Кибербезопасность - больше, чем защита?

Автор

EY Global

Оказание профессиональных услуг

10.10.2018

Результаты Глобального исследования EY по информационной безопасности 2018-19 года показывают, что расходы на кибербезопасность выросли, но организации должны предпринимать все больше мер.

Через год после серии масштабных кибератак на организации и постоянные обвинения государств относительно вмешательства в киберпространство, результаты "Глобального исследования EY по информационной безопасности"(GISS) показали, что кибербезопасность продолжает оставаться актуальным вопросом повестки дня. Расходы компаний на кибербезопасность выросли: организации начали выделять дополнительные ресурсы на защиту информации и прилагать больше усилий для создания надежных систем безопасности.

Осознаете ли вы, насколько это сложно?

Спам

6,4 млрд

Число фейковых электронных писем, рассылаемых ежедневно [1]

Утечка данных

1,9 млрд

Количество случаев утечки персональных и уязвимых данных за период январь 2017 - март 2018 [2]

Устаревшее программное обеспечение

50%

Британских местных органов власти полагаются на неподдерживаемое программное обеспечение [3]

Человеческая ошибка

1,464

Количество государственных должностных лиц только из одного штата США, которые использовали «Password123» в качестве своего пароля

Цифровоя фабрика

2 м

Похищенные ID, которые распространяли фальшивые комментарии в интернете во время расследования по сетевому нейтралитету в США [5]

Социальная инженерия

550 млн

Фишинговых сообщений было отправлено в первом квартале 2018 г. одной компанией [6]

Влияние на расходы

3,62 млн долларов США

Средняя сумма штрафов за утечки данных в течение последнего года [7]

Главной задачей организаций является развитие в трех направлениях

Однако результаты опроса также свидетельствуют о том, что организациям необходимо делать больше. Более трех четвертей (87%) организаций еще не имеют достаточного бюджета для обеспечения желаемых уровней кибербезопасности и устойчивости. Средства защиты неоднозначны, относительно немногие организации отдают приоритет расширенным возможностям, а кибербезопасность слишком часто остается не на первом месте.

1. Защитить предприятие

Исследование показало, что весомое количество респондентов (77%) имеют базовый набор инструментов по обеспечению кибербезопасности. Иногда компании не знают, где именно хранятся наиболее критические информационные активы и не имеют гарантий их безопасности.

Киберготовность оставляет желать лучшего

77%

Организаций сейчас имеют базовый уровень кибербезопасности

Именно поэтому организации должны фокусировать свое внимание на проблемах кибербезопасности. В первую очередь компании должны:

  • Определить ключевые данные и интеллектуальную собственность
  • Оценить возможности системы кибербезопасности, процессы управления доступом и другие средства защиты
  • Обновить систему защиты информации компании.

2. Оптимизировать кибербезопасность

Согласно исследованию GISS, 77% организаций планируют не только установить основные средства кибербезопасности, но и настроить их в соответствии с возможностями и условиями бизнеса. Такие компании не только внедряют базовые средства кибербезопасности, но и переосмысливают принципы и архитектуру кибербезопасности, чтобы более эффективно поддерживать деятельность бизнеса. Для этого они внедряют аналитику и искусственный интеллект, а также роботизирует процессы в целях повышения уровня безопасности своих основных информационных активов.

Однако остается пространство для дальнейшего совершенствования систем кибербезопасности. Менее 10% организаций заявляют, что функция кибербезопасности полностью соответствует их потребностям. Большинство компаний обеспокоены тем, что основные средства кибербезопасности внедряются недостаточно быстро. Отстают в основном небольшие компании. 78% крупных организаций заявляют, что функция информационной безопасности по крайней мере частично удовлетворяет их потребности, в то время как среди малых компаний так считают только 65%.

Киберпреступность меняет правила игры и несет значительные риски для бизнеса. Во время недавней кибератаки индийский банк потерял 944 миллионов рупий (13 500 000 долларов США) после того, как хакеры установили вредоносное программное обеспечение на банкоматный сервер и взлом али банкоматы.8

3. Включить рост

Организации убеждены в том, что управление киберрисками и развитие кибербезопасности необходимы для успеха в цифровую эпоху. Как кибербезопасность может помочь предприятиям в их деятельности и какие перспективы развития она может для них открыть? Ее внедрение в бизнес-процессы поможет организациям создать безопасные условия труда. Система защиты информации, как и применение в работе передовых технологий, должна быть включена в повестку дня организации.

Компании ступили на путь цифровой трансформации. Характер каждой трансформации уникальный и напрямую зависит от типа организации. Однако все они включают один или несколько компонентов:

  • Онлайн-продажи/поддержка клиентов
  • Интеграция цепочки поставок
  • Роботизация процессов
  • Искусственный интеллект
  • Аналитика
  • Трансформация бизнес-модели
  • Инновации на рабочем месте

Для достижения этих целей организациям потребуется инновационная стратегия кибербезопасности, а не частичные ответные меры, поскольку положительный клиентский опыт - их главная цель.

Эти три меры должны внедряться одновременно, и мы рассматриваем данные темы более подробно в Глобальном исследовании EY по информационной безопасности (pdf)  за этот год. Частота и масштабы нарушений безопасности во всем мире показывают, что слишком мало организаций внедрили даже базовый уровень безопасности.

Организации должны двигаться вперед, настраивая существующие средства защиты для оптимизации и поддержки развития. Цифровая трансформация заставляет организации быстро приспосабливаться к передовым технологиям и новым бизнес-моделям. В этом процессе кибербезопасность должна стать основой их развития.

  • Методология опроса

    В 21-м выпуске ежегодного Глобального исследования EY по международной безопасности приняли участие более 1400 руководителей высшего звена, менеджеров по информационной безопасности и ИТ-менеджеров, представляющих крупные глобальные организации. Исследование проводилось с апреля по июль 2018 года.

    В исследовании под «крупными организациями» понимаются компании с годовой выручкой 1 млрд долларов США или более. Эта группа составляет треть от общего количества респондентов, принявших участие в опросе. Под «небольшими организациями» понимаются компании с годовой выручкой менее 1 млрд долларов США. Эта группа составляет две трети от общего числа участников опроса.

  • Показать ссылки

    1. Dark Reading, 27 августа 2018 года. [Https://www.darkreading.com/endpoint/64-billion-fake-emails-sent-each-day/d/d-id/1332677]
    2. Chronology of Data Breaches, март 2018 года. [https://www.privacyrights.org/data-breaches]
    3. Computing, 23 августа 2018 года. [https://www.computing.co.uk/ctg/news/3061558/fifty-per-cent-of-councils-in-england-rely-on-unsupported-server-software]
    4. The Washington Post, 22 августа 2018 года. [https://www.washingtonpost.com/technology/2018/08/22/western-australian-government-officials-used-password-their-password-cool-cool/]
    5. Naked Security, 24 мая 2018 года. [https://nakedsecurity.sophos.com/2018/05/24/2-million-stolen-identities-used-to-make-fake-net-neutrality-comments/]
    6. Dark Reading, 26 апреля 2018 года. [https://www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654]
    7. Ponemon Institute, июль 2017 года. [https://www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states]
    8. Информационная безопасность, 16 августа 2018 года. [https://www.infosecurity-magazine.com/news/indian-bank-loses-135m-in-global/]

Краткое содержание

Результаты исследования показывают, что вопросы кибербезопасности приобретают все большую значимость для организаций. Семь из десяти компаний отмечают, что их руководители обладают всесторонним пониманием данных вопросов. Организации выделяют больше ресурсов на обеспечение защиты и дополнительно работают над внедрением современных систем безопасности.

Пари этом результаты одновременно показывают, что этого недостаточно. Более трех четвертей опрошенных организаций (87%) не обладают достаточным бюджетом для обеспечения необходимого уровня кибербезопасности и устойчивости. Меры безопасности не выполняются систематически, и лишь незначительное количество организаций уделяет приоритетное внимание передовым технологиям. Для других компаний кибербезопасность, как и раньше, остается не на первом месте. 

Об этой статье

Автор

EY Global

Оказание профессиональных услуг