В каждой пятой российской ИТ-компании сотрудники плохо знают основы ИБ
В 19% ИТ-компаний у сотрудников низкий уровень знаний основ информационной безопасности. Об этом говорят данные исследования уровня ИБ за 2023 год, проведенные «СёрчИнформ» в организациях России. В частных ИТ-компаниях больше сотрудников с хорошим уровнем знаний основ, чем в государственных – работники используют сильные пароли, не предоставляют коллегам доступ к своим учеткам и пр. Однако общий уровень подготовки у них хуже.
«Плохой уровень подготовки сотрудников – это ответственность работодателей. Зачастую они не вкладываются в обучение работников основам информационной безопасности. В 2022 году мы узнавали, как российские ИТ-компании строят обучение, и большинство из них указали, что знания по ИБ сотрудники получают в письменных регламентах, которые должны изучить самостоятельно. А 24% — вообще не обучают сотрудников. Однако работники часто не вчитываются в регламенты, так как они или непонятно написаны, или неубедительны, из-за чего нет веры в реалистичность прописанных угроз. И в итоге, сотрудники остаются без знаний о том же фишинге или других действиях социальных инженеров. А это ставит под угрозу защищенность компании. Поэтому сотрудников важно не только контролировать техническими средствами, но и качественно обучать, показывать на примерах, чем может обернуться несоблюдение базовых правил безопасности, чтобы уменьшить вероятность возникновения инцидентов», –комментирует Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
Несмотря на то, что больший процент компаний считают, что знания сотрудников средние, ситуация с защитой от рисков ИБ остается напряженной. Количество инцидентов по вине внутренних нарушителей возросло на 18% в сравнении с 2022 годом. При этом компании с «хорошим» и «средним» уровнем подготовки сотрудников сталкивались с инцидентами так же часто, как и организации с «плохим».
Всего с инцидентами ИБ столкнулись 69% компаний, чаще всего в них фиксировали утечку данных. Слив данных происходил почти в 2 раза чаще, чем годом ранее. Больше всего теряли: персональные данные, информацию о клиентах и сделках и техническую документацию.
При утечке данных большинство компаний проведет закрытое расследование, лишь четверть из них персонально информирует клиентов/партнеров/других лиц, а 9% – принесут публичные извинения или оповестят общественность через СМИ.
Для обеспечения должной защиты 39% ИТ-компаний увеличивают бюджет на информационную безопасность, больше половины оставляют бюджет без изменений. Чаще всего его выделяют на продление лицензионных ключей (68%), закупку нового оборудования (49%) и импортозамещение зарубежного ПО (42%). Совсем не выделяют бюджет – меньше 1% компаний.
«В 2022 году 25% компаний увеличили бюджет на безопасность, в 2023 эта цифра выросла на 14%. Это большой скачек, так как в предыдущих исследованиях рост финансирования этой сферы стабильно фиксировали не больше четверти российских ИТ-компаний. На это, в том числе, повлияли запланированные изменения в российском законодательстве в области защиты ПДн – ужесточение ответственности и увеличение суммы штрафов до полумиллиарда рублей. Однако в 2023 году эти планы оказали опосредованное влияние на спрос, потому что окончательное решение еще не принято. В этом году должен сработать отложенный спрос на закупку новых и расширение имеющихся ИБ-решений», – Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
На рост инцидентов влияет не только низкий уровень знаний сотрудников или недостаточная оснащенность защитными средствами, но и нехватка квалифицированных кадров, которые могут работать со всеми этими направлениями. Компании по-прежнему испытывают дефицит ИБ-специалистов, 63% организаций считают, что он остается уровне 2021 и 2022 года, а 14% – что усилился. Наиболее привлекательным решением проблемы для частных компаний является привлечение готовых специалистов с рынка, почти половина используют этот подход. Для государственных – профессиональная переподготовка своих специалистов. 12% компаний используют аутсорсинг, ещё 10% планируют к ним присоединиться. Компании отмечают, что это поможет быстрее начать и повысить ИБ и снизить трудозатраты. Проблем с дефицитом кадров нет и не было у 16% ИТ-компаний, 8% считают, что он ослаб.
* – вопросы с возможностью выбрать несколько вариантов ответов.
«СёрчИнформ» проводит исследование «Ситуация с ИБ в компаниях России и СНГ» седьмой год подряд. Респонденты – специалисты по информационной безопасности компаний из различных отраслей. Опрос проводится в рамках ежегодной серии конференций RoadShowSearchInform.