Кібербезпека – більше, ніж захист? Кібербезпека – більше, ніж захист?

Автор Paul van Kessel

Former EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

5 хвилин читання 10 жовт. 2018

Результати Глобального дослідження EY з інформаційної безпеки 2018-19 року демонструють, що витрати на кібербезпеку зросли, але організації мають вживати дедалі більше заходів.

Через рік після серії масштабних кібератак на організації та постійні звинувачення держав щодо втручання в кіберпростір, результати Глобального дослідження EY з інформаційної безпеки (GISS) показали, що кібербезпека й надалі залишається нагальним питанням порядку денного. Витрати компаній на кібербезпеку зросли – організації почали виділяти додаткові ресурси на захист інформації й докладати більше зусиль для створення надійних систем безпеки.

Чи усвідомлюєте ви, наскільки це складно?

Спам

6,4 млрд

Число фейкових електронних листів, що надсилаються щодня [1]

Витік даних

1,9 млрд

Кількість випадків витоку персональних і вразливих даних за період січень 2017 – березень 2018 [2]

Застаріле програмне забезпечення

50%

Британських місцевих органів влади покладаються на непідтримуване програмне забезпечення [3]

Людська помилка

1,464

Кількість державних посадових осіб лише з одного штату США, які використовували «Password123» в якості свого паролю

Цифровий астротурфінг

2 млн

Викрадені особи, які поширювали фальшиві коментарі в інтернеті під час під час розслідування щодо мережевого нейтралітету в США [5]

Соціальна інженерія

550 млн

Фішингових повідомлень було надіслано в першому кварталі 2018 року однією компанією [6]

Вплив на витрати

3,62 млн доларів США

Середня сума штрафів через витік даних протягом останнього року [7]

Головним завданням організацій є розвиток у трьох напрямах.

Однак, результати демонструють, що цього недостатньо. Понад три чверті опитаних організацій (87%) не володіють достатнім бюджетом для забезпечення необхідного рівня кібербезпеки. Заходи безпеки не виконуються систематично і лише незначна кількість організацій приділяє пріоритетну увагу передовим технологіям. Для інших компаній кібербезпека, як і раніше, залишається питанням непершочергового значення.

1. Захистіть підприємство

Дослідження показало, що вагома кількість респондентів (77%) мають базовий набір інструментів із забезпечення кібербезпеки. Іноді компанії не знають, де саме зберігаються найбільш критичні інформаційні активи й не мають гарантій щодо їхньої безпеки.

Кіберготовність залишає бажати кращого

77%

Організацій наразі мають базовий рівень кібербезпеки

Саме тому організації мають фокусувати свою увагу на проблемах кібербезпеки. У першу чергу компанії повинні:

  • Визначити ключові дані та інтелектуальну власність
  • Переглянути можливості системи кібербезпеки, процеси управління доступом та інші засоби захисту
  • Оновити систему захисту інформації компанії.

2. Оптимізувати кібербезпеку

Згідно з дослідженням GISS, 77% організацій планують не тільки встановити основні засоби кібербезпеки, але й налаштувати їх відповідно до можливостей та умов бізнесу. Такі компанії не тільки впроваджують базові засоби кібербезпеки, але й переосмислюють принципи та архітектуру кібербезпеки, щоб більш ефективно підтримувати діяльність бізнесу. Для цього вони впроваджують аналітику та штучний інтелект, а також роботизують процеси, щоб підвищити рівень безпеки основних інформаційних активів компанії.

Проте залишається простір для подальшого вдосконалення систем кібербезпеки. Менше 10% організацій заявляють, що функція кібербезпеки повністю відповідає їхнім потребам. Більшість компаній занепокоєна тим, що основні засоби кібербезпеки впроваджуються недостатньо швидко. Відстають здебільшого невеликі компанії. 78% великих організацій заявляють, що функція інформаційної безпеки принаймні частково задовольняє їхні потреби, у той час як серед малих компаній так вважають лише 65%.

Кіберзлочинність змінює правила гри та несе значні ризики для бізнесу. Під час нещодавньої кібератаки індійський банк втратив 944 мільйонів рупій (13,5 млн доларів США) після того, як хакери встановили шкідливе програмне забезпечення на банкоматному сервері та викрали гроші з банкоматів.8

3. Створіть можливості для зростання

Організації переконані в тому, що управління кіберризиками й розвиток кібербезпеки є необхідними для успіху в цифрову епоху. Як кібербезпека може допомогти підприємствам у діяльності та які перспективи розвитку вона може для них відкрити? Її впровадження в бізнес-процеси допоможе організаціям створити безпечніші умови праці. Система захисту інформації, як і застосування в роботі передових технологій, має бути включена до порядку денного організації.

Компанії ступили на шлях цифрової трансформації. Характер кожної трансформації унікальний і безпосередньо залежить від типу організації. Проте всі вони включають один або декілька компонентів:

Щоб досягнути поставлених цілей, компанії повинні створити інноваційну стратегію забезпечення кібербезпеки, оскільки позитивний клієнтський досвід – їхня головна ціль.

Ці три заходи мають запроваджуватися одночасно. Детальніше ми їх описали в Глобальному дослідженні EY з інформаційної безпеки (pdf) . Повторюваність та масштабність порушень інформаційної безпеки свідчать про те, що лише деяким компаніям вдалося втілили в життя базовий рівень кібезбезпеки.

Організації повинні рухатися вперед, налаштовуючи існуючі засоби захисту для оптимізації та підтримки розвитку. Цифрова трансформація змушує організації швидко пристосовуватися до передових технологій і нових бізнес-моделей. У цьому процесі кібербезпека повинна стати основою їхнього розвитку.

  • Методологія опитування

    У 21-ому щорічному виданні Глобального дослідження EY з інформаційної безпеки взяли участь понад 1 400 лідерів компаній, менеджерів з інформаційної безпеки й ІТ-менеджерів, які є представниками великих глобальних організацій. Дослідження проводилось із квітня по липень 2018 року.

    У звіті під поняттям «великі організації» розуміють компанії з річним доходом від 1 млрд доларів США і більше. Ця група становить третину від загальної кількості респондентів, які взяли участь в опитуванні. Під поняттям «невеликі організації» розуміють компанії з річним доходом менше 1 млрд доларів США. Ця група становить дві треті від загальної кількості учасників опитування.

  • Показати посилання#Сховати посилання

    1. Dark Reading, August 27, 2018. [https://www.darkreading.com/endpoint/64-billion-fake-emails-sent-each-day/d/d-id/1332677]
    2. Chronology of Data Breaches, March 2018. [https://www.privacyrights.org/data-breaches]
    3. Computing, August 23, 2018. [https://www.computing.co.uk/ctg/news/3061558/fifty-per-cent-of-councils-in-england-rely-on-unsupported-server-software]
    4. The Washington Post, August 22, 2018. [https://www.washingtonpost.com/technology/2018/08/22/western-australian-government-officials-used-password-their-password-cool-cool/]
    5. Naked Security, 24 May 2018. [https://nakedsecurity.sophos.com/2018/05/24/2-million-stolen-identities-used-to-make-fake-net-neutrality-comments/]
    6. Dark Reading, 26 April 2018. [https://www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654]
    7. Ponemon Institute, July 2017. [https://www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states]
    8. Info Security, August 16, 2018. [https://www.infosecurity-magazine.com/news/indian-bank-loses-135m-in-global/]

Підсумок

Опитування демонструє, що питання кібербезпеки дедалі частіше стоїть на порядку денному організацій. Сім із десяти компаній зазначають, що їхні лідери добре розуміються на питанні кібербезпеки. Організації приділяють більше ресурсів на забезпечення захисту й додатково працюють над запровадженням сучасних систем безпеки.

Однак, результати водночас демонструють, що цього недостатньо. Понад три чверті опитаних організацій (87%) не володіють достатнім бюджетом для забезпечення необхідного рівня кібербезпеки. Заходи безпеки не виконуються систематично і лише незначна кількість організацій приділяє пріоритетну увагу передовим технологіям. Для інших компаній кібербезпека, як і раніше, залишається питанням непершочергового значення.

Про цю статтю

Автор Paul van Kessel

Former EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.