обмежуються неформальними заходами. Лише 12% з них впевнені, що зможуть розпізнати складну кібератаку на їхню організацію.

В Україні формалізована програма в галузі збору та аналізу інформації про кіберзагрози відсутня у 67% респондентів. Лише 11% респондентів в Україні впевнені, що вони зможуть розпізнати складну кібератаку.

Дослідження також продемонструвало, що бюджети на кібербезпеку вищі в компаніях, які:

– призначають спеціалістів з кібербезпеки на керівні посади;

– готують звіти з кібербезпеки двічі на рік та представляють їх керівництву й аудиторському комітету;

– визначають найбільш критичні складові IT-інфраструктури компанії та захищають їх.

У компаніях з налагодженими механізмами управління можливе застосування підходу security-by-design – створення систем та процедур, які здатні відповідати на появу неочікуваних ризиків та загроз. 50% респондентів стверджують, що в їхніх компаніях звіти з кібербезпеки регулярно подаються керівництву. Водночас лише 24% респондентів стверджують, що особа, відповідальна за кібербезпеку їхньої компанії, є членом правління, і лише 17% заявили, що вище керівництво має достатні знання в галузі інформаційної безпеки для ефективного управління кіберризиками.

В Україні дещо кращі показники: керівництво опитаних компаній регулярно отримує інформацію і звіти про стан кібербезпеки в їхній компанії, 22% респондентів також зазначили, що в їхній компанії відповідальна за кібербезпеку особа є членом правління. 44% впевнені у достатній обізнаності вищого керівництва в галузі інформаційної безпеки компанії.

Більш детально – у Звіті EY

Додати коментар

Увійти за допомогою: 

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: