В рамках конференции «Фінансові послуги та цифрові технології», состоявшейся недавно в Киеве, Дмитрий Лазученков, менеджер «EY Украина», представил результаты глобального исследования в области информационной безопасности компании ЕY в 2015-м году.
Подобные исследования ЕY проводит уже 18-й год подряд. В данном опросе принимали участие ведущие специалисты в области информационной безопасности и информационных технологий. Всего опрошено 1755 респондентов из 67 стран.
Согласно результатам отчета, наиболее вероятным источником кибератак в 2015 году стали криминальные структуры (об этом заявили 59% респондентов), далее следуют инсайдеры (то есть, собственные сотрудники – 56%), группы хакеров (54%) и хакеры-одиночки (43%). Об угрозе, исходящей от подрядчиков (фактически внешних инсайдеров), заявили 36%. На злоумышленников, поддерживаемых государством, приходится 35%. Таким образом, по оценкам респондентов, хакеры являются наиболее вероятным источником атак.
А вот приоритезация угроз по степени критичности показали следующие результаты: атаки для получения финансовой информации – 21%, вредоносное ПО – 20%, фишинг – 18%, атаки нулевого дня – 18%, атаки для ухудшения репутации – 17%.
Рост сложности атак хакеров
Исследователи попытались приоритезировать уязвимости в системы информационной безопасности по степени критичности. Как и следовало ожидать, основную угрозу представляют необученные сотрудники (14%), далее следует устаревшая архитектура ИБ (13%), облачные технологии (11%) и мобильные технологии (10%).
Бюджеты и расходы на ИБ в 2015
В 32% компаний бюджеты на ИБ в минувшем году в среднем в мире не изменились, 58% респондентов заявили о их росте. При этом 56% респондентов финансового сектора ожидают увеличение бюджетов в течение следующего года.
Что касается Украины, то половина респондентов заявила, что их бюджеты на ИБ в 2015 году не изменились. Но только 13% ожидают увеличение бюджетов на ИБ в финансовых компаниях Украины в течении следующего года. В среднем по СНГ эта же цифра равна 48%.
Приоритеты ИБ в финансовом секторе
Наиболее высокие приоритеты отдаются управлению непрерывностью и предотвращению утечек данных. В целом акценты украинских компаний и компаний СНГ коррелируют с отраслевыми показателями.
Наиболее приоритетные области ИБ в финансовом секторе
Согласно результатам опроса, компании финансового сектора Украины уделяют довольно много внимания технологиям ИБ и идут в ногу с отраслевыми показателями. С другой стороны, украинские компании и компании СНГ уделяют гораздо меньше внимания тестированию на проникновение, чем это делают мировые компании.
Наиболее приоритетные технологии ИБ в финансовом секторе
Что изменилось за год
В 2015 году 74% респондентов указали криминальные синдикаты наиболее вероятным источником атак, в 2014 году так считали только 53%. Порядка 22% респондентов в минувшем году потратили больше на облачные технологии, однако в 2014 году об этом заявляли почти в два раза больше респондентов — 39%.
Около 38% респондентов отметили низкую вероятность обнаружения атак (22% в 2014). Среди внутренних проблем 57% респондентов отметили нехватку навыков персонала в сфере ИБ (в 2014 об этом говорили 53%), а 63% респондентов отметили нехватку финансирования ИБ (тот же процент в 2014). Кроме того, 22% респондентов не используют программы актуализации данных об угрозах (36% в 2014).
Ущерб от инцидентов
Около половины организаций понесли денежные потери от инцидентов ИБ. При этом, каждый пятый респондент не имеет информации о финансовом ущербе.
Финансовые институции на территории СНГ потеряли 4,1 млн долл., в то время как известный ущерб, нанесенный украинским компаниями не превышает миллион долларов.
В процессе внедрения систем ИБ около 60% респондентов в Украине ощущают нехватку поддержки со стороны руководства. И только 15% респондентов обсуждают с руководством экономическую выгоду от обеспечения информационной безопасности.
Подходы к управлению информационной безопасностью
Факторы влияющие на функции ИБ, а также высокая зависимость бизнес-процессов от информационных систем, требуют от компаний системного и целостного подхода к управлению информационной безопасностью
С точки зрения подхода к управлению ИБ компании можно разделить на два вида:
- Использующие реактивный подход — управление ИБ без системного понимания ее влияния на ключевые бизнес процессы и отсутствие вовлечения менеджмента в стратегию ИБ;
- Использующие проактивный подход — активное участие высшего руководства в определении стратегии ИБ и ее совмещении с потребностями бизнеса.
Компании, избравшие проактивный подход, усилили курс на построение и поддержание эффективных систем управления информационной безопасностью (СУИБ). По мнению спикера, эффективная СУИБ способна минимизировать убытки, связанные с утечкой информации, ошибках в данных и мошенничеством, обеспечить прозрачность инвестиций и понимание целевого результата, а также выполнение требований Национального банка Украины и международных регуляторов.
Также СУИБ способна обеспечить конфиденциальность, доступность и целостность критичной информации при ее обработке, обмене и хранении. Внедрение СУИБ сулит выгоды и отделу информационной безопасности. Переход к проактивному управлению ИБ фактически означает достижение необходимого уровня защиты информационных активов, а также предотвращение пожаров вместо их возможного тушения. Риск-ориентированный подход дает возможность показать бизнесу необходимость и оправданность мер ИБ. Системный подход к внедрению защитных мер и вовлеченность руководства гарантирует более эффективную работу сотрудников отдела ИБ.
Но от внедрения СУИБ выигрывает и бизнес. Среди выгод: интеграция управления рисками ИБ с корпоративной системой управления рисками, внедрение оправданных по стоимости решений по защите информационных активов, прозрачность затрат на обеспечение ИБ, минимизация рисков и предотвращение убытков от угроз ИБ.
Тем не менее, обеспечение безопасности является непрерывным процессом, поэтому система управления информационной безопасностью требует постоянного пересмотра и обновления. Только путем постоянных улучшений можно достичь эффективности в управлении безопасностью и улучшения ключевых показателей.
