11 августа 2014

Обзор рисков ИТ-безопасности 2014: Никому пощады нет

Бизнес

До 94% компаний столкнулись с «внешней» угрозой безопасности за последние 12 месяцев, и несколько меньшему числу — 87% — пришлось иметь дело с внутренними проблемами безопасности. Это факты и цифры из недавно опубликованного Обзора рисков ИТ-безопасности «Лаборатории Касперского» (IT Security Risks Survey 2014) и B2B International. Исследование проводилось среди 3900 предприятий всех размеров в 27 странах, и свыше 54% участников обзора представляли собой средние, крупные и очень крупные компании, а остальные — малый бизнес.

Один из наиболее заметных результатов опроса показывает, что компании готовы идти на риск и, как правило, придерживаются приоритетов в расходах на ИТ, в число которых входит и компьютерная безопасность. Причем сам подход к этому у компаний разнится в зависимости от их размеров. Вкратце, малый и средний бизнес четко рассматривают свою ИТ-стратегию и ИТ-безопасность в частности, как менее важную в отличие от своих более крупных конкурентов.

Хотя это и не стало полной неожиданностью, но факт достаточно тревожный. Тревожный для самих предприятий, а также для пользователей, которые рискуют стать побочными жертвами вследствие утечек персональных данных.

Ситуация усугубляется еще и тем, что хакерам все равно, какого размера компанию атаковать — маленькую или большую. Подход в духе «мы слишком малы, чтобы интересовать хакеров», который весьма популярен у мелких компаний, себя не оправдывает. В действительности же, по меньшей мере, некоторые злоумышленники предпочитают цели в среде малого и среднего бизнеса мишеням в виде крупных предприятий, так как они знают, что малые и средние организации зачастую не полностью защищены, что приводит к меньшим по размеру кражам, зато их гораздо проще провернуть.

Данные последнего исследования также указывают, что даже малые и средние компании с не более чем ста сотрудниками в штате могут оказаться вынужденными пойти на крупные расходы из-за заражения вредоносными программами и потери данных. Подобные издержки могут включать профессиональные услуги и консультации после серьезного инцидента (в среднем $10 000 для малого и среднего бизнеса), ИТ-обучение сотрудников для предотвращения дальнейших нарушений (в среднем $5000 для малых предприятий), а также ущерб репутации бизнеса, что само по себе может пустить его под откос. В целом, ущерб от одного инцидента с безопасностью данных оценивается в среднем в $720 000, а потери от одной успешной направленной атаки достигают $2 540 000.

Цифры из отчета показывают, что вопрос осознания ИТ-угроз либо нуждается в пересмотре, либо приоритеты совсем не те.

Например, по данным «Лаборатории Касперского», в 2013 году специалисты компании обнаруживали в среднем 315 000 новых вариантов вредоносных программ в день. По результатам опроса, только 4% респондентов назвали цифры, сравнимые с оценками «Лаборатории Касперского», в то время как более 91% опрошенных сильно недооценили этот показатель. Уровень осведомленности в исследовании 2013 года был выше — на уровне 6%.

measures_taken

Вдобавок, только 67% респондентов отметили присутствие защитных программ на рабочих станциях своих компаний, что 4% меньше, чем в исследовании 2013 года.

Как было сказано выше, до 94% опрошенных компаний в этом году сталкивались, по крайней мере, с одним инцидентом «вторжения». Это на 3% больше, чем годом ранее. Интересно, однако, что 64% респондентов назвали своей основной головной болью спам. В прошлом году фаворитами были атаки вредоносных программ. А в этом году они заняли второе место.

external

Направленные атаки, тем не менее, неуклонно становятся мейнстримом. 12% респондентов отметили, что столкнулись с ними (+3% по сравнению с 2013 г.). А в таких отраслях, как правительственные организации и оборонно-промышленный комплекс, показатель еще выше: 18% респондентов, представляющих такие компании, сообщили, что подвергались, по меньшей мере, одной такой атаке. Точно так же об этом доложили 17% респондентов телекоммуникационных компаний и 16% тех, кто вовлечен в поставки финансовых услуг, транспорт и логистику.

А еще есть «внутренние» угрозы. В этом смысле первенство принадлежит уязвимостям и недостаткам в существующем программном обеспечении (36%). Тем не менее, пять из семи озвученных главных проблем проистекают из действий сотрудников компаний: случайных или преднамеренных утечек, неуместного обмена данными и даже мошенничества (в основном, его отметили финансовые организации). Все они представляют собой недюжинную долю проблем безопасности для опрошенных компаний.

internal

Ландшафт внешних и внутренних угроз, с которыми сталкивались компании в течение последних 12 месяцев, явно демонстрирует необходимость использования современных решений безопасности. Сам факт этих инцидентов показывает, что безопасность ИТ-инфраструктур компаний можно улучшить.

Согласно обзору рисков ИТ-безопасности в 2014 году, есть много причин и факторов, обуславливающих текущее состояние дел, в том числе недооценка угроз, и таких, как уверенность в том, что всякие финансовые убытки, вызванные кибератакой, окажутся ниже любых инвестиций в покупку и развертывание решений безопасности. «По результатам опроса, примерно 28% респондентов придерживаются такой позиции». Тем не менее, реальный ущерб может привести к потерям бюджета намного большим, нежели затраты на обеспечение безопасности данных.

С полным текстом отчета можно ознакомиться здесь.