Прес-реліз

Чи готова ваша організація протистояти комплексним кібератакам?

Лондон, Київ, 29 лютого 2016 р.

  • Поділитися

Читати звіт на сайті EY

EY - Завантажити звіт

Більше третини компаній з усього світу (36% респондентів) досі не впевнені, що можуть виявити комплексні кібератаки. Це один з ключових висновків міжнародного дослідження EY в галузі інформаційної безпеки «Зміцнюючи довіру в цифровому світі» за 2015 рік (Global Information Security Survey: Creating trust in the digital world), в якому взяли участь 1755 організацій з 67 країн, зокрема Україна.


  • 88% компаній не впевнені, що вжиті заходи інформаційної безпеки повністю відповідають потребам їх бізнесу
  • 69% вважають, що необхідно виділяти більше коштів на кібербезпеку для захисту своїх даних
  • Кримінальні синдикати, хакери-активісти та хакерські групи, спонсоровані урядом, названі основними джерелами кіберзагроз

У дослідженні аналізуються найбільш гострі проблеми кібербезпеки, які стоять перед сучасним бізнесом. Як випливає з результатів проведеного опитування, 88% респондентів вважають, що структура інформаційної безпеки не повністю відповідає потребам їх організацій. Говорячи про бюджетування, 69% компаній вважає, що для відповідності потребам бізнесу в забезпеченні безпеки бюджети на кібербезпеку повинні бути збільшені на 50%.

«Компанії з великим ентузіазмом використовують цифрові технології, але має бути і розвиток в управлінні складними кіберзагрозами, кількість яких зростає, – зазначає Кен Аллан, керівник міжнародного центру EY із забезпечення кібербезпеки. – Компанії не повинні недооцінювати або зовсім ігнорувати потенційні ризики кіберпорушень. Навпаки, вони повинні фокусуватися на питаннях забезпечення кібербезпеки та інвестувати в достатньому обсязі. Єдиним способом створення придатного до використання та стійкого до атак цифрового світу є забезпечення організацій можливістю захищати себе та своїх клієнтів, що зокрема сприятиме підвищенню рівня довіри до брендів».

Вразливості та загрози: новий погляд
Дослідження показало, що нині кількість компаній, які вважають себе вразливими з боку кібератак, зумовлених необізнаністю співробітників і застарілими системами управління інформаційною безпекою, знизилася до 44% і 34% порівняно з 57% і 52% у 2014 році. При цьому значно зросла частка респондентів, які побоюються, що для отримання несанкціонованого доступу до їх інформації зловмисники можуть скористатися фішингом (44%) і шкідливими програмами (43%). Торік на наявність таких загроз вказали 39% і 34% опитаних відповідно.

Крім того, з'ясувалося, що компанії все частіше зазнають невдач у запобіганні кібератак у зв'язку з наступними проблемами:

  • Тільки 54% опитаних вказали на наявність усередині служби інформаційної безпеки функції, спрямованої на аналіз нових технологій та їх впливу на бізнес
  • 47% не мають операційного центру з інформаційної безпеки
  • 36% не розробили програми превентивного аналізу кіберзагроз, а 18% – не мають системи управління ідентифікацією та доступом

Більше половини респондентів (57%) назвали нестачу кваліфікованих кадрів однією з основних перешкод на шляху до успішної роботи служби інформаційної безпеки (порівняно з 53% торік), тобто замість поліпшення ситуація продовжує погіршуватися.

При цьому найбільш ймовірними джерелами кібератак є кримінальні синдикати (59%), співробітники (56%) та хакерські групи, спонсоровані урядом (35%). Показово, що з кожним роком загрозам ззовні приділяється дедалі більше уваги.

Пол ван Кессел, керівник міжнародного центру EY з управління ризиками, резюмує: «Як правило, боротьба з кіберзлочинністю має оборонний характер, але це не означає, що потрібно чекати атаки, щоб почати протистояння. Бізнес має прийняти стратегію «активного захисту» та за допомогою передових операційних центрів з інформаційної безпеки виконати роботу з виявлення потенційних кіберзагроз та їх аналізу, оцінки та усунення до того, як буде завдано шкоди від кібератаки. Крім очевидної переваги, такий підхід до вирішення проблеми забезпечення кібербезпеки також дозволить зміцнити та зберегти довіру клієнтів до бізнесу».

Дмитро Лазученков, менеджер EY, керівник групи з надання послуг в галузі IT та IT ризиків компанії EY в Україні, зазначає: «У поточній ситуації організації стикаються з великими труднощами в забезпеченні кібербезпеки.  9 з 10 українських компаній вважають дефіцит бюджету головною перешкодою для захисту своєї інформації. Також багато респондентів відчувають нестачу підтримки з боку керівництва в питаннях забезпечення кібербезпеки.

Проте, зіставляючи дані, отримані в рамках глобального дослідження з інформацією від наших клієнтів в Україні, не можна не зазначити, що обізнаність керівництва компаній в галузі кібербезпеки поступово зростає. Компанії переходять від «простого» превентивного захисту від кіберзагроз до побудови систем захисту від складних цілеспрямованих атак.  Про це свідчить також збільшення замовлень від наших клієнтів на побудову комплексних систем управління інформаційною безпекою (СУІБ) відповідно до провідних світових стандартів і практик, а також підвищення попиту на послуги тестування на проникнення й оцінку захищеності від кібератак.

Такий шлях розвитку закономірний, оскільки за останні два роки радикально змінився вектор атак. Раніше найбільшою загрозою вважалися співробітники компаній, які завдавали шкоди організаціям як ненавмисне, внаслідок своєї необізнаності, так і зловмисно. Наразі ж компанії акцентують увагу на загрозах, що походять ззовні, в першу чергу, звертаючи увагу на захист від хакерських атак».

Андрій Уколов, старший консультант групи з надання послуг в галузі ІТ та ІТ ризиків компанії EY в Україні, зазначає: «Результати дослідження свідчать про те, що до переліку головних джерел кібератак в Україні входять як власні співробітники, так і кримінальні синдикати, групи хакерів і хакери-одинаки.  Крім того, серед українських компаній спостерігається тенденція до посилення побоювання атак з боку держави.

Однак українські компанії не планують здавати позиції в боротьбі з загрозами інформаційній безпеці.  Респонденти зазначають, що найактуальнішими напрямками в забезпеченні кібербезпеки є:

  • Побудови систем управління безперервністю бізнесу
  • Відповідність провідним стандартам в галузі ІБ
  • Технічний захист даних, зокрема тестування на проникнення та оцінку захищеності інформаційних систем
  • Управління інцидентами ІБ

Важливо зазначити, що застосування лише технічних засобів не забезпечує достатнього захисту.  Цілісне бачення технологічної платформи бізнесу та бізнес-середовища, розуміння взаємозв'язків бізнес-процесів і використовуваних систем, оцінка можливих наслідків кібератак і вибір адекватних превентивних і реактивних заходів захисту – ключові фактори успіху у створенні повноцінної програми протидії кіберзагрозам.  Неперервне вдосконалення процесів управління кібербезпекою, зокрема переоцінка актуальних загроз і перегляд механізмів захисту, допоможуть ефективніше протидіяти кіберзагрозам, а також підвищити ефективність блоку інформаційної безпеки».

–ends–

Інформація про дослідження
Міжнародне дослідження EY в сфері інформаційної безпеки проводилося в період з червня по вересень 2015 року. В опитуванні взяли участь 1755 організацій з 67 країн, що представляють всі основні галузі економіки. Результати щорічного дослідження відображають думку ІТ-директорів, генеральних директорів, фінансових директорів та інших керівників служби інформаційної безпеки цих організацій.

Інформація про компанію EY
EY є міжнародним лідером із аудиту, оподаткування, супроводу угод і консультування. Наші знання та якість послуг, які ми надаємо, сприяють зміцненню довіри і впевненості на ринках різних країн у всьому світі. Ми формуємо команду видатних лідерів, під чиїм управлінням наш колектив виконує взяті на себе зобов'язання. Таким чином, ми робимо суттєвий внесок у поліпшення ділового середовища в інтересах співробітників, клієнтів і суспільства в цілому.

Ми взаємодіємо з компаніями у країнах СНД, сприяючи у досягненні їх бізнес-завдань. У 20 офісах нашої фірми (у Москві, Санкт-Петербурзі, Новосибірську, Єкатеринбурзі, Казані, Краснодарі, Ростові-на-Дону, Тольятті, Владивостоці, Южно-Сахалінську, Алмати, Астані, Атирау, Баку, Бішкеку, Києві, Ташкенті, Тбілісі, Єревані та Мінську) працюють 4500 фахівців.

Назва EY відноситься до глобальної організації та може відноситися до однієї чи декількох компаній, що входять до складу Ernst & Young Global Limited, кожна з яких є окремою юридичною особою. Ernst & Young Global Limited – юридична особа, створена відповідно до законодавства Великобританії, - є компанією, що обмежена відповідальністю її учасників, і не надає послуг клієнтам. Дізнайтеся більше на сайті: ey.com.

Прес-реліз випущений EYGM Limited, компанією, що входить до складу глобальної організації EY, яка також не надає жодних послуг клієнтам.