По итогам 2017 года доля расходов российских компаний на информационную безопасность выросла на 2 п.п., до 17%, говорится в исследовании «Лаборатории Касперского» под названием «Информационная безопасность бизнеса». Средние траты крупных компаний на защиту от киберрисков составили около 400 млн рублей в год, средних и малых — 4,6 млн рублей (правда, ниже аналитик приводит для МСБ на два порядка меньшие числа). Это объясняют тем, что на ликвидацию последствий одного киберинцидента уходит в среднем 16,1 млн рублей (15 млн рублей в 2016 году) и 1,6 млн рублей соответственно.
О том, что проблема кибербезопасности является главной угрозой для роста мирового бизнеса, говорится в «Глобальном опросе инвесторов за 2018 год», проведенном компанией PricewaterhouseCoopers (PwC). 41% инвесторов назвали кибератаки самой серьезной угрозой, поставив вслед за ними геополитическую нестабильность (39%) и темпы технологических изменений как таковые (37%).
Труднее всего, считают в «Лаборатории Касперского», защититься от рисков инцидентов с инфраструктурой, размещенной на оборудовании третьей стороны, при использовании облачных сервисов сторонних вендоров и просто при обмене данными. Тут и рост расходов не помогает, честно признают защитники от вирусов. Новые законы, отмечают исследователи (например, закон о безопасности критической информационной инфраструктуры, КИИ) тоже защищают «не очень», а вот в случае несоответствия им бизнесу приходится еще и штрафы платить.
Важно отметить, говорит руководитель проектного департамента компании Bell Integrator Михаил Лапин, что для многих отраслей система информационной безопасности предписана регулятором и очень долго инвестиции были на уровне базового соответствия требованиям. Только за последние 3 года укрепилась тенденция инвестировать в реальную систему. Из самых громких проблем информационной безопасности можно вспомнить недавний случай с биржей продажи криптовалюты, где злоумышленники смогли взломать систему и площадка понесла существенные убытки.
Как считает Михаил Лапин, на протяжении следующих 3-5 лет мы увидим устойчивый рост затрат на информационную безопасность, в размере 4-8% валовой суммы ежегодно. Чтобы защитить себя, полагает эксперт, в первую очередь компании должны ввести культуру «персональных данных», которая будет помогать не передавать, не распространять секретную информацию и персональные данные третьим лицам.
На сегодня в авангарде тех, кто инвестирует в кибербезопасность, стоит банковская сфера, однако с ростом использования современных IT-технологий растут затраты на это в сфере продаж товаров и услуг, телекоммуникациях, промышленности и сельском хозяйстве.
Рост затрат на информбезопасность связан в перую очередь с появлением новых массовых вирусов-шифровальщиков, таких как WannaCry, Petya и подобных, рассказывает, в свою очередь, член эксперт Госдумы, учредитель АНО «ПравоРоботов» Никита Куликов. Когда подобные вирусы распространяются, это носит характер эпидемии не только в IT-системах, но и в СМИ, и таким образом повышается тревожность руководителей всех уровней, касающаяся информационной безопасности, этот вопрос попадает в поле их внимания.
IT-специалистам и специалистам по информационной безопасности в таких условиях гораздо проще согласовать увеличение бюджета на защиту IT-системы, чем они и пользуются, считает эксперт. Это вечный диалектический закон совершенствования «копья», или поражающего ПО, и «щита», или защитного ПО и мероприятий, затраты и на ту, и на другую сферу увеличиваются с каждым годом, потому что все больше устройств, которыми мы пользуемся, содержат важную информацию, способны выходить в Интернет и обмениваться ей: от электрочайников до электромобилей.
Более всего заинтересованы в росте этого рынка производители антивирусного ПО и консалтинговые компании, осуществляющие комплексную защиту IT-систем, поэтому они будут поднимать эту тему, считать долю расходов, которая приходится на защиту, вытаскивать на свет вопиющие случаи нарушений информационной безопасности.
В России больше всего на информбезопасность тратят госкомпании, особенно в условиях санкций и информационной войны с западными странами, полагает Куликов. По его оценке, бюджет информбезопасности в крупной госкомпании может доходить до 800-900 млн рублей в год, и он растет на 5-10% в год. Малый бизнес тратит около 30-50 тыс. рублей в год.
Информбезопасность и все что с этим связано — крайне перспективная отрасль для инвестиций на ближайшие лет 30, уверен Никита Куликов.
Самым уязвимым элементом в цепочке IT-cистемы по-прежнему остается пользователь, который обычно неумышленно раскрывает пароль или критические данные злоумышленнику, констатирует Никита Куликов. Поэтому большинство хакерских атак используют методы социальной инженерии, по крайней мере, на начальном этапе атаки, и, к сожалению, в этом случае размер бюджета на информационную безопасность не играет роли — средний сотрудник все равно может повести себя невнимательно, неосознанно, небрежно, и создать угрозу данным.
Сейчас большинство небольших компаний используют сторонние почтовые сервисы, сторонние облачные хранилища, и не могут себе позволить перейти на собственные разработки, потому что разработка почтового или облачного сервиса и внедрение его не только превышают их IT-бюджет, они превышают вообще средний бюджет малого предприятия за год. Для небольших компаний наиболее оправданна как раз работа с персоналом и тренинги по информбезопасности.
Можно отметить, что одной из главных угроз в этом контексте является не столько даже рост числа хакерских атак и утечек данных, сколько рост себестоимости продукции из-за таких колоссальных трать на кибербезопасность. Уже сами профессионалы этого рынка указывают на ограниченную эффективность таких трат. Поиск наиболее экономичных решений становится, для частных компаний, самой насущной задачей в этой сфере.
