Приоритеты в защите заметно разошлись в разных отраслях
Такой результат аналитики Yandex Cloud получили в ходе исследования "Безопасность в облаках и не только: исследование‑прогноз для CISO на 2024 г.", которое проведено при участии компании "Деловые решения и технологии" (ДРТ). В опросе приняли участие более 300 ИТ- и ИБ-специалистов, а также руководителей бизнес-направлений из различных отраслей, включая банковский сектор, страхование, обрабатывающую и добывающую промышленность, розничную торговлю, разработку ПО и др. Также в рамках исследования проведено 26 глубинных интервью с представителями 17 крупных компаний.
По данным исследования, в среднем доля расходов на ИБ в российском бизнесе составляет 15% от общего бюджета на ИТ. У большинства компаний затраты на проекты безопасности по сравнению с прошлым годом выросли в среднем на 20%.
Заместитель технического директора Innostage Данияр Исхаков связал рост ИБ бюджетов с необходимостью решать задачи по обеспечению реальной защищенности от хакерских атак, повышению эффективности использования этих финансовых средств, обучению ИБ-специалистов и обеспечению покрытия средствами защиты всей ИТ-инфраструктуры. Также, по его оценке, сказалась и потребность в решении задач по импортозамещению в области ИБ, и обе эти тенденции продолжатся и в 2024 г.
"Да, действительно, средний ИБ-бюджет компании составляет 15% от ИТ-бюджета. Размер ИБ-бюджета иногда может быть меньше, иногда больше - в зависимости от специфики деятельности компании, - уверен генеральный директор облачного провайдера "Нубес" (Nubes) Василий Степаненко. - В 2023 г. росту ИБ-бюджетов способствовали опасения, связанные с участившимися атаками хакеров и хактивистов. В 2024 г. эта тенденция остается основным драйвером роста ИБ-бюджета бизнеса. Количество атак хакеров растет, как и масштаб ущерба, наносимого бизнесу. Причем размеры ИБ-бюджета бизнес определяет, исходя не из возможного ущерба, а из приемлемого времени простоя сервиса. Так как сейчас большинство услуг должно быть доступно 24/7, размеры ИБ-бюджета увеличиваются. Сказывается также рост инфляции".
Руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов обратил внимание, что неверно рассматривать ИБ-бюджет как часть ИТ-бюджета: "Как я понимаю, исследователи в данном случае говорят о бюджете на ИТ-безопасность - компьютерную безопасность, кибербезопасность, БИТ, IT-Security и т.п., - которая является частью технической защиты информации (ТЗИ), и уже она часть сферы ИБ. Таким образом, в состав ТЗИ могут входить расходы на безопасность бумажных документов, переговоров, внедрение системы менеджмента ИБ, контроль защищенности и тому подобные меры. ИТ-безопасность, как правило, включает в себя закупку, внедрение и эксплуатацию средств защиты информации, обучение специалистов. Но обучение специалистов служб ИБ, которые далеко не всегда входят в состав служб информатизации, мероприятия по контролю защищенности и другие подобные расходы - это, как правило, за пределами ИТ. Таким образом, возможно говорить, что ИБ-бюджеты в части ИТ-безопасности превышают названные в исследовании величины, но так как в абсолютных величинах стоимость внедрения и эксплуатации СЗИ, создания и содержания SOC стоят немало, то разницу возможно оценить в плюс 3-5%".
При этом 45% участников опроса заявили, что незнакомы с тем, как распределяются статьи ИБ-бюджета. Но при этом почти у половины российских компаний в 2023 г. увеличились бюджеты, которыми управляют руководители ИБ-подразделений (или CISO, англ. - от Chief Information Security Officer).
Как показало исследование, фокус для инвестиций по разным отраслям заметно отличается. Если у финансового сектора и промышленности в приоритете продление лицензий на ПО, масштабирование имеющихся средств защиты и замена старых систем, то у розницы - расширение штата ИБ-специалистов, внедрение новых процессов и обучение персонала. Авторы исследования связывают эти различия с тем, что цифровизация в рознице началась позже и там только начинают создавать ИБ-команды. Также представители розницы существенно чаще отмечали в качестве значимой проблемы низкую квалификацию персонала (37% против среднего показателя в 19%).
Ведущий сайта "Бизнес без опасности" и Telegram-канала "Пост Лукацкого" Алексей Лукацкий назвал распределение инвестиций в целом логичным для 2023 г., в условиях ухода иностранных вендоров, но отметил отсутствие инвестиций в развитие именно стратегии ИБ, свидетельством чему стало то, что 38% опрошенных вообще не в курсе, как часто в их компании обновляется стратегия ИБ.
"Уровень цифровизации ретейла выше, чем промышленности. Компании из сферы ретейла активно прибегают к аутсорсингу, поэтому их расходы на ИБ связаны не только и не столько с увеличением штата ИБ-специалистов. В свою очередь, промышленные предприятия и финансовые организации пользуются услугами аутсорсинга реже из-за ограничений, накладываемых определенными нормативно-правовыми актами, - возражает Василий Степаненко. - Масштабирование систем у ретейла также находится в приоритете. В целом разница в обеспечении информационной безопасности в этих сферах заключается в том, что финансовые организации делают акцент на конфиденциальность, ретейлеры - на доступность, промышленные предприятия - на целостность и доступность в одинаковой степени".
"Финансовый сектор, с одной стороны, всегда являлся интересным объектом для атак, поэтому активно вкладывался в обеспечение своей защищенности и создание сильных ИТ- и ИБ-команд. С другой стороны, это еще очень зарегулированная с точки зрения требований к ИБ отрасль. Стараниями Центрального банка создана нормативно-правовая база, содержащая высокие требования к защите информации. Финансовый сектор, действительно, в большей степени оснащен основными классами средств защиты информации и требует точечных улучшений. Промышленность в большей степени имеет изолированную инфраструктуру, которая не требует роста ИТ-инфраструктуры, как у банков или ретейла. Основной задачей, на мой взгляд, тут является повышение эффективности от ранее сделанных вложений в ИБ и решение точечных задач по импортозамещению или модернизации систем защиты, - комментирует Данияр Исхаков. - Ретейл ранее никогда не ощущал себя объектом для глобальных хакерских атак и был больше сосредоточен на развитии ИТ, которые поддерживают и развивают бизнес. Затраты системы защиты информации в большей степени воспринимались как формальные обязательства по исполнению требований о защите персональных данных. Ретейл, также как и финансовый сектор, имеет высокий уровень цифровизации, но необходимость предоставления удобства и функциональности для бизнес-пользователей и отсутствие каких-либо ограничений со стороны регулятора зачастую приводили к использованию иностранных или open-source-решений как в ИТ, так и в ИБ, так как отечественные решения ранее сильно уступали в функциональности и удобстве работы с ними. Но ретейлеры ощутили проблему со сложностью продления поддержки и масштабированием иностранных решений и/или нехватку решений по защите информации для обеспечения защищенности своей ИТ-инфраструктуры, поэтому в большей степени сосредоточены на внедрении новых решений по ИБ, обеспечении штатной численности ИБ-специалистов для обслуживания новых систем защиты и их обучении".
"Чаще всего для первичного проникновения во внутреннюю сеть розничных и e-com-компаний используются фишинговые письма с вредоносными вложениями и ссылками, а также публично доступные приложения и сервисы, которые предоставляют удаленный доступ во внутреннюю сеть из сети Интернет (публично доступные серверы RDP, VPN-сервисы, в том числе с использованием валидных существующих учетных записей)", - говорится в отчете по результатам исследования Angara Secutiy, согласно которому отрасль розничной торговли названа в числе трех наиболее атакуемых по результатам 2023 г. Основными векторами проникновения являются фишинг и социальная инженерия, атаки на цепочки поставок и через решения с открытым исходным кодом. В этих условиях, по мнению аналитиков Angara Secutiy, киберграмотность сотрудников становится важным фактором обеспечения кибербезопасности для ретейла и электронной коммерции.
"На мой взгляд, расстановка приоритетов в этих отраслях связана в первую очередь со спецификой работы и процессов, - отметил руководитель отдела технологической экспертизы Softline Денис Чигин. - Та же розница склонна постоянно расширять присутствие в части магазинов, что требует дополнительного персонала и его обучения. Это, в свою очередь, накладывает отпечаток на то, какие именно проекты в части ИБ она реализует, так как и события, которые коллеги в рознице пытаются предотвратить, диктуются той же отраслевой спецификой. Более того, уровень цифровизации в рознице, крупных сетях по крайней мере, я бы низким не назвал. Достаточно посмотреть, как быстро адаптировался сегмент к ковидным реалиям. И я бы не сказал, что развитие после этого как-то замедлилось и остановилось. В других отраслях развитие, может, и идет по несколько отличным векторам, что накладывает отпечаток на приоритеты в части проектов ИБ".