UDV Group: компании недооценивают сценарии реагирования при построении киберзащиты
Российский разработчик UDV Group прокомментировал проблему низкой зрелости корпоративной кибербезопасности. По данным исследования K2 Cloud и Positive Technologies, только 20% средних и крупных компаний в России внедрили собственные ИБ-стандарты с учетом актуальных трендов кибератак, а каждая третья компания не проводит проверок киберзащиты.
Российский разработчик решений в области информационной безопасности UDV Group прокомментировал результаты исследования K2 Cloud, посвященного зрелости киберзащиты среднего и крупного бизнеса в России. Как сообщает SecPost со ссылкой на данные исследования, у большинства компаний нет ИБ-стандартов, учитывающих актуальные угрозы, а сценарии реагирования на инциденты пока остаются одной из наименее зрелых областей корпоративной защиты.
Согласно приведенным данным, только 20% компаний внедрили собственные стандарты информационной безопасности, которые не ограничиваются формальным прохождением аудита у регуляторов. Еще у 15% респондентов есть задокументированные сценарии реагирования на инциденты, которые регулярно тестируются и совершенствуются. При этом 40% компаний регулярно проверяют системы на уязвимости, а каждая третья не проводит проверок киберзащиты вовсе.
В UDV Group отмечают, что такие показатели отражают не только дефицит ресурсов, но и более глубокую проблему: многие организации пока рассматривают информационную безопасность как набор отдельных средств защиты, а не как управляемую систему процессов. В результате компания может внедрять защитные решения и мониторинг, но не иметь заранее согласованного порядка действий на случай инцидента, не понимать приоритеты восстановления и не распределять роли между ИТ, ИБ, бизнесом и руководством.
«Развитие ИБ-системы обычно происходит эволюционно. Сначала организация внедряет базовые стандарты, средства защиты информации и инструменты мониторинга, а затем переходит к разработке сценариев действий при инцидентах и планов восстановления», - отметил Максим Хараск, директор по развитию UDV Group.
По его словам, сегодня такой последовательный подход уже не всегда достаточен. Усложнение атак, рост зависимости бизнеса от цифровых сервисов и увеличение регуляторной нагрузки требуют параллельного развития защитных технологий, процедур реагирования и планов восстановления. Компания должна заранее понимать, какие активы для нее критичны, какие события требуют немедленной реакции, кто принимает решения в первые часы инцидента и в каком порядке восстанавливаются ключевые процессы.
Отдельной проблемой остается разрыв между ИБ-стратегией и реальными бизнес-рисками. По данным исследования, в 91% случаев стратегии безопасности не учитывают риски киберугроз для бизнеса и возможные потери от атак. Это приводит к тому, что бюджетирование ИБ часто строится не вокруг потенциального ущерба, критичности процессов и вероятности инцидентов, а вокруг формальных показателей, например численности сотрудников или общего ИТ-бюджета.
В UDV Group подчеркивают, что эффективная киберзащита начинается с понимания защищаемых процессов. Внутренние ИБ-стандарты должны фиксировать не только общие требования к средствам защиты, но и порядок управления доступом, мониторинга событий, реагирования на инциденты, восстановления после атак, обучения сотрудников и проверки эффективности мер. Без этого даже современные технические решения не дают полной управляемости в критической ситуации.
Еще один фактор зрелости - регулярная проверка киберзащиты. Пентесты, аудит конфигураций, анализ уязвимостей, киберучения и тестирование сценариев реагирования помогают компаниям увидеть слабые места до того, как ими воспользуются злоумышленники. Если проверки не проводятся, у бизнеса возникает иллюзия защищенности: отсутствие зафиксированных последствий начинает восприниматься как отсутствие атак.
По оценке UDV Group, в ближайшие годы компании будут активнее переходить от точечного внедрения средств защиты к комплексной модели управления киберрисками. В нее должны входить актуальные ИБ-стандарты, мониторинг инфраструктуры, регулярная оценка защищенности, сценарии реагирования, планы восстановления и понятная связь ИБ-мероприятий с рисками для бизнеса.