Уровень развития систем ИТ-безопасности не связан с размером организации

Уровень развития систем ИТ-безопасности не связан с размером организации

Компания RSA, опубликовала первые результаты исследования Cybersecurity Poverty Index, который объединяет результаты опроса более чем 400 специалистов по ИТ-безопасности из 61 страны. Участники исследования самостоятельно оценивали зрелость систем ИТ-безопасности своих организаций в соответствии с набором стандартов NIST Cybersecurity Framework (CSF).

Хотя обычно считается, что крупные организации располагают необходимыми ресурсами для создания более надежной системы киберзащиты, результаты исследования показывают, что размер организации не коррелирует с уровнем организации системы ИТ-безопасности: почти 75% всех респондентов оценили свой уровень безопасности как недостаточный. 

Недостаточное развитие систем ИТ-защиты, в целом, не вызывает удивления, так как многие опрошенные организации сообщили о том, что в течение последних 12 месяцев сталкивались с инцидентами, приведшими к потере данных или нарушению работы.  Исследование показало, что самые высокие уровни развития ИТ-систем наблюдаются в области «Защита». Результаты исследования показывают, что для организаций основной стратегией обеспечения ИТ-безопасности являются превентивные решения, несмотря на широко распространенное понимание того, что одних превентивных мер недостаточно для защиты от сложных современных атак.  Кроме того, самым слабым местом организаций, участвовавших в опросе, оказалась способность измерять и оценивать риски ИТ-безопасности и смягчать их последствия: 45% опрошенных организаций говорят о недостатке собственных возможностей в этой сфере, и только 21%  считают, что имеют системный подход к обеспечению безопасности. Такое положение усложняет приоритезацию при выборе решений по безопасности. А ведь именно эту основополагающую задачу должна решить любая организация, стремящаяся улучшить свою ИТ-безопасность.

Вопреки ожиданиям, исследование показало, что уровень развития системы безопасности не связан напрямую с размером организации.  Оказалось, что 83% опрошенных организаций со штатом более 10 тысяч сотрудников оценили свои возможности ниже уровня «Развитые». Понимание невысокого уровня развития ИТ-систем должно стимулировать переход от стратегий реагирования на уже существующие угрозы к стратегиям создания более надежной и зрелой системы безопасности в целом.

Также неожиданными оказались результаты для организаций из сектора финансовых услуг, который часто лидирует среди отраслей по уровню организации ИТ-систем. Вопреки расхожим представлениям, опрошенные финансовые организации не продемонстрировали высокого уровня организации ИТ, так как всего треть из них оказались достаточно подготовленными к обеспечению безопасности. Операторы критически важных инфраструктур, целевая аудитория CSF, должны совершить важные шаги, чтобы повысить текущий уровень ИТ-организации. Телекоммуникационные компании сообщили о самом высоком уровне ИТ-развития — 50% респондентов имеют «Развитые» или «Выдающиеся» возможности, в то время как государственные учреждения имеют самую низкую оценку по отраслям в данном случае — только 18% респондентов соответствуют уровню «Развитые» или «Выдающиеся».

Стандарт CSF первоначально был разработан в США, результаты исследования показывают, что по уровню развития этих систем Северная и Южная Америка уступают регионам APJ и EMEA.  Организации в регионе APJ сообщают о самых совершенных стратегиях безопасности: 39% оценивают их в целом как «Развитые» или «Выдающиеся», в то время как такую оценку дали своим возможностям в регионе EMEA 26% организаций, а в Северной и Южной Америке — только 24% организаций.

Методология

Чтобы оценить совершенство средств кибербезопасности своих организаций, респонденты сравнивали ее со стандартом NIST Cybersecurity Framework (CSF). CSF предоставляет рекомендации по снижению ИТ-рисков, которые базируются на существующих стандартах, инструкциях и практиках. Эти рекомендации стали результатом совместной работы представителей отрасли и государственных органов. Хотя стандарт CSF первоначально был разработан в США с целью снижения рисков для критически важной инфраструктуры, организации во всем мире оценили его какприоритетный, гибкий, воспроизводимый и экономичный подход к управлению ИТ-рисками. Таким образом, CSF служит отличным базовым средством для оценки совершенства основных средств обеспечении кибербезопасности и управления ИТ-рисками в организации.

Специалисты по ИТ-безопасности оценивали возможности своих организаций в отношении пяти основных функций, выделенных в стандарте CSF: идентификация, защита, обнаружение, реагирование и восстановление. Оценки проставлялись по пятибалльной шкале, где оценка «1» указывала, что  организация не имеет возможностей в данной области, а оценка «5» — что в организации достигла зрелого уровня в данной области.

МНЕНИЯ РУКОВОДИТЕЛЕЙ

Амит Йоран (Amit Yoran), президент RSA, подразделения безопасности EMC

 «Это исследование показывает, что предприятия продолжают вкладывать огромные средства в новые брандмауэры, антивирусные и антишпионские программы следующего поколения, надеясь таким образом справиться с современными угрозами. Однако несмотря на инвестиции в эти области даже самые крупные организации не чувствуют себя готовыми к угрозам, с которыми им приходится сталкиваться. Мы считаем, что это противоречие — результат глубокого несоответствия сегодняшних моделей безопасности, основанных на предотвращении, ландшафту современных угроз. Нам нужно изменить свои представления о безопасности, а первый шаг в этом направлении начинается с признания того, что превентивная стратегия изжила себя и больше внимания нужно уделять стратегии, основанной на обнаружении и реагировании».

Стивен Т. Уитрок (Stephen T. Whitlock), директор по стратегии и технологиям подразделения Information Security Solutions компании Boeing

«Компания Boeing с самого начала поддерживала стандарт NIST Cybersecurity Framework и деятельно участвовала в его создании. Мы используем его как основу оценки общей системы безопасности как наших внутренних подразделений, так и внешних заказчиков.  Стандарт CSF предлагает комплексный гибкий подход на основе оценки рисков, который не предполагает ориентации на конкретные технологии или нормативы. С тех пор как мы используем CSF, мы получаем важные результаты, которые помогают нам понять возникающие проблемы и задать направление развития системы кибербезопасности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

57% россиян не уверены в эффективности своих мер киберзащиты

Согласно результатам опроса, проведенного ВЦИОМ и АНО «Цифровая экономика», защитить персональные данные в интернете пытаются 97% жителей России, однако больше половины считают превентивные меры недостаточными.

Опрос о культуре ИБ проводился онлайн в начале июля, в нем приняли участие 1626 представителей разных возрастных групп (18 лет и старше).

Как выяснилось, почти все респонденты обладают базовыми знаниями о кибергигиене. Они используют антивирус, не расшаривают пароли по имейл и не светят их в соцсетях, не хранят данные банковских карт на компьютере, не используют публичный Wi-Fi.

Миллениалы отдают предпочтение более продвинутым способам защиты: придумывают сложные пароли, используют браузер в режиме «инкогнито», отключают автоматическое сохранение учетных данных и открытие потенциально опасных сайтов, чаще пользуются 2FA.

В то же время 57% россиян не уверены, что принимаемые меры надежно защитят их устройства от киберугроз. Больше прочих в своих ИБ-способностях сомневаются пенсионеры, люди с низким достатком (по 70%), жители небольших городов и сел (61-63%), а также те, кто не интересуется состоянием дел на киберфронте (69%).

Что касается сбора данных в интернете, больше половины опрошенных знают об этом понаслышке, а остальных беспокоит в основном инициатива частных лиц и коммерческих компаний.

В отношении госсектора мнения разделились: 47% россиян считают, что использование ПДн госструктурами создает лишние риски, 48% уверены, что это безопасно. Развенчать опасения недоверчивых поможет запуск платформы согласий на Госуслугах, который ожидается в 2028 году.

В вопросе о мошеннических звонках от имени банка респонденты проявили единодушие: конфиденциальные данные по таким запросам предоставлять нельзя. Три четверти участников опроса в ответ просто вешают трубку и уточняют информацию, перезванивая в банк по официальному номеру. Что важнее, так уже поступают 79% людей преклонного возраста.

Ввиду роста числа атак с использованием ИИ, в том числе дипфейков, созданных с помощью таких инструментов, инициаторам опроса было интересно узнать, готовы ли россияне к противодействию новой угрозе.

В этом году МВД РФ фиксирует расширение использования дипфейков в мошеннических схемах. Опрос показал, что в своей способности распознать эту киберугрозу уверены меньше половины опрошенных — в основном молодежь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru