Однако новое исследование Positive Technologies показывает, что это не так: в 2013 году заметные инциденты в сфере информационной безопасности происходили во всех крупных компаниях, руководители которых были опрошены в ходе исследования. И более чем в половине компаний инциденты привели к существенным проблемам, включая финансовые потери.
Стоит отметить, что раньше исследовательский центр Positive Technologies публиковал в основном технические исследования, включая статистику тестов на проникновение и анализ уязвимостей приложений. Но превращаются ли потенциальные угрозы в реальные потери? Для ответа на этот вопрос эксперты решили провести опрос среди представителей ключевых отраслей, чтобы узнать, как сами компании оценивают угрозы и состояние своей защищенности.
Опрос проводился в апреле-мае 2014 года среди руководителей 63 крупнейших организаций России. В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%), топливно-энергетической (13%), транспортной (4%) отраслей, а также государственных организаций и ведомств (12%).
Более 80% исследованных организаций входят в российский топ-100 по объемам капитализации (РИА Рейтинг, 2013). Примерно половина компаний обладают крайне разветвленной сетевой инфраструктурой и насчитывают свыше 50 тыс. узлов.
Как выяснилось, в 58% компаний ИБ-инциденты привели к существенным проблемам: это нарушения IT-инфраструктуры (31%), финансовые потери (15%) и репутационные издержки (12%). Критических инцидентов больше всего было в банковском секторе, в СМИ и транспортных компаниях.
Наиболее распространенными инцидентами оказались DoS-атаки, которым были подвержены 23% компаний, а также атаки на внешние веб-приложения (21%). Достаточно высоким оказался процент инцидентов, связанных с внутренними причинами - нарушением правил эксплуатации ИС (16%) и злоупотреблениями со стороны сотрудников (14%). Таким образом, внутренние угрозы оказались более опасными, чем такая классическая «страшилка», как заражение вредоносным ПО (14%).
В качестве источников основных угроз руководители компаний в первую очередь отмечают киберпреступность (31%). На втором и третьем местах - злоупотребления администраторов ИС (23%) и сотрудников компании (17%). Поставщиков и партнеров считают возможной угрозой 11% респондентов: это немного, учитывая тенденцию к расширению аутсорсинга. На угрозы информационной безопасности со стороны спецслужб указали 9% опрошенных.
Основными проблемами, мешающими обеспечивать безопасность на должном уровне, названы недостаток ИБ-специалистов (37%) и несовершенство нормативно-законодательной базы (26%).
При организации безопасности большинство крупных компаний руководствуются обязательными к исполнению государственными нормативами, однако высока и роль экспертов: 55% опрошенных руководителей полагаются на мнение собственных специалистов по безопасности - это больше, чем число тех, кто верит в отраслевые или международные стандарты. Наибольший «вес» экспертиза собственных специалистов имеет в телекоммуникационной отрасли и в медиакомпаниях.
Многие участники исследования также отметили, что для обеспечения безопасности имеет значение не только своевременное реагирование на инциденты внутри компании, но и взаимодействие с внешними группами реагирования на инциденты, такие как CERT (33%), и получение своевременной информации об уязвимостях (42%). Большинство тех, кто еще не наладил подобного сотрудничества, сообщили, что планируют сделать это в будущем.