Згідно з опитуванням EY компанії в Україні та світі наражаються на серйозні ризики комплексних кібератак, ефективність яких зростає
КИЇВ, 20 ЛЮТОГО 2018 РОКУ. Згідно з двадцятим міжнародним дослідженням EY «Cybersecurity regained: preparing to face cyber attacks» компанії впевнені, що ризик кібератак зростає. Опитування близько 1200 керівників найбільших міжнародних (в тому числі й українських) компаній розкриває найбільш актуальні питання та підходи компаній до управління кібербезпекою.
Результати дослідження демонструють, що 56% опитаних планують або вже реалізовують зміни в стратегії кібербезпеки. Причини – збільшення впливу кіберзагроз і поява нових ризиків та вразливостей. Внаслідок встановлення більш тісних взаємозв’язків між філіями міжнародних компаній через розвиток IoT (Internet of Things) виникла можливість експлуатації нових вразливостей для реалізації комплексних кібератак на організацію. Дослідження виявило, що для реалізації кібератак успішно використовуються вже відомі компаніям вразливості. Це демонструє непослідовність в імплементації стандартних процедур безпеки.
Пол ван Кессел, керівник міжнародного центру консультаційних послуг EY з управління ризиками, вважає: «Останні успішні кібератаки базуються на простих методах, які використовують відомі вразливості компаній. Окрім того, гіперпідключеність і нові технології створюють не тільки можливості, але й нові ризики. Тому при переході до цифрової ери компанії мають проводити комплексне дослідження своїх цифрових екосистем для захисту бізнесу сьогодні, завтра та у далекому майбутньому».
Дослідження показало, що більшість компаній продовжують збільшувати витрати на кібербезпеку. Понад 90% респондентів заявили, що очікують виділення більших бюджетів на захист у цьому році. Боротьба з кіберзагрозами вимагатиме більш жорсткої реакції, тому 87% зазначили, що вимагатимуть збільшити бюджет на кібербезпеку принаймні на 50%. Проте лише 12% очікують підвищення фінансування принаймні на 25%. В Україні 75% керівників департаментів інформаційної безпеки, враховуючи поточну ситуацію, будуть вносити пропозиції для менеджменту щодо збільшення бюджету на ІТ на 50% чи більше.
76% респондентів стверджують, що виявлення атаки, яка завдала шкоди, ймовірно, сприятиме збільшенню фінансування. З іншого боку, 64% (у минулому році – 62%) стверджують, що атака, яка не завдала шкоди, не стане причиною збільшення бюджету на кібербезпеку, навіть попри те що шкоду від атаки може бути виявлено не одразу.
Багато респондентів також визнають, що недостатнє фінансування може підвищити кіберризики. 56% респондентів заявили про те, що розглядають або вже внесли зміни до своїх стратегій і планів боротьби з ризиками. Проте 20% визнають, що не мають належної оцінки стану інформаційної безпеки та потенційних вразливостей.
Збільшення загроз від шкідливого програмного забезпечення та недбалих працівників
64% респондентів розглядають шкідливе програмне забезпечення (52% у 2016) та фішинг (51% у 2016) як найбільш небезпечні загрози за минулий рік. Найбільшою загрозою для організації вважаються необачні або необізнані співробітники (60% респондентів у порівнянні з 55% у 2016).
77% опитаних вважають найбільш вірогідним джерелом атак необачних співробітників, 56% - кримінальні синдикати, 47% - зловмисних співробітників.
Багато компаній мають значні проблеми з реагуванням на складні кібератаки, що реалізуються організованими та підготованими групами. 75% респондентів оцінюють зрілість процесу виявлення вразливостей як дуже низьку або середню. Ще 12% зазначили, що не мають програми виявлення втручань, а 35% вказали, що політика захисту даних у них відсутня або не формалізована. Водночас, 38% зовсім не мають програми контролю за доступом або обмежуються неформальними заходами.
«В Україні 78% респондентів оцінюють зрілість процесу виявлення вразливостей у їхніх компаніях як дуже низьку або середню, - коментує Дмитро Лазученков, старший менеджер відділу послуг у галузі управління інформаційними технологіями та ІТ-ризиками EY в Україні. – Респондентами були представники провідних підприємств, установ, організацій України, більшість яких мають програму виявлення втручань та формалізовану політику захисту даних. Лише 11% українських респондентів зазначили, що зовсім не мають програми контролю за доступом або обмежуються неформальними заходами. Така ситуація не тільки свідчить про те, що успішні комплексні атаки 2017 року були лише питанням часу, але й не дає впевненості, що подібні атаки не матимуть успіху в майбутньому».
Задля покращення своєї готовності до реагування на кібератаки більшість компаній визнають необхідність створення операційного центру забезпечення інформаційної безпеки (SOC), що є централізованим, структурованим та координованим хабом для всіх заходів у сфері кібербезпеки. Проте 48% респондентів стверджують, що досі не мають ані власного, ані аутсорсингового центру. Більше того, 57% респондентів не мають спеціальної програми в галузі збору та аналізу інформації про кіберзагрози або обмежуються неформальними заходами. Лише 12% з них впевнені, що зможуть розпізнати складну кібератаку на їхню організацію. В Україні формалізована програма в галузі збору та аналізу інформації про кіберзагрози відсутня у 67% респондентів. Лише 11% респондентів в Україні впевнені, що вони зможуть розпізнати складну кібератаку.
Дослідження також демонструє, що бюджети на кібербезпеку вищі в компаніях, які:
► Призначають спеціалістів з кібербезпеки на керівні посади
► Готують звіти з кібербезпеки двічі на рік та представляють їх керівництву й аудиторському комітету
► Визначають найбільш критичні складові IT-інфраструктури компанії та захищають їх.
Дослідження підкреслює, що в компаніях з налагодженими механізмами управління можливе застосування підходу security-by-design – створення систем та процедур, які здатні відповідати на появу неочікуваних ризиків та загроз. 50% респондентів стверджують, що в їхніх компаніях звіти з кібербезпеки регулярно подаються керівництву. Водночас, тільки 24% респондентів стверджують, що особа, відповідальна за кібербезпеку їхньої організації, є членом правління, і лише 17% заявили, що вище керівництво має достатні знання в галузі інформаційної безпеки для ефективного управління кіберризиками.
В Україні дещо кращі показники: керівництво опитаних компаній регулярно отримує інформацію і звіти про стан кібербезпеки у їхній компанії, 22% респондентів також зазначили, що в їхній компанії відповідальна за кібербезпеку особа є членом правління. 44% респондентів впевнені у достатній обізнаності вищого керівництва в галузі інформаційної безпеки компанії.
Пол ван Кессел підсумовує: «Ми сподіваємось, що в майбутньому бізнеси будуть співпрацювати та поширювати знання про кібербезпеку задля підвищення ефективності боротьби з кіберризиками. Компанії мають переглянути підхід до кібербезпеки як до питання, що належить виключно до сфери IT. Їм необхідно сфокусуватися на комплексному управлінні кібербезпекою та запровадженні принципу security-by-design».
Результати дослідження демонструють, що 56% опитаних планують або вже реалізовують зміни в стратегії кібербезпеки. Причини – збільшення впливу кіберзагроз і поява нових ризиків та вразливостей. Внаслідок встановлення більш тісних взаємозв’язків між філіями міжнародних компаній через розвиток IoT (Internet of Things) виникла можливість експлуатації нових вразливостей для реалізації комплексних кібератак на організацію. Дослідження виявило, що для реалізації кібератак успішно використовуються вже відомі компаніям вразливості. Це демонструє непослідовність в імплементації стандартних процедур безпеки.
Пол ван Кессел, керівник міжнародного центру консультаційних послуг EY з управління ризиками, вважає: «Останні успішні кібератаки базуються на простих методах, які використовують відомі вразливості компаній. Окрім того, гіперпідключеність і нові технології створюють не тільки можливості, але й нові ризики. Тому при переході до цифрової ери компанії мають проводити комплексне дослідження своїх цифрових екосистем для захисту бізнесу сьогодні, завтра та у далекому майбутньому».
Дослідження показало, що більшість компаній продовжують збільшувати витрати на кібербезпеку. Понад 90% респондентів заявили, що очікують виділення більших бюджетів на захист у цьому році. Боротьба з кіберзагрозами вимагатиме більш жорсткої реакції, тому 87% зазначили, що вимагатимуть збільшити бюджет на кібербезпеку принаймні на 50%. Проте лише 12% очікують підвищення фінансування принаймні на 25%. В Україні 75% керівників департаментів інформаційної безпеки, враховуючи поточну ситуацію, будуть вносити пропозиції для менеджменту щодо збільшення бюджету на ІТ на 50% чи більше.
76% респондентів стверджують, що виявлення атаки, яка завдала шкоди, ймовірно, сприятиме збільшенню фінансування. З іншого боку, 64% (у минулому році – 62%) стверджують, що атака, яка не завдала шкоди, не стане причиною збільшення бюджету на кібербезпеку, навіть попри те що шкоду від атаки може бути виявлено не одразу.
Багато респондентів також визнають, що недостатнє фінансування може підвищити кіберризики. 56% респондентів заявили про те, що розглядають або вже внесли зміни до своїх стратегій і планів боротьби з ризиками. Проте 20% визнають, що не мають належної оцінки стану інформаційної безпеки та потенційних вразливостей.
Збільшення загроз від шкідливого програмного забезпечення та недбалих працівників
64% респондентів розглядають шкідливе програмне забезпечення (52% у 2016) та фішинг (51% у 2016) як найбільш небезпечні загрози за минулий рік. Найбільшою загрозою для організації вважаються необачні або необізнані співробітники (60% респондентів у порівнянні з 55% у 2016).
77% опитаних вважають найбільш вірогідним джерелом атак необачних співробітників, 56% - кримінальні синдикати, 47% - зловмисних співробітників.
Багато компаній мають значні проблеми з реагуванням на складні кібератаки, що реалізуються організованими та підготованими групами. 75% респондентів оцінюють зрілість процесу виявлення вразливостей як дуже низьку або середню. Ще 12% зазначили, що не мають програми виявлення втручань, а 35% вказали, що політика захисту даних у них відсутня або не формалізована. Водночас, 38% зовсім не мають програми контролю за доступом або обмежуються неформальними заходами.
«В Україні 78% респондентів оцінюють зрілість процесу виявлення вразливостей у їхніх компаніях як дуже низьку або середню, - коментує Дмитро Лазученков, старший менеджер відділу послуг у галузі управління інформаційними технологіями та ІТ-ризиками EY в Україні. – Респондентами були представники провідних підприємств, установ, організацій України, більшість яких мають програму виявлення втручань та формалізовану політику захисту даних. Лише 11% українських респондентів зазначили, що зовсім не мають програми контролю за доступом або обмежуються неформальними заходами. Така ситуація не тільки свідчить про те, що успішні комплексні атаки 2017 року були лише питанням часу, але й не дає впевненості, що подібні атаки не матимуть успіху в майбутньому».
Задля покращення своєї готовності до реагування на кібератаки більшість компаній визнають необхідність створення операційного центру забезпечення інформаційної безпеки (SOC), що є централізованим, структурованим та координованим хабом для всіх заходів у сфері кібербезпеки. Проте 48% респондентів стверджують, що досі не мають ані власного, ані аутсорсингового центру. Більше того, 57% респондентів не мають спеціальної програми в галузі збору та аналізу інформації про кіберзагрози або обмежуються неформальними заходами. Лише 12% з них впевнені, що зможуть розпізнати складну кібератаку на їхню організацію. В Україні формалізована програма в галузі збору та аналізу інформації про кіберзагрози відсутня у 67% респондентів. Лише 11% респондентів в Україні впевнені, що вони зможуть розпізнати складну кібератаку.
Дослідження також демонструє, що бюджети на кібербезпеку вищі в компаніях, які:
► Призначають спеціалістів з кібербезпеки на керівні посади
► Готують звіти з кібербезпеки двічі на рік та представляють їх керівництву й аудиторському комітету
► Визначають найбільш критичні складові IT-інфраструктури компанії та захищають їх.
Дослідження підкреслює, що в компаніях з налагодженими механізмами управління можливе застосування підходу security-by-design – створення систем та процедур, які здатні відповідати на появу неочікуваних ризиків та загроз. 50% респондентів стверджують, що в їхніх компаніях звіти з кібербезпеки регулярно подаються керівництву. Водночас, тільки 24% респондентів стверджують, що особа, відповідальна за кібербезпеку їхньої організації, є членом правління, і лише 17% заявили, що вище керівництво має достатні знання в галузі інформаційної безпеки для ефективного управління кіберризиками.
В Україні дещо кращі показники: керівництво опитаних компаній регулярно отримує інформацію і звіти про стан кібербезпеки у їхній компанії, 22% респондентів також зазначили, що в їхній компанії відповідальна за кібербезпеку особа є членом правління. 44% респондентів впевнені у достатній обізнаності вищого керівництва в галузі інформаційної безпеки компанії.
Пол ван Кессел підсумовує: «Ми сподіваємось, що в майбутньому бізнеси будуть співпрацювати та поширювати знання про кібербезпеку задля підвищення ефективності боротьби з кіберризиками. Компанії мають переглянути підхід до кібербезпеки як до питання, що належить виключно до сфери IT. Їм необхідно сфокусуватися на комплексному управлінні кібербезпекою та запровадженні принципу security-by-design».
Для пошуку виробників і дистриб'юторів, експортерів і імпортерів товарів і послуг в Україні і за кордоном - скористайтеся базою даних компаній "КОМПАСС Україна": Безкоштовна версія www.demo.kompass.ua
Останні новини компаній по темі
- Різне: Kompass International stand against the Russian invasion of Ukraine
- Дистрибуція і торгівля: ГК «Нові Продукти» оголошує про повне розірвання бізнес-відносин з РФ та Білоруссю
- Різне: ЄС оприлюднив новий санкційний список
- Дистрибуція і торгівля: «Сільпо» відкриває збір коштів спільно з фондом «Повернись живим»
- Різне: Играть в автоматы онлайн: лицензионное казино с выводом
- Послуги: Лазерная эпиляция лица в Киеве
- Дистрибуція і торгівля: Пять способов оживить торговый центр
- Різне: Добавки для детей. Нужны ли они?
- Послуги: Втратили документи, підтверджуючі право власності на нерухомість?
- Послуги: Что нужно, чтобы сделать временную прописку в Киеве?
- Різне: История бриллианта в кольце для помолвки
- Дистрибуція і торгівля: Як правильно поєднувати сумку та аксесуари у 2022 році
- Медіаринок, pr і реклама: Почему фирменная полиграфия так важна?
- Послуги: Що обрати: оренду чи покупку кавомашини?
- Дистрибуція і торгівля: «Сільпо» відкриває крафтову броварню Beermaster Brewery
