23
Пн, дек

Как бизнес может пройти путь от новичка до эксперта в сфере киберзащиты

В прошлом году 61% компаний, опрошенных страховщиком Hiscox, подверглись кибератаке по сравнению с 45% в 2018 году. Между тем, средняя стоимость потерь в результате киберинцидентов возросла с 229тыс. до 369 тыс. долларов.

Хотя эти цифры вызывают обеспокоенность, еще большее беспокойство вызывает обнаружение Hiscox того, сколько фирм плохо подготовлены к тому, чтобы справиться с растущим числом киберинцидентов.

Отчет о кибербезопасности Hiscox за 2019 год показывает, насколько подготовлен бизнес к борьбе с кибератаками. Для отчета Hiscox оценил готовность фирмв, опрос почти 5400 специалистов из США, Великобритании, Германии, Бельгии, Франции, Испании и Нидерландов, которые несут ответственность за кибербезопасность в своей компании. Из опрошенных респондентов 39% были из организаций с менее, чем из 50 сотрудников (малые фирмы), 16% из средних фирм, с числом сотрудников 50-249 человек, 16% из крупных фирм, в которых работают 250-999 человек, а остальные 28% из предприятий с 1000 или более сотрудников.

 

240419 1

Лучшие практики

Чтобы определить готовность респондентов справиться с кибератаками, Hiscox оценил стратегию фирм (надзор и ресурсы) и исполнение (технологии и процессы) и оценил их как: киберновичка, киберосведомленного или киберэксперта.

Среди результатов: 59% киберэкспертов во всем мире в настоящее время имеют киберстрахование, по сравнению только с 37% киберновичками.

240419 2

В США только небольшое количество крупных компаний являются киберэкспертами. Несмотря на то, что у них есть ресурсы для подготовки, только 11% крупных и средних компаний оцениваются как киберэксперты, по сравнению с 26% в прошлом году, согласно Hiscox. 27% американских респондентов не планируют приобретать киберстрахование.

В ходе исследования были выявлены лучшие практики киберэкспертов, которых нет у киберновичков, они включают:

Обеспечение участия руководителей: только 54% киберновичков во всем мире считают кибербезопасность высшим приоритетом для исполнительного руководства / совета директоров своей фирмы по сравнению с 85% процентов киберэкспертов.

Создание четко определенной стратегии с участием множества заинтересованных сторон и определение формального и адекватного кибербюджета: в среднем киберэксперты в глобальном масштабе выделяют 14,7% своего ИТ-бюджета на кибербезопасность, но расходы на кибербезопасность киберновичков составляют всего 8,7% от их общих ИТ-бюджетов.

Назначение ответственного за кибербезопасность, которому поручено осуществлять надзор за стратегией при поддержке команды, если это необходимо: во всем мире 51% киберэкспертов имеют специального менеджера, который наблюдает за кибербезопасностью, по сравнению с 39% киберновичков.

Регулярная оценка цепочки поставок: только 18% киберновичков твердо уверены, что они хорошо видят механизмы безопасности своих поставщиков, по сравнению с 34% киберэкспертов по всему миру.

Определение процесса, охватывающего период с момента обнаружения киберинцидента до момента его смягчения, и обеспечение готовности сотрудников к обучению, реагированию и внесению изменений в этот процесс в случае возникновения инцидента: 85% всех киберэкспертов имеют четко определенную стратегию кибербезопасности, по сравнению только с 53% киберновичков.

Проведение проактивного тестирования с помощью симулированных атак и регулярных фишинговых экспериментов. 41% процент киберновичков во всем мире провели фишинговые эксперименты, чтобы понять поведение сотрудников и готовность к атакам, по сравнению с 69% киберэкспертов.

Страхование бизнеса с помощью киберполиса: в глобальном масштабе 59% киберэкспертов в настоящее время уже приняли киберстрахование, по сравнению только с 37% киберновичков.

Несмотря на то, что многие фирмы терпят неудачу в своей киберзащите, в общем и целом достигнут определенный прогресс.

«Понятие о том, что киберриск представляет собой реальную угрозу для компаний любого масштаба, все тоньше. Компании все больше осознают риски и вкладывают больше ресурсов в кибербезопасность, и все же существует огромный разрыв между осведомленностью о проблеме и фактической эффективной защитой», - сказал Меган Ханнес, глава Cyber Product в Hiscox в США.

Ханнес сказала, что многие компании считают, что увеличение расходов, связанных с киберрисками, полностью защищает бизнес, но для этого нужно нечто большее. «Предприятия должны придерживаться целостного подхода, гарантирующего, что они могут должным образом максимизировать свои инвестиции с помощью соответствующих внутренних протоколов, укомплектования персоналом и обучения сотрудников, в конечном итоге создавая человеческий межсетевой экран в качестве первой линии защиты», - сказала она.

Выводы по США

Некоторые выводы, характерные для более чем для 1000 опрошенных американских компаний, включают:

Бюджеты с утечками: 72% компаний планируют увеличить расходы на кибербезопасность в следующем году. Тем не менее, согласно Hiscox, увеличение расходов без надлежащей инфраструктуры и обучения равнозначно выливанию воды в протекающее ведро. Только 11% респондентов указали на увеличение расходов на обучение сотрудников и изменения в культуре в результате инцидента, связанного с кибербезопасностью, которые являются важнейшими компонентами защиты компании от киберрисков.

Количество атак растет: 53% респондентов сообщили о нападении за последние 12 месяцев по сравнению с 38% в прошлом году. Hiscox говорит, что многие компании не предпринимают надлежащих действий после атаки, причем 45% компаний сообщили, что в прошлом году их было три или более. Киберинциденты сопровождаются требованиями о значительном выкупе или потерями. Средняя стоимость компьютерных инцидентов в США составила 119 000 долларов.

Меньше крупных компаний являются киберэкспертами: хотя кажется, что у них есть ресурсы для подготовки, только 11% крупных и средних фирм были названы киберэкспертами по сравнению с 26% в прошлом году.

Неожиданные риски в цепочке поставок. 56% фирм сталкивались с проблемами, связанными с киберпространством в их цепочке поставок в прошлом году. Тем не менее, только 7% респондентов назвали повышение оценки цепочки поставок в результате инцидента кибербезопасности, произошедшего за последние 12 месяцев.

Отсутствие страховки поднимает ставки: 27% респондентов не планируют приобретать киберстрахование, а 5% не понимают, что такое киберстрахование.

Подготовлено порталом Allinsurance.kz