КОРОТКОЕ ЗАМЫКАНИЕ: большинство компаний во всем мире не подготовлены к киберугрозам

Киберпреступления происходят все чаще и вызывают обеспокоенность у потребителей и бизнес-лидеров. Но несмотря на пристальное внимание к таким инцидентам в последние годы, большинство организаций во всем мире все еще не подготовлены к управлению рисками в сложной цифровой среде.

Консалтинговая компания PwC совместно с журналами CIO и CSO провела исследование глобальных тенденций информационной безопасности в 2018 году. В опросе приняли участие более 9500 топ-менеджеров (генеральных и финансовых директоров, руководителей по информационной безопасности, технических директоров, вице-президентов и директоров по IT) из более чем 120 стран мира.

Результаты исследования показали, что топ-менеджеры во всем мире осознают нарастающую опасность и последствия кибератак. Основным следствием возможной кибератаки 40% респондентов называют нарушение операционной деятельности, 39% — утечку конфиденциальной информации, 32% — нанесение ущерба качеству продукции, 29% — нанесение физического ущерба имуществу и 22% — нанесение ущерба человеческой жизни.

Однако, невзирая на высокую осведомленность и публичную огласку фактов и последствий кибератак, многие компании остаются к ним не подготовленными. 44% из всех опрошенных управленцев ответили, что у них отсутствует стратегия обеспечения кибербезопасности, 48% сообщили, что не имеют программ обучения сотрудников и повышения их осведомленности в вопросах информационной защиты, а 54% заявили, что у них не предусмотрена политика реагирования на чрезвычайные ситуации.

44% из всех опрошенных управленцев ответили, что у них отсутствует стратегия обеспечения кибербезопасности

Инструменты для осуществления кибератак стремительно развиваются по всему миру. Большинство компаний, которые стали жертвами кибератак, не способны определить лиц, совершивших преступление. Лишь 39% респондентов заявили, что знают, кто совершил киберпреступление.

Исследование показало, что наличие целостной стратегии кибербезопасности наиболее широко распространено в Японии: 72% японских руководителей сообщили, что в их компаниях есть такая стратегия. Кибербезопасность в этой стране рассматривается как одна из основных угроз национальной безопасности.

Ответственность за обеспечение стойкости к кибератакам лежит на руководителях компаний, которые должны эффективно контролировать и предупреждать риски их возникновения. Тем не менее, как показывает опрос, большинство корпоративных советов директоров не придерживаются стратегии, направленной на предупреждение угроз и обеспечение кибербезопасности. Только 44% респондентов заявили, что советы директоров активно участвуют в разработке и реализации таких стратегий их компаний.

Чуть меньше половины респондентов считают, что расходы на информационную безопасность должны быть основаны исключительно на оценке рисков. Большинство опрошенных топ-менеджеров (66%) утверждают, что расходы их компаний на обеспечение кибербезопасности должны определяться в соответствии с прибылью по каждому направлению бизнеса. И значительная часть (34%) считает, что это не так, либо они не знают этого наверняка.

В этой связи все большую значимость приобретает должность директора по информационной безопасности, который должен помочь совету директоров определить позицию компании в отношении защиты своей корпоративной сети, уведомлять обо всех происходивших кибератаках и недостатках в обучении и инструментах в киберсфере.

Между тем во многих организациях нет штатных позиций высшего звена, в чью компетенцию входили бы вопросы по кибербезопасности. Только 52% респондентов заявили, что в их компаниях есть должность директора по информационной безопасности, 45% сообщили, что у них есть директор по безопасности. 47% сказали, что в штате их компаний есть специализированные сотрудники по безопасности, в чьи функциональные обязанности входит поддержка внутренних бизнес-процессов.

Большинство организаций могло бы предупредить угрозы. Но лишь половина участников опроса сообщила о том, что в их компаниях проводятся специальные проверки и внедрены процессы выявления киберрисков в бизнес-системах.

Для уменьшения рисков необходимо объединение усилий, обмен информацией и координация действий с заинтересованными сторонами. Только 58% из всех опрошенных руководителей официально сотрудничают с другими представителями своей отрасли, включая конкурентов, в рамках повышения уровня безопасности и уменьшения вероятности наступления рисков в будущем.

Аналитики PwC отмечают, что у современных лидеров есть возможности повысить стойкость компаний к киберугрозам и построить безопасную цифровую среду.

В первую очередь, топ-менеджменту необходимо развивать культуру управления киберрисками в организациях на всех уровнях. Также в компаниях было бы полезно проводить стресс-тестирование, моделируя сценарии кибератак. Результаты таких тестов должны быть изучены и приняты во внимание лицами, ответственными за управление рисками.

Источник: PwC