В 19% ИТ-компаний у сотрудников низкий уровень знаний основ информационной безопасности. Об этом говорят данные исследования уровня ИБ за 2023 год, проведенные «СёрчИнформ» в организациях России. В частных ИТ-компаниях больше сотрудников с хорошим уровнем знаний основ, чем в государственных – работники используют сильные пароли, не предоставляют коллегам доступ к своим учеткам и пр. Однако общий уровень подготовки у них хуже.
«Плохой уровень подготовки сотрудников – это ответственность работодателей. Зачастую они не вкладываются в обучение работников основам информационной безопасности. В 2022 году мы узнавали, как российские ИТ-компании строят обучение, и большинство из них указали, что знания по ИБ сотрудники получают в письменных регламентах, которые должны изучить самостоятельно. А 24% - вообще не обучают сотрудников. Однако работники часто не вчитываются в регламенты, так как они или непонятно написаны, или неубедительны, из-за чего нет веры в реалистичность прописанных угроз. И в итоге, сотрудники остаются без знаний о том же фишинге или других действиях социальных инженеров. А это ставит под угрозу защищенность компании. Поэтому сотрудников важно не только контролировать техническими средствами, но и качественно обучать, показывать на примерах, чем может обернуться несоблюдение базовых правил безопасности, чтобы уменьшить вероятность возникновения инцидентов», – комментирует Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
Несмотря на то, что больший процент компаний считают, что знания сотрудников средние, ситуация с защитой от рисков ИБ остается напряженной. Количество инцидентов по вине внутренних нарушителей возросло на 18% в сравнении с 2022 годом. При этом компании с «хорошим» и «средним» уровнем подготовки сотрудников сталкивались с инцидентами так же часто, как и организации с «плохим».
Всего с инцидентами ИБ столкнулись 69% компаний, чаще всего в них фиксировали утечку данных. Слив данных происходил почти в 2 раза чаще, чем годом ранее. Больше всего теряли: персональные данные, информацию о клиентах и сделках и техническую документацию.
При утечке данных большинство компаний проведет закрытое расследование, лишь четверть из них персонально информирует клиентов/партнеров/других лиц, а 9% – принесут публичные извинения или оповестят общественность через СМИ.
Для обеспечения должной защиты 39% ИТ-компаний увеличивают бюджет на информационную безопасность, больше половины оставляют бюджет без изменений. Чаще всего его выделяют на продление лицензионных ключей (68%), закупку нового оборудования (49%) и импортозамещение зарубежного ПО (42%). Совсем не выделяют бюджет – меньше 1% компаний.
«В 2022 году 25% компаний увеличили бюджет на безопасность, в 2023 эта цифра выросла на 14%. Это большой скачек, так как в предыдущих исследованиях рост финансирования этой сферы стабильно фиксировали не больше четверти российских ИТ-компаний. На это, в том числе, повлияли запланированные изменения в российском законодательстве в области защиты ПДн – ужесточение ответственности и увеличение суммы штрафов до полумиллиарда рублей. Однако в 2023 году эти планы оказали опосредованное влияние на спрос, потому что окончательное решение еще не принято. В этом году должен сработать отложенный спрос на закупку новых и расширение имеющихся ИБ-решений», – Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
На рост инцидентов влияет не только низкий уровень знаний сотрудников или недостаточная оснащенность защитными средствами, но и нехватка квалифицированных кадров, которые могут работать со всеми этими направлениями. Компании по-прежнему испытывают дефицит ИБ-специалистов, 63% организаций считают, что он остается уровне 2021 и 2022 года, а 14% – что усилился. Наиболее привлекательным решением проблемы для частных компаний является привлечение готовых специалистов с рынка, почти половина используют этот подход. Для государственных – профессиональная переподготовка своих специалистов. 12% компаний используют аутсорсинг, ещё 10% планируют к ним присоединиться. Компании отмечают, что это поможет быстрее начать и повысить ИБ и снизить трудозатраты. Проблем с дефицитом кадров нет и не было у 16% ИТ-компаний, 8% считают, что он ослаб.
* – вопросы с возможностью выбрать несколько вариантов ответов.
«СёрчИнформ» проводит исследование «Ситуация с ИБ в компаниях России и СНГ» седьмой год подряд. Респонденты – специалисты по информационной безопасности компаний из различных отраслей. Опрос проводится в рамках ежегодной серии конференций Road Show SearchInform.