Исследование состояния информационной безопасности в российском бизнесе показало – компании больше не могут игнорировать репутационные риски, связанные с внутренними инцидентами безопасности. Для 41% компаний такие нарушения привели к прямому финансовому ущербу. Мы проанализировали, как ИБ-угрозы трансформируются в реальные убытки и выяснили, какие инструменты бизнес использует для защиты.
Все течет, но не все отслеживается
Традиционно мы выясняем, как год от года меняется число утечек информации. Цифры впечатляют: в 2018 году с проблемой столкнулись 66% компаний. Но это не значит, что оставшиеся компании гарантированно остались «сухими»: утечки могли просто не обнаружить. Профильным ПО (системами предотвращения утечек – DLP) оснащены не все компании – в лидерах среди защитного IT-инструментария бизнеса пока традиционный антивирус (97%). Впрочем, понимание актуальности внутренних угроз растет. DLP-системы внедрили уже 32% компаний, и это заметно больше, чем год назад. Тогда спецсредствами защиты от утечек озаботилась только четверть респондентов.
Отношение к утечкам вообще интересно трансформируется. В прошлом году наметился яркий тренд: хотя большинство организаций по-прежнему избегают публичной огласки утечек (только 3,5% респондентов рассказали об этом в СМИ), 28% опрошенных заявили, что сообщают о таких инцидентах пострадавшим (за год показатель вырос на 16%).
Взгляд на репутацию меняется. Больше нельзя просто проигнорировать факт, что об утечке становится широко известно. Это положительная тенденция, и она будет развиваться.
Не только утечки
Но не утечками едиными живет ИБ. На мой взгляд, внимание к ним несколько переоценено. Для бизнеса опаснее инциденты, которые потенциально могут принести реальные убытки. Среди них – и банальные нарушения трудовой дисциплины, и изощренные мошеннические схемы. Мы впервые спросили об этом бизнес и выяснилось, что 41,5% респондентов столкнулись с использованием ресурсов компании в личных целях, 21% – с попыткой откатов, 18,5% – с промышленным шпионажем.
Главными нарушителями оказались рядовые сотрудники. Их действия привели к 74% всех инцидентов безопасности. Проблемнее всех для работодателей оказались менеджеры отделов снабжения (25,5%), а также бухгалтеры, экономисты и финансисты (24%). Приближенные к руководству кадры – секретари и помощники – оказались замешаны в 16,2% инцидентов, а IT-специалисты – в 14,8%.
Тут важно сделать дополнение: это не значит, что другие сотрудники допускают меньше нарушений. Цифры только подтверждают, что службы безопасности традиционно пристальнее контролируют «группы риска» – потенциально коррупционно ёмкие специальности. Эта позиция оправдана, если работодатель осознает другие кадровые риски и выстраивает адекватную систему управленческого контроля через линейных руководителей.
И все же к вопросам кадровой безопасности ИБ-службы начинают относиться внимательнее. Косвенно об этом свидетельствуют факторы, которые компании держат на особом контроле. Бизнес отслеживает саботаж и нелояльность персонала (в 21% случаев), распространение «негатива» (23%), подверженность сотрудников опасным зависимостям (16%). Приходится учитывать личностные особенности работников, так как это помогает предотвращать нарушения. Если недосмотреть – приходится разбираться с последствиями.
В 2018 году компании по вине внутренних инцидентов понесли мелкий и крупный финансовый ущерб (в 13 и 28% ответов, соответственно), а также наказание – или угрозу такового – от регулятора (12%). Интересно, что 28% компаний отметили имиджевый ущерб.
Блокировка не спасает
Чтобы противостоять угрозам, ИБ-службы чаще всего контролируют электронную почту и внешние носители. Респонденты заявляли об этом в 29 и 20% случаев соответственно. К мессенджерам пока пригляделись только 11% опрошенных. Но дело не в том, что работодатели так лояльны к неформальным каналам общения – напротив, чаще они просто запрещены в компаниях и блокируются на корпоративных устройствах. По-моему, вопрос эффективности такого метода дискуссионный, но это тема для отдельного рассуждения.
Угрозы виляют бюджетом
Впервые мы спросили, как меняются бюджеты на обеспечение безопасности и нащупали еще один позитивный тренд: 30% компаний заявили о наращивании объемов финансирования.
При этом средства закладываются именно на операционные расходы. Бюджеты не предполагается пускать на нейтрализацию последствий инцидентов – штрафы или судебные издержки. Наказания от регуляторов не пугают бизнес, поскольку даже по самым суровым статьям законодательства нет сложившейся правоприменительной практики.
По этой же причине компании редко судятся с сотрудниками-нарушителями. Выиграть такое дело стоит труда и времени, а потенциальная огласка, связанная с судебными процессами, бизнес не радует. На первый план снова выходит репутация – и у клиентов, и в глазах органов управления.
Автор – директор по безопасности «СёрчИнформ» Иван Бируля