23
Пн, дек

Потери бизнеса от киберрисков стремительно растут, но фирмы не спешат увеличивать расходы на безопасность

cyberfraudСогласно международному исследованию, проведенному страховщиком Hiscox, за последний год потери от кибернетических рисков среди предприятий выросли почти в шесть раз: со средней стоимости в $10 000 на компанию до $57 000.

По данным исследования «Отчет о кибербезопасности Hiscox 2020», общие потери в киберпространстве среди исследуемой группы выросли с $1,2 млрд до почти $1,8 млрд за тот же период годом ранее.

Самый высокий зарегистрированный общий убыток для какой-либо одной компании в течение года составил $87,9 млн (британская фирма, предоставляющая финансовые услуги), тогда как наибольшие убытки от любого отдельного события составили $15,8 млн (британская фирма, предоставляющая профессиональные услуги).

Наиболее целевыми секторами для злоумышленников были финансовые услуги, производство и технологии, средства массовой информации и телекоммуникации (TMT), причем ирландские фирмы понесли наибольшие средние затраты, которые превысили $103 000.

Одной из хороших новостей, приведенных в исследовании, является то, что доля фирм, сообщивших о нарушениях кибербезопасности за последние 12 месяцев, сократилась с 61% до 39%.

Супер-цели для атак

В отчете поясняется, что на статистику нарушений кибербезопасности большое влияние оказал относительно небольшой контингент фирм, сообщивших о 500 или более событиях.

В отчете подтверждается, что крупнейшие компании стали более уязвимыми, чем мелкие компании. «Более половины всех корпоративных предприятий (51%), с числом сотрудников более 1000, заявили, что имели как минимум один киберинцидент. Они также сообщили о большинстве киберинцидентов (в среднем 100) и нарушений (80)», - говорится в результатах исследования.

Несмотря на то, что эти фирмы почти наверняка стали мишенью не случайным образом, они также могут лучше выявлять атаки, говорится в исследовании.

Кроме того, в отчете отмечается, что не все супер-цели являются предприятиями с масштабным бизнесом. «В каждой из пяти наших выборок есть супер-цели. Удивительно другое, что наибольшее число пострадавших компаний отмечается среди самых маленьких».

Причина этой аномалии? В отчете поясняется, что в большинстве микропредприятий во многих секторах никто не занимается кибербезопасностью. «Самые маленькие транспортные и дистрибьюторские фирмы выглядят особенно уязвимыми: 59% говорят, что у них нет специалиста по кибербезопасности, как внутри компании, так и в виде внешнего поставщика таких услуг».

Кроме того, в отчете отмечается, что зависимость от поставщика услуг может иметь неприятные последствия для клиентов при атаке на самого поставщика услуг по кибербезопасности.

Еще одним объяснением уязвимости небольших компаний является отсутствие эффективных контрмер. «Анализ данных показывает, что фирмы, имеющие менее 12 компьютеров, и где антивирусные или антишпионские программы не были последовательно развернуты по всей организации, были особенно вероятными супер-целями».

Расходы на кибербезопасность растут

В отчете показано общее увеличение расходов на кибербезопасность за последний год - средние расходы среди респондентов составили $2,1 млн по сравнению с $1,5 млн в предыдущем году, что составляет рост на 39%.

В отчете говорится, что рост расходов отражает как увеличение общего бюджета на ИТ, так и увеличение доли расходов на кибербезопасность на 30% (с 9,9% до 12,9%).

Hiscox сказал, что французские фирмы снова стали крупнейшими спонсорами расходов, подняв свои бюджеты на кибербезопасность с $2,1 млн в среднем до $3,1 млн. Испанские и американские фирмы отставали с бюджетами на кибербезопасность с $2,6 млн и $2,4 млн соответственно.

Великобритания, которая исторически отставала по результатам прошлых исследований кибербезопасности, проводимых Hiscox, начала наверстывать упущенное, со средними расходами на кибербезопасность $1,5 млн по сравнению с чуть менее $900 000 в предыдущем году.

Другие ключевые результаты исследования

Вымогатели. Более 6% от общего числа респондентов, или каждый шестой из подвергшихся нападению, заплатили выкуп после атаки вредоносного ПО. Самые высокие потери, о которых сообщают какие-либо компании, ставшие жертвами вымогателей, и которые могут включать другие киберсобытия, превысили $50 млн.

Вымогатели против вредоносных атак. Независимо от того, был ли выкуп выплачен или нет, средние потери для всех фирм, подвергшихся атаке вымогателей, были почти вдвое больше, чем расходы на самостоятельное устранение воздействия вредоносных программам - $927 000 по сравнению с $492 000. Самые высокие убытки для любой компании, которые могли бы включать расходы на устранение последствий атак, кроме вымогателей, были в пять раз выше и составили $50,6 млн.

Готовность к киберрискам. Количество фирм, получивших экспертный статус в модели кибербезопасности Hiscox, увеличилось с 10% до 18%. Это следует за двухлетним периодом, в течение которого прогресс остановился. Американские и ирландские фирмы оказались лучшими с 24% в качестве экспертов. Франция показала наилучшую динамику с 18% фирм в качестве экспертов, по сравнению с 6%. В целом, в этом году в два раза больше компаний отреагировали на нарушение, добавив новые меры безопасности и увеличив расходы на обучение сотрудников.

Расходы на покупку экспертизы. Фирмы, которые были экспертами в модели кибербезопасности Hiscox, потратили в среднем на $4,2 млн за 12 месяцев на кибербезопасность. Те, кто на другом конце шкалы - «новички» - потратили в среднем $1,3 млн.

Киберстрахование. Доля респондентов, заявивших, что они приобрели киберстрахование в результате предыдущего киберсобытия, стабильно росла за последние три отчета - с 9% до 20%. Чуть более четверти фирм (26%) заявили, что у них есть отдельный киберполис, а еще 18% заявили, что планируют либо купить отдельное покрытие, либо добавить его в качестве покрытия к своему остновному страховому покрытию. Фирмы, которые оцениваются как эксперты, ирают на опережение, причем почти половина (45%) утверждают, что приобрели специализированный киберполис.

«Однако использование специализированного киберпокрытия остается неоднозначным, поскольку более половины компаний в нашем отчете полагаются на более общее покрытие», - сказал Гарет Уортон, генеральный директор направления киберрисков в Hiscox, в преддверии выпуска отчета. «Это загадка. Почти наверняка у всех них будет покрытие от пожара и кражи, однако в отчете предполагается, что вероятность киберинцидента в 15 раз выше (30% в Великобритании) по сравнению с пожаром или кражей (2% в Великобритании)».

Поведение сотрудников

В отчете подчеркивается важность изменения поведения сотрудников для повышения осведомленности о кибербезопасности.

«Доля респондентов, планирующих увеличить расходы на новые технологии кибербезопасности, за это время постепенно сократилась с 57% в 2018 году до 46% в 2020 году, в то время как число фирм, намеревающихся больше инвестировать в обучение осведомленности сотрудников, возросло с 34% до 40%, », - говорится в исследовании. «Более трети (35%) планируют увеличить количество сотрудников, занимающихся кибербезопасностью, по сравнению с 26% два года назад».

Отчет о кибербезопасности Hiscox, уже четвертый год, был подготовлен компанией Forrester Consulting, которая опросила репрезентативную выборку из 5569 организаций частного и государственного секторов в США, Великобритании, Бельгии, Франции, Германии, Испании, Нидерландах и Ирландии. Респонденты проходили онлайн-опрос в период с декабря 2019 года по февраль 2020 года.

Подготовлено порталом Allinsurance.kz