Aa Aa Aa

Пока гром не грянет: украинские компании готовы увеличивать бюджеты на кибербезопасность

Владимир Кондрашов
Пока гром не грянет: украинские компании готовы увеличивать бюджеты на кибербезопасность

75% руководителей крупнейших украинских компаний готовы увеличить бюджеты на обеспечение кибербезопасности как минимум на 50%. Этот показатель на 12% ниже среднемирового, говорится в исследовании EY «Cybersecurity regained: preparing to face cyber attacks».

Какие интересные факты о кибербезопасности украинских компаний раскрывает отчет и что об этом думают профильные специалисты, узнавал InternetUA.

Новые угрозы и большие бюджеты

Результаты исследования, в котором приняли участие около 1200 руководителей крупнейших международных (в том числе и украинских) компаний, показывают, что 56% опрошенных планируют или уже реализуют изменения в стратегии кибербезопасности. Причины – увеличение влияния киберугроз и появление новых рисков и уязвимостей. Вследствие установления более тесных взаимосвязей между филиалами международных компаний через развитие IoT (Internet of Things) появилась возможность эксплуатации новых уязвимостей для реализации комплексных кибератак на организацию. Исследование показало, что для реализации кибератак успешно используются уже известные компаниям уязвимости. Это демонстрирует непоследовательность в осуществлении стандартных процедур безопасности.

– Большинство компаний продолжают увеличивать расходы на кибербезопасность. Более 90% респондентов заявили, что ожидают выделения больших бюджетов на защиту в этом году. Борьба с киберугрозами потребует более жесткой реакции, поэтому 87% отметили, что будут требовать увеличить бюджет на кибербезопасность крайней мере на 50%. Однако только 12% ожидают повышения финансирования, по крайней мере, на 25%, – утверждают в EY. – В Украине 75% руководителей департаментов информационной безопасности, учитывая текущую ситуацию, будут вносить предложения для менеджмента об увеличении бюджета на ИТ на 50% или более.

Многие респонденты утверждают, что недостаточное финансирование может повысить киберриски. 56% респондентов заявили о том, что рассматривают или уже внесли изменения в свои стратегии и планы борьбы с рисками. Однако 20% признают, что не имеют надлежащей оценки состояния информационной безопасности и потенциальных уязвимостей.

11% украинских компаний плевать на кибербезрпасность

– В Украине 78% респондентов оценивают зрелость процесса обнаружения уязвимостей в их компаниях как очень низкую или среднюю, – комментирует Дмитрий Лазученков, старший менеджер отдела услуг в области управления информационными технологиями и IТ-рисками EY в Украине. – Респондентами были представители ведущих предприятий, учреждений, организаций Украины, большинство которых имеют программу выявления вмешательств и формализованную политику защиты данных. Лишь 11% украинских респондентов отметили, что совсем не имеют программы контроля за доступом или ограничиваются неформальными мероприятиями. Такая ситуация не только свидетельствует о том, что успешные комплексные атаки 2017 были лишь вопросом времени, но и не дает уверенности, что подобные атаки не будут иметь успеха в будущем.

ey-giss-infographics-ukr.jpg (133 KB)

Исследование подчеркивает, что в компаниях с налаженными механизмами управления возможно применение подхода security-by-design – создание систем и процедур, которые способны отвечать на появление неожиданных рисков и угроз. 50% от числа всех респондентов утверждают, что в их компаниях отчеты по кибербезопасности регулярно подаются руководству. В то же время, только 24% респондентов утверждают, что лицо, ответственное за кибербезопасность их организации, является членом правления, и только 17% заявили, что высшее руководство имеет достаточные знания в области информационной безопасности для эффективного управления киберрисками.

В Украине несколько лучшие показатели: руководство опрошенных компаний регулярно получает информацию и отчеты о состоянии кибербезопасности в своих предприятиях, 22% респондентов также отметили, что в компаниях ответственное за кибербезопасность лицо является членом правления. 44% респондентов уверены в достаточной осведомленности высшего руководства в области информационной безопасности предприятия.

Деньги есть, нужны кадры

Как рассказал в комментарии для InternetUA основатель «Украинской группы информационной безопасности» Константин Корсун, данные исследования Ernst&Young в целом отображают реальные общие тенденции в украинском бизнес-пространстве:

– Интересная статистика. В целом она соответствует общим тенденциям. Вопрос только с репрезентативностью опроса, но ее никогда не бывает достаточно. Ключевая фраза, по-моему, вот эта: «87% отметили, что будут требовать увеличить бюджет на кибербезопасность минимум на 50%. Однако только 12% ожидают повышения финансирования хотя бы на 25%». То есть, хотят увеличить бюджеты кибербезопасности почти все, но очень немногие их на самом деле получают.

Для Украины, отмечает эксперт, эта проблема еще более актуальна:

– Компании, которых «пронесло» после NePetya, почему-то чувствуют себя уже спокойно и неохотно финансируют кибербезопасность. Даже среди пострадавших продолжаются дискуссии «а не много мы ли мы планируем потратить на эту область».

Эксперт по кибербезопасности, лидер OWASP Kyiv и операционный директор Berezha Security Владимир Стыран в комментарии для нашего издания отметил, что бюджеты на кибербезопасность тех украинских компаний, которые заботятся о своей защите, действительно растут, однако на этом фоне выделяется серьезная проблема – отсутствие высококвалифицированных кадров:

– Основная проблема украинского рынка не в отсутствии денег, хотя это очень важно, – в Украине катастрофически не хватает квалифицированных кадров, которые потом за эти деньги что-то вам будут делать. Эту проблему изменениями в бюджет не исправишь. Будут деньги – хорошо, но это чудесным образом не добавит нам рабочих рук на рынке труда.

Бюджеты украинских компаний растут, потому что увеличивается рынок, говорит Стыран:

– Без увеличения бюджетов потребителей безопасности рынок бы не рос – это логично. Украина как территория, где актуальны киберугрозы (их меньше не становится, и они превращаются в перманентные), увеличивает затраты на кибербезопасность и в частном, и в государственном секторах, но отобразится ли это как-то на состоянии кибербезопасности – для меня открытый вопрос. Я, как резидент этого рынка, могу вам уверенно сказать - людей у нас нет.