Kiek kainuoja įmonės informacijos saugumas? Informacijos saugumo ekonomika Informacijos apsaugos sistemos kaštai

"Finansinis laikraštis. Regioninis numeris", 2008, N 41

Šiuolaikinėmis sąlygomis svarbu užtikrinti informacijos saugumas. Mažiausias nutekėjimas konfidencialią informaciją konkurentams gali sukelti didelių ekonominių įmonės nuostolių, gamybos sustabdymą ir net bankrotą.

Informacijos saugumo tikslai: užkirsti kelią informacijos nutekėjimui, vagystei, praradimui, iškraipymui ir klastojimui; neleistinų veiksmų siekiant sunaikinti, modifikuoti, iškraipyti, kopijuoti, blokuoti informaciją prevencija; užkirsti kelią kitokiam neteisėtam kišimuisi į informacinius išteklius ir informacines sistemas organizacijose.

Informacijos apsaugos išlaidas daugiausia sudaro priemonių, užtikrinančių jos apsaugą nuo neteisėtos prieigos, įsigijimas. Informacijos saugumui užtikrinti yra daug priemonių, jas galima suskirstyti į dvi dideles grupes. Pirmoji – lėšos, turinčios materialinį pagrindą, pavyzdžiui, seifai, vaizdo stebėjimo kameros, apsaugos sistemos ir kt. Apskaitoje jie apskaitomi kaip ilgalaikis turtas. Antroji – materialinio pagrindo neturintys įrankiai, pavyzdžiui, antivirusinės programos, programos, ribojančios prieigą prie informacijos elektronine forma ir kt. Panagrinėkime tokių informacijos saugumo priemonių apskaitos ypatybes.

Perkant programą informacijos saugumui užtikrinti, išskirtinės teisės į ją pirkėjui nepereina tik saugoma programos kopija, kurios pirkėjas negali kopijuoti ar platinti. Todėl apskaitant tokias programas reikėtų vadovautis Ch. VI „Sandorių, susijusių su teisės naudoti nematerialųjį turtą suteikimu (gavimu) apskaita“ naujojo VPĮ 14/2007 „Nematerialiojo turto apskaita“.

Retais atvejais, įsigydama informacijos saugos programas, įmonė įgyja išskirtines teises į produktą. Tokiu atveju programa apskaitoje bus apskaitoma kaip nematerialusis turtas (nematerialusis turtas).

Pagal PBU 14/2007 apskaitoje, nematerialusis turtas numatytas naudoti pagal sąlygas licencijos sutartis, įmokas už naudojimąsi teise mokama fiksuota vienkartine įmoka, o išskirtinės teisės į kurias pirkėjui neperduodamos, gavėjas turi atsižvelgti į atidėtųjų išlaidų dalį ir atspindėti nebalansinę sąskaitą (39 punktas). Šiuo atveju laikotarpis, per kurį šios išlaidos bus nurašytos į sąnaudų sąskaitas, yra nustatytas licencijos sutartyje. Mokesčių apskaitoje informacijos apsaugos programų, skirtų pelno mokesčio tikslais, įsigijimo išlaidos yra įtraukiamos kaip kitos išlaidos ir nurašomos panašiai – lygiomis dalimis per licencijos sutartyje nustatytą laikotarpį (CPK 26 p. 1 p., 264 str. Rusijos Federacijos mokesčių kodeksas).

Jei už teisę naudotis programinės įrangos produktu, užtikrinančiu informacijos saugumą, atsiskaitoma periodiniais mokėjimais, tai pagal PBU 14/2007 39 punktą vartotojas jas įtraukia į ataskaitinio laikotarpio, kurį naudojant, išlaidas. jie buvo pagaminti.

Praktiškai licencijos sutartyje ne visada nurodomas naudojimo laikotarpis programinė įranga. Kai negalima aiškiai apibrėžti pajamų ir išlaidų santykio, mokesčių apskaitoje išlaidas informacijos apsaugai skirtoms programoms įsigyti mokesčių mokėtojas paskirsto savarankiškai, skaičiuodamas pajamų mokestį, atsižvelgdamas į vienodo pajamų pripažinimo principą ir išlaidos (Rusijos Federacijos mokesčių kodekso 272 straipsnio 1 dalis). Apskaitoje laikotarpį, per kurį šios išlaidos bus nurašomos iš 97 sąskaitos, nustato įmonės vadovybė, atsižvelgdama į numatomą programos naudojimo laiką.

1 pavyzdys. OJSC "Alfa" įsigijo licencijuotą kopiją antivirusinė programa iš Betta LLC už 118 000 rublių, įskaitant PVM (18%). Licencinėje sutartyje nustatytas 9 mėnesių programos naudojimo laikotarpis.

OJSC Alfa apskaitos dokumentuose į programą reikia atsižvelgti taip:

60 Dt, 51 Kt - 118 000 rub. - programinės įrangos kaina sumokama tiekėjui;

D-t 60, K-t 97 - 100 000 rub. - gauta programa parodoma kaip atidėtosios išlaidos;

D-t 002 - 100 000 rub. - gauta programa atsispindi nebalansinėje sąskaitoje;

D-t 19, K-t 60 - 18 000 rub. - paskirtas PVM;

68 Dt, 19 Kt - 18 000 rub. - priimtas PVM atskaitai;

D-t 26 (44), K-t 97 - 11 111,11 rub. (100 000 RUB: 9 mėn.) - kas mėnesį 9 mėnesius antivirusinės programos kaina lygiomis dalimis nurašoma kaip išlaidos.

Pakeiskime 1 pavyzdžio sąlygas: tarkime, kad OJSC Alfa moka ne iš karto, o lygiomis dalimis per visą licencijos sutarties galiojimo laiką. Mokėjimo sumos bus 11 800 rublių. už kiekvieną mėnesį, įskaitant PVM.

Tokiu atveju apskaitoje bus daromi šie įrašai:

D-t 002 - 90 000 rub. (10 000 RUB x 9 mėn.) - gauta programa atsispindi nebalansinėje sąskaitoje;

D-t 60, K-t 51 - 11 800 rub. - programinės įrangos produkto kaina tiekėjui mokama kas mėnesį 9 mėnesius;

D-t 19, K-t 60 - 1800 rub. - paskirtas PVM;

D-t 26 (44), K-t 60 - 10 000 rub. - programos kaina nurašoma į sąnaudas;

D-t 68, K-t 19 - 1800 rub. - priimtas PVM atskaitai.

Dažnai dar nepasibaigus licencijos sutarčiai informacijos saugos programas kurianti įmonė išleidžia naujinimą. Tokiu atveju apskaitos ir mokesčių apskaitos išlaidos bus priimamos vienu metu atnaujinant.

Taip pat įprasta praktika, kai kūrimo įmonė trumpam organizacijoms pateikia savo programinę įrangą įvertinimui. Norint teisingai atspindėti nemokamai gautą informacijos saugos programą, ji turi būti įtraukta į atidėtųjų pajamų dalį rinkos verte.

2 pavyzdys. UAB „Betta“ UAB „Alfa“ 3 mėnesių laikotarpiui nemokamai suteikė informacijos saugos programinę įrangą. Šio programinės įrangos produkto rinkos kaina yra 3300 rublių.

Alfa OJSC buhalterinėje apskaitoje turi būti padaryti šie įrašai:

D-t 97, K-t 98 - 3300 rub. - nemokamai gauta programinė įranga priimta į apskaitą;

D-t 98, K-t 91 - 1100 rub. - kas mėnesį tris mėnesius, dalis atidėtųjų pajamų pripažįstama kitomis pajamomis.

Mokesčių apskaitoje pajamos iš neatlygintinai gautos programos taip pat bus priimtos per tris mėnesius (Rusijos Federacijos mokesčių kodekso 271 straipsnio 2 punktas).

Informacijos apsaugos sąnaudos apima ne tik informacijos saugos priemonių įsigijimą, bet ir konsultacinių (informacinių) paslaugų, skirtų informacijos apsaugai, išlaidas (nesusijusias su nematerialiojo turto, ilgalaikio turto ar kito organizacijos turto įsigijimu). Pagal PBU 10/99 „Organizacijos sąnaudos“ 7 punktą, išlaidos už konsultavimo paslaugas buhalterinėje apskaitoje yra įtraukiamos į įprastinės veiklos sąnaudas tuo ataskaitiniu laikotarpiu, kai jos buvo patirtos. Mokesčių apskaitoje jos priskiriamos kitoms išlaidoms, susijusioms su produktų gamyba ir pardavimu (Rusijos Federacijos mokesčių kodekso 15 straipsnio 1 dalis, 264 straipsnis).

3 pavyzdys. LLC "Betta" suteikė UAB "Alpha" konsultavimo informacijos saugumo klausimais paslaugas už bendrą 59 000 rublių sumą, įskaitant PVM - 9 000 rublių.

Alfa OJSC buhalterinėje apskaitoje turi būti padaryti šie įrašai:

D-t 76, K-t 51 - 59 000 rub. - sumokėta už konsultavimo paslaugas;

Dt 26 (44), Kt 76 - 50 000 rub. - konsultacinės paslaugos informacijos saugumo klausimais nurašomos kaip įprastinės veiklos sąnaudos;

Dt 19, Kt 76 - 9000 rub. - paskirtas PVM;

Dt 68, Kt 19 - 9000 rub. - priimtas PVM atskaitai.

Įmonės, taikančios supaprastintą mokesčių sistemą kaip išlaidas, mažinančias pelno mokesčio apmokestinamąją bazę, pagal punktus. 19 punkto 1 str. Rusijos Federacijos mokesčių kodekso 346.16 straipsnis galės priimti tik informacijos saugumą užtikrinančių programų pirkimo išlaidas. Išlaidos už konsultavimo paslaugas informacijos saugumo klausimais str. Rusijos Federacijos mokesčių kodekso 346.16 punktas nėra paminėtas, todėl pelno mokesčio tikslais organizacijos neturi teisės jų priimti.

V. Ščanikovas

Auditoriaus padėjėjas

audito skyrius

Baker Tilly Rusaudit LLC

Didelės komercinės įmonės savo verslo fiziniam saugumui užtikrinti išleidžia apie 1% metinių pajamų. Įmonės saugumas yra toks pat išteklius kaip technologija ir gamybos priemonės. Tačiau kalbant apie skaitmeninę duomenų ir paslaugų apsaugą, sunku apskaičiuoti finansinę riziką ir būtinas išlaidas. Mes jums pasakysime, kiek IT biudžeto lėšų galima pagrįstai skirti kibernetiniam saugumui ir ar yra minimalus įrankių rinkinys, kurį galite naudoti.

Informacijos saugumo išlaidos auga

Verslo organizacijos visame pasaulyje, pasak ataskaita „Gartner“ 2017 m. išleido apie 87 mlrd. USD kibernetinio saugumo poreikiams, įskaitant programinę įrangą, specializuotas paslaugas ir techninę įrangą. Tai 7% daugiau nei 2016 m. Šiemet šis skaičius turėtų siekti 93 mlrd., o kitąmet perkops 100 ribą.

Pasak ekspertų, Rusijoje informacijos saugos paslaugų rinkos apimtis yra apie 55–60 milijardų rublių (apie 900 tūkstančių dolerių). 2/3 jo padengiama valstybės užsakymais. Verslo sektoriuje tokių išlaidų dalis labai priklauso nuo įmonės formos, geografijos ir veiklos srities.

Vidutiniškai šalies bankai ir finansinės institucijos investuoti savo kibernetiniam saugumui 300 mln. rublių per metus, pramonininkams – iki 50 mln., tinklo įmonėms (mažmeninei prekybai) – nuo ​​10 iki 50 mln.

Tačiau augimo skaičiai Rusijos rinka kibernetinis saugumas jau keletą metų yra 1,5–2 kartus didesnis nei pasauliniu mastu. 2017 m. augimas siekė 15% (klientų pinigais), palyginti su 2016 m. 2018-ųjų pabaigoje jis gali pasirodyti dar solidesnis.

Dideli augimo tempai paaiškinami bendru rinkos atgimimu ir smarkiai išaugusiu organizacijų dėmesiu realiam savo IT infrastruktūros saugumui ir duomenų saugai. Informacijos saugumo sistemos kūrimo išlaidos dabar laikomos investicijomis, jos yra planuojamos iš anksto, o ne imamos tik likutiniu pagrindu.

Teigiamos technologijosakcentai trys augimo varikliai:

1. Rezonansiniai incidentai per pastaruosius 1,5–2 metus lėmė tai, kad šiandien tik tinginiai nesuvokia informacijos saugumo vaidmens įmonės finansiniam stabilumui. Vienas iš penkių aukščiausio lygio vadovų išreiškia susidomėjimą praktiniu saugumu savo verslo kontekste.

Praėję metai buvo pamokantys įmonėms, kurios nepaiso pagrindinių . Dėl naujausių atnaujinimų nebuvimo ir įpratimo dirbti nekreipiant dėmesio į pažeidžiamumus buvo uždarytos „Renault“ gamyklos Prancūzijoje, „Honda“ ir „Nissan“ Japonijoje; Nukentėjo bankai, energetikos ir telekomunikacijų bendrovės. Pavyzdžiui, „Maersk“ tai vienu metu kainavo 300 mln.

1. Išpirkos reikalaujančių virusų „WannaCry“, „NotPetya“, „Bad Rabbit“ epidemijos šalies įmones išmokė, kad norint jaustis saugiai, neužtenka įdiegti antivirusines programas ir ugniasienes. Jums reikia išsamios strategijos, IT išteklių inventoriaus, tam skirtų išteklių ir reagavimo į grėsmes strategijos.
2. Tam tikra prasme toną duoda valstybė, paskelbusi kursą į skaitmeninę ekonomiką, apimančią visas sritis (nuo sveikatos apsaugos ir švietimo iki transporto ir finansų). Ši politika turi tiesioginės įtakos IT sektoriaus augimui apskritai ir ypač informacijos saugumui.

Informacijos saugumo pažeidžiamumo kaina

Visa tai pamokanti, bet kiekvienas verslas yra unikali istorija. Klausimas, kiek išleisti informacijos saugumui iš bendro įmonės IT biudžeto, nors ir neteisingas, užsakovo požiūriu yra pats aktualiausias.

Tarptautinė tyrimų bendrovė IDC, pasitelkusi Kanados rinkos pavyzdį skambučių optimalus yra 9,8-13,7% investicijų į kibernetinį saugumą nuo viso organizacijos IT biudžeto. Tai yra, dabar Kanados verslas šiems poreikiams vidutiniškai išleidžia apie 10% (manoma, kad tai yra sveikos įmonės rodiklis), tačiau, sprendžiant iš apklausų, norėtųsi, kad tai būtų arčiau 14%.

Įmonėms nėra prasmės spėlioti, kiek joms reikia išleisti informacijos saugumui, kad jaustųsi rami. Šiandien įvertinti kibernetinio saugumo incidentų riziką nėra sunkiau nei apskaičiuoti nuostolius dėl fizinių grėsmių. Yra visame pasaulyje statistika , pagal kurią:

• Programišių atakos pasaulio ekonomikai kasmet kainuoja daugiau nei 110 mlrd.
• Mažoms įmonėms kiekvienas incidentas kainuoja vidutiniškai 188 000 USD.
• 51% įsilaužimų 2016 metais buvo taikiniai, tai yra nusikalstamų grupuočių organizuoti prieš konkrečią įmonę.
• 75 % išpuolių įvyksta siekiant padaryti materialinės žalos ir yra finansiškai motyvuoti.

„Kaspersky Lab“ surengė savo didelio masto studijuoti . Remiantis 6 tūkstančių įmonių specialistų apklausa visame pasaulyje, žala dėl įsilaužimų į įmonių tinklą ir duomenų nutekėjimo per pastaruosius porą metų išaugo 20-30%.

Vidutinė žalos kaina 2018 m. vasario mėn. komercinėms organizacijoms, nepriklausomai nuo jų dydžio ar veiklos srities, siekė 1,23 mln. SVV įmonėms personalo klaida ar sėkmingi įsilaužėlių veiksmai kainavo 120 tūkst.

Informacijos saugumo galimybių studija

Norint teisingai įvertinti finansinius išteklius, reikalingus informacijos saugumui įmonėje organizuoti, būtina parengti galimybių studiją.

1. Atliekame IT infrastruktūros inventorizaciją ir įvertiname rizikas, sudarome pažeidžiamumų sąrašą jų svarbos mažėjimo tvarka. Tai taip pat apima reputacijos praradimą (padidėjusius draudimo įkainius, sumažėjusius kredito reitingus, paslaugų prastovų išlaidas) ir sistemos atkūrimo išlaidas (aparatinės ir programinės įrangos atnaujinimus).
2. Mes nustatome užduotis, kurias turi išspręsti informacijos apsaugos sistema.
3. Parenkame įrangą ir įrankius problemoms spręsti bei nustatome jos kainą.

Jei įmonė neturi kompetencijos įvertinti kibernetinio saugumo grėsmių ir rizikų, visada galite užsisakyti informacijos saugumo auditą iš išorės. Šiandien ši procedūra yra trumpa, nebrangi ir neskausminga.

Ekspertai pramonės įmonėms, turinčioms aukštą procesų automatizavimo lygį rekomenduoti naudoti adaptyvų saugos architektūros modelį (Adaptive Security Architecture), 2014 m. pasiūlė Gartner. Tai leidžia teisingai perskirstyti informacijos saugumo kaštus, daugiau dėmesio skiriant grėsmių aptikimo ir reagavimo įrankiams, o IT infrastruktūroje įdiegiama stebėjimo ir analizės sistema.

Kiek mažoms įmonėms kainuoja kibernetinis saugumas?

„Capterra“ tinklaraščio autoriai nusprendė skaičiuoti , kiek vidutiniškai kainuoja informacijos apsaugos sistema smulkiam ir vidutiniam verslui pirmaisiais naudojimo metais. Šiuo tikslu jis buvo pasirinktas sąrašą iš 50 populiarių „dėžutėje“ esančių pasiūlymų rinkoje.

Paaiškėjo, kad kainų diapazonas gana platus: nuo 50 dolerių per metus (yra net 2-3 nemokami sprendimai mažoms įmonėms) iki 6 tūkst. dolerių (yra pavienės pakuotės po 24 tūkst., bet jos nebuvo įtrauktos į skaičiavimą). Vidutiniškai mažas verslas gali išleisti 1400 USD, kad sukurtų pagrindinę kibernetinio saugumo gynybos sistemą.

Pigiausi techniniai sprendimai, tokie kaip verslo VPN arba el. pašto apsauga, padės apsisaugoti nuo tam tikrų rūšių grėsmių (pvz., sukčiavimo)

Kitame spektro gale yra visavertės stebėjimo sistemos su „pažangiais“ reagavimo į įvykius įrankiais ir visapusiška apsauga. Jie padeda apsisaugoti įmonių tinklas nuo didelio masto išpuolių, o kartais net leidžia numatyti jų atsiradimą ir juos sustabdyti ankstyvose stadijose.

Įmonė gali pasirinkti kelis informacijos apsaugos sistemos mokėjimo modelius:

• Licencijos kaina, vidutinė kaina – 1000–2000 USD arba 26–6000 USD už licenciją.
• Kaina vienam vartotojui. Vidutinė informacijos apsaugos sistemos kaina vienam vartotojui įmonėje yra 37 USD, diapazonas yra nuo 4 USD iki 130 USD vienam asmeniui per mėnesį.
• Kaina už prijungtą įrenginį. Vidutinė šio modelio kaina yra 2,25 USD už įrenginį. Kainos svyruoja nuo 0,96 USD iki 4,5 USD per mėnesį.

Kad teisingai apskaičiuotų informacijos saugumo kaštus, net ir nedidelė įmonė turės diegti rizikos valdymo pagrindus. Pirmasis incidentas (svetainė, paslauga sudužo, mokėjimo sistema), kurių nepavyks ištaisyti per 24 valandas, įmonė gali būti uždaryta.

Investuokite į įvairias technologijas kompiuterių saugumas- nuo platformų, skirtų mokėti premijas už programų pažeidžiamumą, iki diagnostikos ir automatizuoto programų testavimo. Tačiau labiausiai juos vilioja autentifikavimo ir tapatybės informacijos valdymo technologijos – į su šiomis technologijomis besiverčiančius startuolius 2019 metų pabaigoje buvo investuota apie 900 mln.

Investicijos į kibernetinio saugumo mokymo startuolius 2019 m. pasiekė 418 mln. USD, vadovaujamas „KnowBe4“, surinkęs 300 mln. USD.

2019 metais su daiktų interneto saugumu susijusios įmonės gavo apie 412 mln. Šioje kategorijoje lyderė pagal investicijų apimtis yra „SentinelOne“, kuri 2019 metais už galinių taškų apsaugos technologijų kūrimą gavo 120 mln.

Tuo pačiu metu „Metacurity“ analitikai pateikia ir kitų duomenų, apibūdinančių situaciją rizikos finansavimo rinkoje informacijos saugumo sektoriuje. 2019 metais investicijų apimtis čia siekė 6,57 milijardo dolerių, o 2018 metais – nuo ​​3,88 milijardo dolerių. Taip pat išaugo sandorių skaičius – nuo ​​133 iki 219. Tuo tarpu vidutinė investicijų apimtis vienam sandoriui išliko beveik nepakitusi ir 2019 metų pabaigoje siekė 29,2 mln., „Metacurity“ skaičiavimais.

2018

Augimas 9% iki 37 mlrd. USD – „Canalys“.

Informacijos saugumui (IS) skirtos įrangos, programinės įrangos ir paslaugų pardavimai 2018 metais siekė 37 mlrd. USD, o tai 9% daugiau nei prieš metus (34 mlrd. USD). Tokius duomenis 2019 metų kovo 28 dieną paskelbė „Canalys“ analitikai.

Nepaisant to, kad daugelis įmonių pirmenybę teikė savo turto, duomenų, galinių taškų, tinklų, darbuotojų ir klientų apsaugai, kibernetiniam saugumui 2018 m. teko tik 2% visų IT išlaidų. Tačiau atsiranda vis daugiau naujų grėsmių, jos tampa vis sudėtingesnės ir dažnesnės, o tai suteikia informacijos saugumo sprendimų gamintojams naujas augimo galimybes. Numatoma, kad 2020 m. visos kibernetinio saugumo išlaidos viršys 42 mlrd.

„Canalys“ analitikas Matthew Ballas mano, kad perėjimas prie naujų informacijos saugumo diegimo modelių paspartės. Klientai keičia savo IT biudžetų pobūdį naudodami viešąjį debesų paslaugos ir lanksčios prenumeratos paslaugos.

Apie 82 % informacijos saugos diegimo projektų 2018 m. buvo naudojama tradicinė aparatinė ir programinė įranga. Likusiais 18% atvejų naudotasi virtualizacijos, viešųjų debesų ir informacijos saugos paslaugomis.

Iki 2020 metų tradicinių modelių, diegiant informacijos apsaugos sistemas, dalis sumažės iki 70 proc., nes rinkoje populiarėja nauji sprendimai.

Pasak „Canalys“ analitiko Ketaki Borade, pirmaujantys kibernetinio saugumo technologijų pardavėjai pristatė naujus produktų platinimo modelius, kuriuose įmonės pereina prie prenumeratos modelio ir didina debesų infrastruktūros veiklą.

2017

Kibernetinio saugumo išlaidos viršijo 100 mlrd

2017 m. pasaulinės išlaidos informacijos saugumui (IS) – produktams ir paslaugoms – siekė 101,5 mlrd. USD, 2018 m. rugpjūčio viduryje pranešė tyrimų bendrovė „Gartner“. 2017 metų pabaigoje ekspertai šią rinką įvertino 89,13 mlrd.

Ekspertai mano, kad vienas iš esminių veiksnių, prisidedančių prie informacijos saugumo kaštų didėjimo, yra naujų grėsmių aptikimo ir reagavimo į jas metodų įdiegimas, kuris 2018 metais tapo svarbiausiu organizacijų saugumo prioritetu.

„Gartner“ skaičiavimais, 2017 m. organizacijos išleido kibernetinės apsaugos paslaugoms daugiau nei 52,3 mlrd. USD 2018 m. šios išlaidos išaugs iki 58,9 mlrd.

2017 m. įmonės išleido 2,4 mlrd. USD programoms apsaugoti, 2,6 mlrd. USD duomenų apsaugai ir 185 mln. USD debesų paslaugų apsaugai.

Metiniai tapatybės ir prieigos valdymo sprendimų (Identity And Access Management) pardavimai buvo lygūs 8,8 mlrd. IT infrastruktūros apsaugos priemonių pardavimai išaugo iki 12,6 mlrd.

Tyrimas taip pat rodo, kad įranga, naudojama tiekti, kainuoja 10,9 mlrd tinklo saugumas. Jų gamintojai iš informacijos saugumo rizikos valdymo sistemų uždirbo 3,9 mlrd.

Remiantis „Gartner“ tyrimu, analitikai apskaičiavo, kad 2017 m. vartotojų kibernetinio saugumo išlaidos sieks 5,9 mlrd.

„Gartner“ įvertino rinkos dydį 89,13 mlrd

2017 m. gruodį tapo žinoma, kad pasaulinės įmonės išlaidos informacijos saugumui (IS) 2017 metais sieks 89,13 mlrd. JAV dolerių, „Gartner“ duomenimis, 2016 m.

Didžiausiu išlaidų straipsniu ekspertai laiko informacijos saugumo paslaugas: 2017 metais įmonės šiems tikslams skirs per 53 mlrd. Antras pagal dydį informacijos saugumo rinkos segmentas – infrastruktūros apsaugos sprendimai, kurių kaštai 2017 metais sieks 16,2 mlrd. USD vietoj 15,2 mlrd. USD prieš metus. Trečioje vietoje yra tinklo apsaugos įranga (10,93 mlrd. USD).

Informacijos saugumo išlaidų struktūra taip pat apima vartotojų programinę įrangą, skirtą informacijos apsaugai ir identifikavimo bei prieigos valdymo sistemoms (Identity and Access Management, IAM). „Gartner“ apskaičiavo, kad 2017 m. šiose srityse išlaidos siekė 4,64 mlrd. ir 4,3 mlrd. USD, o 2016 m. – atitinkamai 4,57 mlrd. ir 3,9 mlrd. USD.

Analitikai tikisi tolesnio informacijos saugumo rinkos augimo: 2018 metais organizacijos išlaidas kibernetinei apsaugai padidins dar 8% ir šiems tikslams iš viso skirs 96,3 mlrd naujų grėsmių suvokimas ir įmonių polinkis į skaitmeninio verslo strategiją.

Analitiko žodžius patvirtina „Gartner“ 2016 metais gauti duomenys, per apklausą, kurioje dalyvavo 512 organizacijų iš aštuonių šalių: Australijos, Kanados, Prancūzijos, Vokietijos, Indijos, Singapūro ir JAV.

53 % respondentų kibernetinio saugumo rizikas įvardijo kaip pagrindinę varomąją jėgą, skatinančią didinti išlaidas kibernetiniam saugumui. Iš šio skaičiaus daugiausia didelis procentas apklaustųjų teigė, kad kibernetinių atakų grėsmė labiausiai įtakoja sprendimų dėl informacijos saugumo sąnaudų priėmimą.

„Gartner“ 2018 m. prognozėje raginama didinti išlaidas visose pagrindinėse srityse. Taigi kibernetinės apsaugos paslaugoms bus skirta apie 57,7 milijardo dolerių (+ 4,65 milijardo dolerių), infrastruktūros saugumui užtikrinti – apie 17,5 milijardo dolerių (+1,25 milijardo dolerių), o vartotojų programinei įrangai – 4,74 milijardo dolerių ( +109 mln. USD), o IAM sistemoms – 4,69 mlrd. USD (+ 416 mln. USD).

Analitikai taip pat mano, kad iki 2020 m. daugiau nei 60% pasaulio organizacijų vienu metu investuos į keletą duomenų apsaugos priemonių, įskaitant informacijos praradimo prevencijos, šifravimo ir audito priemones. 2017 metų pabaigoje tokius sprendimus perkančių įmonių dalis buvo įvertinta 35 proc.

Kitas reikšmingas įmonių išlaidų informacijos saugumui elementas bus trečiųjų šalių specialistų įtraukimas. Tikimasi, kad, atsižvelgiant į darbuotojų trūkumą kibernetinio saugumo srityje, didėjantį informacijos saugumo sistemų techninį sudėtingumą ir didėjančias kibernetines grėsmes, 2018 m. įmonės sąnaudos už informacijos saugumo užsakomąsias paslaugas padidės 11% ir sieks 18,5 mlrd. .

„Gartner“ apskaičiavo, kad iki 2019 m. įmonių išlaidos trečiųjų šalių kibernetinio saugumo ekspertams sudarys 75 % visų išlaidų kibernetinio saugumo programinei ir techninei įrangai, o 2016 m. – 63 %.

IDC prognozuoja, kad rinkos dydis sieks 82 mlrd

Du trečdalius išlaidų padengs įmonės, priskiriamos didelėms ir labai didelėms įmonėms. IDC analitikų teigimu, iki 2019 metų korporacijų, kuriose dirba daugiau nei 1000 darbuotojų, išlaidos viršys 50 mlrd.

2016 m.: Rinkos apimtis 73,7 mlrd. USD, augimas 2 kartus didesnis nei IT rinkos

2016 metų spalį analitinė bendrovė IDC pristatė trumpus pasaulinės informacijos saugumo rinkos tyrimo rezultatus. Tikimasi, kad jos augimas bus dvigubai didesnis nei IT rinkos.

IDC apskaičiavo, kad pasauliniai kibernetinei apsaugai skirtos įrangos, programinės įrangos ir paslaugų pardavimas 2016 metais sieks apie 73,7 milijardo dolerių, o 2020 metais šis skaičius viršys 100 milijardų dolerių, o 2016–2020 m. technologija kasmet augs vidutiniškai 8,3 %, o tai dvigubai viršija numatomą IT pramonės augimo tempą.

Didžiausios informacijos saugumo išlaidos (8,6 mlrd. USD) 2016 m. pabaigoje numatomos bankuose. Antroje, trečioje ir ketvirtoje vietoje pagal tokių investicijų dydį bus atitinkamai atskiros gamybos įmonės, valstybinės įstaigos ir nuolatinės gamybos įmonės, kurios sudarys apie 37% išlaidų.

Analitikai vadovauja didėjančių investicijų į sveikatos apsaugą dinamikoje (2016–2020 m. numatomas vidutinis 10,3 proc. metinis augimas). Kibernetinės apsaugos sąnaudos telekomunikacijų, būsto sektoriuje, vyriausybinėse agentūrose ir investicijų bei vertybinių popierių rinkoje kasmet padidės maždaug 9 proc.

Tyrėjai Amerikos rinką vadina didžiausia informacijos saugumo rinka, kurios apimtis 2016 metais sieks 31,5 mlrd. JAV dolerių. Į trejetuką taip pat pateks Vakarų Europa bei Azijos ir Ramiojo vandenyno regionas (be Japonijos). Trumpoje IDC tyrimo versijoje informacijos apie Rusijos rinką nėra.

Generalinis direktorius Rusijos įmonė„Security Monitor“ Dmitrijus Gvozdevas prognozuoja paslaugų dalies padidėjimą visose Rusijos saugumo išlaidose nuo 30–35% iki 40–45%, taip pat prognozuoja rinkos klientų struktūros raidą - nuo bendros vyriausybės dominavimo. , finansų ir energetikos sektoriuose į vidutines įmones iš įvairesnių pramonės šakų.

2015

RINKOS DYDIS

FEDERALINĖS IŠLAIDOS

KIBERTINĖS NUSIKALTIMAI

MOKESTIS UŽ PAŽEIDIMĄ

FINANSINĖS PASLAUGOS

Tarptautinė

SAUGOS ANALITIKA

2013 m.: EMEA rinka išaugo iki 2,5 mlrd.

Apsaugos įrangos rinkos apimtis EMEA regione (Europa, Viduriniai Rytai ir Afrika) išaugo 2,4%, palyginti su 2012 m., ir sudarė 2,5 mlrd nagrinėjama rinka kompiuterių tinklai– UTM sprendimai (Vieningas grėsmių valdymas). Tuo pat metu IDC prognozavo, kad informacijos saugumo aparatinės įrangos rinka iki 2018 m. pasieks 4,2 mlrd. USD vertės, o vidutinis metinis augimas sieks 5,4%.

2013 m. pabaigoje lyderio poziciją tarp tiekėjų pagal pajamas iš informacijos saugos įrangos pardavimo EMEA regione užėmė „Check Point“. IDC duomenimis, pardavėjo pajamos šiame segmente 2013 metais išaugo 3,8% ir siekė 374,64 mln. USD, o tai atitinka 19,3% rinkos dalį.

2012: Prognozė PAC: informacijos saugumo rinka augs 8% per metus

Pasaulinė informacijos saugumo rinka kasmet augs 8% iki 2016 m., kai ji gali siekti 36 milijardus eurų, skelbiama tyrime.

„Kaspersky Lab Global Corporate IT Security Risks Survey“ yra kasmetinė įmonių informacijos saugos tendencijų visame pasaulyje analizė. Nagrinėjame tokius svarbius kibernetinio saugumo aspektus kaip informacijos saugumo išlaidų dydis, esamos įvairių tipų įmonių grėsmės rūšys ir finansinės pasekmės susidūrus su šiomis grėsmėmis. Be to, mokydamiesi iš vadovų apie informacijos saugumo biudžeto sudarymo principus, galime matyti, kaip įmonės įvairiuose pasaulio regionuose reaguoja į grėsmių kraštovaizdžio pokyčius.

2017 m. siekėme suprasti, ar įmonės informacijos saugumą mato kaip kaštų veiksnį (būtiną blogybę, kuriai yra priverstos skirti pinigų), ar ima tai vertinti kaip strateginę investiciją (tai yra verslo tęstinumo užtikrinimo priemonę). kuri suteikia didelės naudos sparčiai besivystančių kibernetinių grėsmių eroje).

Tai labai svarbus klausimas, ypač todėl, kad IT biudžetai mažėjo daugumoje pasaulio regionų.

Tačiau Rusijoje 2017 metais saugumui skiriamo biudžeto vidurkis šiek tiek padidėjo – 2 proc. Vidutinis informacijos saugumo biudžetas Rusijoje buvo apie 15,4 mln.

Šioje ataskaitoje atidžiau apžvelgiamos grėsmės, su kuriomis susiduria įvairaus dydžio įmonės, ir tipiniai IT išlaidų modeliai.

Bendroji informacija ir tyrimo metodika

Pasaulinis „Kaspersky Lab Corporate IT Security Risks Survey“ – tai vadovų, valdančių savo organizacijų IT paslaugas, apklausa, kuri kasmet atliekama nuo 2011 m.

Naujausi duomenys buvo surinkti 2017 m. kovo ir balandžio mėn. Iš viso buvo apklausti 5274 respondentai iš daugiau nei 30 šalių, apimantys įvairaus dydžio įmones.

Ataskaitoje kartais vartojami tokie pavadinimai: smulkus verslas – mažiau nei 50 darbuotojų, SMB (vidutinis ir smulkus verslas – nuo ​​50 iki 250 darbuotojų) ir didelis verslas (daugiau nei 250 darbuotojų turinčios įmonės). Šioje ataskaitoje pateikiama labiausiai atskleidžiančių apklausos parametrų analizė.

Pagrindinės išvados:

Įvairaus dydžio įmonėms darosi vis sunkiau kovoti su kibernetinėmis grėsmėmis, o gynybos išlaidos taip pat auga. Rusijoje vidutinio ir smulkaus verslo segmente vos vieno kibernetinio incidento pasekmių likvidavimas vidutiniškai kainuoja 1,6 mln. rublių, o stambaus verslo segmente – 16,1 mln.

Informacijos saugumui skiriama IT biudžeto dalis auga. Tai būdinga bet kokio dydžio įmonėms. Bendras biudžetas išlieka mažas, o Rusijoje augimas siekė tik 2 proc., todėl specialistai priversti savo užduotis vykdyti turėdami mažai išteklių.

Vieno incidento daroma žala auga, o įmonės, kurios neteikia pirmenybės informacijos saugumo išlaidoms, netrukus gali atsidurti rimtoje bėdoje. Tyrimas parodė, kad mažų ir vidutinių įmonių segmente įmonės išleidžia apie 300 tūkstančių rublių už kiekvieną saugumo incidentą papildomoms išmokoms darbuotojams, o didelės korporacijos gali išleisti 2,7 milijono rublių, kad sumažintų žalą prekės ženklui.

Žala dėl saugumo incidentų

Kibernetinio saugumo incidentų skaičius auga – įmonėms tenka susidoroti su įvairiomis pasekmėmis – nuo ​​papildomų viešųjų ryšių iki naujų darbuotojų samdymo. 2017 metais dar labiau išaugo finansiniai nuostoliai dėl duomenų vientisumo pažeidimų. Tai turėtų pakeisti įmonių požiūrį į šią problemą: įmonės nustos vertinti kibernetinio saugumo kaštus kaip būtiną blogį ir pradės juos vertinti kaip investicijas, kurios leis išvengti didelių finansinių nuostolių atakos atveju.

Rimti duomenų pažeidimai kainuoja vis brangiau

Didžiausią susirūpinimą CTO kelia didžiulės atakos, dėl kurių nutekinama milijonai įrašų. Tokie buvo išpuoliai prieš Didžiosios Britanijos Nacionalinę sveikatos tarnybą (NHS) „Sony“ arba įsilaužimas į HBO televizijos kanalą, paskelbus konfidencialius duomenis, susijusius su serialu „Sostų žaidimas“. Tačiau iš tikrųjų tokie dideli incidentai yra greičiau išimtis nei taisyklė. Iki praėjusių metų dauguma kibernetinių atakų nepateko į naujienų antraštes ir išliko specialiųjų pranešimų sritis specialistams. Žinoma, išpirkos programinės įrangos epidemijos šiek tiek pakeitė situaciją, tačiau verslo verslo segmentas vis tiek nesupranta viso vaizdo.

Palyginti mažas žinomų didelio masto kibernetinių atakų skaičius nereiškia, kad daugumos atakų padaryta žala yra nereikšminga. Taigi, kiek įmonės vidutiniškai išleidžia, kad pašalintų „tipinį“ duomenų pažeidimą? Tyrimo dalyvių paprašėme įvertinti, kiek jų įmonė išleido / prarado dėl bet kokio saugumo incidento, įvykusio per pastaruosius metus.

Visos įmonės, kuriose dirba 50 ar daugiau darbuotojų, turėjo įvertinti patirtas išlaidas kiekvienoje iš šių kategorijų:

Kiekvienai kategorijai apskaičiavome vidutines įmonių, susidūrusių su informacijos saugumo incidentais, patiriamas išlaidas, o visų kategorijų suma leido įvertinti bendrą informacijos saugumo incidento padarytos žalos dydį.

Žemiau atskirai pateikiame SVV ir didelių verslo segmentų rezultatus, nes jų statistika labai skiriasi. Pavyzdžiui, Rusijos SVV įmonių žala vidutiniškai siekia beveik 1,6 milijono rublių, o didelėms įmonėms ji beveik dešimt kartų didesnė – 16,1 milijono rublių. Tai rodo, kad kibernetinės atakos yra brangios įvairaus dydžio įmonėms.

Tai, kad didelės įmonės, pažeidžiant duomenų vientisumą, vidutiniškai patiria daugiau nuostolių, nestebina, tačiau įdomu panagrinėti žalos pasiskirstymą pagal kategorijas.

Pernai papildomos išmokos darbuotojams buvo reikšmingiausia išlaidų dalis tiek mažoms ir vidutinėms įmonėms, tiek didelėms įmonėms. Tačiau šiemet vaizdas pasikeitė, o įvairaus dydžio įmonės turi skirtingus pagrindinius išlaidų straipsnius. Maži ir vidutinis verslas ir toliau daugiausiai praranda dėl išmokų darbuotojams. Tačiau didelės įmonės pradėjo investuoti į papildomą viešąjį ryšį, kad sumažintų žalą prekės ženklo reputacijai. Be to, didelė išlaidų dalis didelėms įmonėms buvo techninės įrangos tobulinimo ir papildomos programinės įrangos įsigijimo išlaidos.

Visoms įmonėms išaugo darbuotojų mokymo išlaidos. Saugumo incidentai dažnai priverčia įmones suprasti, kaip svarbu didinti kibernetinį raštingumą ir gerinti grėsmių žvalgybą.

Didesni stambių įmonių vidiniai ištekliai ir jų veiklos reguliavimo ypatumai lemia skirtingą pačios grėsmės pašalinimo ir žalos atlyginimo kaštų pusiausvyrą. Rimtas išlaidų straipsnis buvo draudimo įmokų padidėjimas, kredito reitingų pablogėjimas ir pasitikėjimo įmone erozija: vidutiniškai po kiekvieno incidento didelės įmonės nuo to praranda apie 2,3 mln.

Mūsų tyrimas parodė, kad didžiąją dalį įmonės išlaidų padidėjimo lėmė poreikis užkirsti kelią reputacijos praradimui kredito reitingų, prekės ženklo įvaizdžio ir kompensacijų forma arba bent jau ją sumažinti.

Vis labiau plintant naujiems reglamentams, tikėtina, kad vidutinės išlaidos ir toliau augs, todėl įmonės turės viešai pranešti apie visus incidentus ir padidinti duomenų saugumo skaidrumą.

Tokios tendencijos būdingos, pavyzdžiui, Japonijai, kur vidutinės saugumo pažeidimo pasekmių pašalinimo išlaidos išaugo daugiau nei dvigubai: nuo 580 tūkst. USD 2016 m. iki 1,3 mln. USD 2017 m. Japonijos vyriausybė ėmėsi griežtesnių taisyklių, reaguodama į didėjančias grėsmes kibernetiniam saugumui. 2017 metais įsigaliojo nauji įstatymai, dėl kurių staigiai išaugo išlaidos.

Tačiau įstatymų kūrimas ir įgyvendinimas užtrunka. Sparčiai tobulėjant įmonių IT aplinkai ir kibernetinių grėsmių raidai, reguliavimo priemonių atsilikimas tampa rimta problema. Pavyzdžiui, dėl naujų Japonijos standartų buvo sutarta dar 2015 m., tačiau jų įsigaliojimą teko atidėti ištisus dvejus metus. Daugeliui šis delsimas kainavo labai brangiai: per šiuos dvejus metus nemažai didelių Japonijos įmonių tapo brangių išpuolių aukomis. Vienas iš pavyzdžių – kelionių bendrovė JTB Corp., kuri 2016 metais patyrė didžiulį nutekėjimą. Buvo pavogti 8 milijonų klientų duomenys, įskaitant vardus, adresus ir pasų numerius.

Tai vienas iš pasaulinės problemos požymių: grėsmės sparčiai vystosi, vyriausybių ir įmonių inercija per didelė. Kitas varžtų priveržimo pavyzdys – 2018 metų gegužę įsigaliojantys Bendrieji Europos duomenų apsaugos standartai (BDAR), kurie gerokai apriboja priimtinus ES piliečių duomenų tvarkymo ir saugojimo būdus.

Įstatymai keičiasi visame pasaulyje, tačiau jie negali neatsilikti nuo kibernetinių grėsmių – apie tai 2017 metais Rusijoje priminė trys išpirkos reikalaujančios programinės įrangos bangos. Todėl verslas turėtų žinoti įstatymų netobulumus ir stiprinti apsaugą pagal faktines aplinkybes – arba iš anksto susitaikyti su žala reputacijai ir klientams. Naujiems norminiams reikalavimams verta ruoštis nelaukiant terminų. Keisdamos politiką po to, kai buvo išleisti atitinkami įstatymai, įmonės rizikuoja ne tik baudomis, bet ir savo bei klientų duomenų saugumu.

Nėra tokių dalykų kaip kažkieno pažeidžiamumas: partnerio apsaugos spragos kainuoja brangiai

Norint apsisaugoti nuo duomenų nutekėjimo, labai svarbu suprasti, kokius atakų vektorius naudoja užpuolikai. Savo ruožtu ši informacija padės suprasti, kurios atakų rūšys yra brangiausios.

Apklausa parodė, kad didžiausias finansines pasekmes vidutinėms ir mažoms įmonėms turėjo šie incidentai:

• Incidentai, turintys įtakos trečiųjų šalių įrangoje priglobtai infrastruktūrai (17,2 mln. RUB)
• Incidentai, turintys įtakos bendrovės naudojamoms trečiųjų šalių debesijos paslaugoms (3,6 mln. RUB)
• Netinkamas bendravimas per mobiliuosius įrenginius(2,5 mln. RUB)
• Fizinis mobiliųjų įrenginių praradimas, dėl kurio organizacijai kyla rizika (2,1 mln. RUB)
• Incidentai, susiję su ne kompiuteriniais įrenginiais, prijungtais prie interneto (pavyzdžiui, pramonės valdymo sistemomis, daiktų internetu) (1,7 mln. RUB)

Situacija su didelėmis įmonėmis yra šiek tiek kitokia:

• Tikslinės atakos (75 mln. RUB)
• Incidentai, turintys įtakos trečiųjų šalių tiekėjų debesijos paslaugoms (19 mln. RUB)
• Virusai ir kenkėjiška programa(9 milijonai rublių)
• Netinkamas duomenų apsikeitimas mobiliaisiais įrenginiais (7,3 mln. RUB)
• Incidentai, susiję su tiekėjais, su kuriais įmonės keičiasi duomenimis (4,4 mln. RUB)

Šie duomenys rodo, kad atakos, sukeltos saugumo problemų su verslo partneriais, dažnai yra brangiausios bet kokio dydžio įmonėms. Tai taikoma tiek organizacijoms, kurios nuomoja debesis ar kitą infrastruktūrą iš trečiųjų šalių tiekėjų, ir įmonėms, kurios dalijasi savo duomenimis su partneriais.

Kai suteikiate kitai įmonei prieigą prie savo duomenų ar infrastruktūros, jų trūkumai tampa jūsų problema. Tačiau anksčiau pastebėjome, kad dauguma organizacijų tam neskiria pakankamai dėmesio. Todėl nenuostabu, kad tokio pobūdžio incidentai sukelia didžiausias išlaidas: bet kuris boksininkas pasakys, kad dažniausiai netikėtas smūgis sukelia nokautą.

Taip pat iš karto verta atkreipti dėmesį į dar vieną vektorių, kuris netikėtai pateko į 5 didžiausių grėsmių vidutiniam verslui sąrašą: atakos, susijusios su prijungtais įrenginiais, kurie nėra kompiuteriai. Šiandien srautas daiktų internete (IoT) auga daug greičiau nei srautas, kurį sukuria bet kuri kita technologija. Tai dar vienas pavyzdys, kaip nauji pokyčiai didina galimų verslo infrastruktūros pažeidžiamumų skaičių. Visų pirma, plačiai paplitęs gamyklinių numatytųjų slaptažodžių ir silpnų saugos funkcijų naudojimas daiktų interneto įrenginiuose padarė juos idealiu robotų tinklu, pvz., Mirai, kenkėjiškomis programomis, galinčiomis sujungti daugybę pažeidžiamų įrenginių į vieną tinklą ir pradėti didelio masto DDoS atakas. pasirinktus taikinius.

Pastebėtinas nuostolių dydis dėl tikslinių atakų stambaus verslo segmente – šią grėsmę itin sunku atremti. Per pastaruosius porą metų tapo žinoma nemažai didelio atgarsio sulaukusių tikslinių išpuolių prieš bankus, o tai taip pat sustiprina šią nuviliančią statistiką.

Investavimas į rizikos mažinimą

Kaip parodė mūsų tyrimai, grėsmės informacijos saugumui tampa vis rimtesnės. Tokiomis sąlygomis negalima nerimauti dėl pačių informacijos saugumo biudžetų būklės. Analizuodami jų pokyčius galime nuspręsti, ar organizacijos savo saugumą vertina kaip kaštų veiksnį, ar pusiausvyra palaipsniui pereina į investicijų galimybę, kuri suteikia realų konkurencinį pranašumą.

Biudžeto dydis parodo įmonės požiūrį į IT saugumą, apsaugos sistemos vaidmens svarbą vadovybės požiūriu ir organizacijos norą rizikuoti.

Informacijos saugumo biudžetas: dalis auga, „pyragas“ mažėja

Šiais metais pastebėjome, kad dėl taupymo ir užsakomųjų paslaugų sumažėjo IT biudžetai. Nepaisant to (o gal dėl to), informacijos saugumo dalis šiuose IT biudžetuose išaugo. Rusijoje teigiama tendencija pastebima įvairaus dydžio įmonėse. Net ir tarp mažų įmonių, veikiančių nepakankamų resursų sąlygomis, IT biudžetų dalis, skirta informacijos saugumui, išaugo, nors ir procentais.

Tai reiškia, kad įmonės pagaliau pradeda suprasti informacijos saugumo svarbą. Galbūt tai rodo, kad informacijos saugumą daugelis pradėjo suvokti kaip potencialiai naudingą investiciją, o ne kaip išlaidų šaltinį.

Matome, kad IT biudžetai visame pasaulyje gerokai mažinami. Nors informacijos saugumas gauna didesnį pyrago gabalėlį, pats pyragas vis mažėja. Tendencija kelia nerimą, ypač atsižvelgiant į tai, koks didelis statymas šioje srityje ir kiek kainuoja kiekviena ataka.

Rusijoje vidutinis biudžetas informacijos saugumui stambaus verslo įmonėms 2017 metais siekė 400 mln., o smulkaus ir vidutinio verslo – 4,6 mln.

Imtis: 694 respondentai Rusijoje, galintys įvertinti biudžetą

Nenuostabu, kad organizacijos teikia valstybines paslaugas(įskaitant gynybos sektorių), o finansų institucijos visame pasaulyje praneša apie didžiausias šių metų kibernetinio saugumo išlaidas. Abiejų šių sektorių įmonės saugumui išleido vidutiniškai daugiau nei 5 mln. Taip pat verta paminėti, kad IT ir telekomunikacijų sektorius, taip pat energetikos pramonės įmonės taip pat daugiau nei vidutiniškai išleido informacijos saugumui, nors jų biudžetai buvo artimesni 3 mln. USD, o ne 5 USD.

Tačiau jei visas išlaidas padalinsite iš darbuotojų skaičiaus, tada vyriausybines organizacijas pereiti į sąrašo pabaigą. Vidutiniškai IT ir telekomunikacijų sektorius vienam gyventojui informacijos saugumui išleidžia 1258 USD, energetikos sektorius – 1344 USD, o finansinių paslaugų įmonės – 1436 USD. Palyginimui, vyriausybinės agentūros informacijos saugumui vienam asmeniui skiria tik 959 USD.

Tiek IT ir telekomunikacijų segmente, tiek energijos tiekimo pramonėje didelės išlaidos vienam darbuotojui greičiausiai siejamos su intelektinės nuosavybės apsaugos poreikiu, o tai ypač aktualu šiuose ūkio sektoriuose. Energijos tiekimo organizacijų atveju didelės saugumo sąnaudos taip pat gali būti susijusios su tuo, kad šios įmonės yra vis labiau pažeidžiamos dėl tikslinių atakų, organizuojamos grupėseįsibrovėlių.

Šioje pramonės šakoje investicijos į informacijos saugumą tampa labai svarbios išlikimui, nes tai užtikrina verslo tęstinumą, kuris yra svarbus energijos tiekimo veiksnys. Sėkmingos kibernetinės atakos pasekmės šioje industrijoje yra ypač skaudžios, todėl investicijos į informacijos saugumą duoda labai apčiuopiamos naudos.

Rusijoje IT ir telekomunikacijos, taip pat pramonės įmonės pirmiausia investuojamos į informacijos saugumą – pirmųjų vidutinės išlaidos siekia 300 mln., antrųjų – 80 mln. Pramonės ir gamybos įmonės paprastai remiasi automatizuotos sistemos valdymas (ICS), siekiant užtikrinti gamybos procesų tęstinumą. Tuo pačiu metu atakų prieš ICS daugėja: per pastaruosius 12 mėnesių jų skaičius išaugo 5%.

Priežastys investuoti į informacijos saugumą

Investicijų į informacijos saugumą sumų sklaida tarp sektorių yra labai didelė. Todėl ypač svarbu suprasti priežastis, skatinančias įmones skirti ribotus išteklius informacijos saugumui. Nežinant motyvų neįmanoma suprasti, ar įmonė IT infrastruktūros saugumui išleistus pinigus laiko išmestais, ar žiūri į tai kaip į pelningą investiciją.

2017 metais žymiai daugiau įmonių visame pasaulyje pripažino, kad investuos į kibernetinį saugumą nepaisydamos numatomos investicijų grąžos: 63%, palyginti su 56% 2016 metais. Tai rodo, kad vis daugiau įmonių supranta informacijos saugumo svarbą.

Pagrindinės informacijos saugumo biudžeto didinimo priežastys, Rusija

Ne visos įmonės tikisi greitos investicijų grąžos, tačiau daugelis pasaulinių kompanijų kaip priežastį padidinti informacijos saugumo biudžetą nurodė pagrindinių suinteresuotųjų šalių, įskaitant aukščiausios įmonės vadovybės (32 proc.), spaudimą. Tai rodo, kad įmonės pradeda matyti savo strateginį pranašumą informacijos saugumo išlaidų augime: saugumo priemonės leidžia ne tik apsisaugoti atakos atveju, bet ir parodyti klientams, kad jų duomenys yra saugiose rankose. kaip užtikrinti veiklos tęstinumą, kuriuo suinteresuota įmonės vadovybė.

Populiariausia priežastimi didinti išlaidas informacijos saugumui didžioji dalis šalies įmonių nurodė poreikį apsaugoti vis sudėtingesnę IT infrastruktūrą (46 proc.), o poreikį tobulinti informacijos saugumo ekspertų įgūdžius – 30 proc. Šie skaičiai pabrėžia būtinybę didinti įmonės turimą kompetencijos lygį ugdant savo darbuotojų įgūdžius. Iš tiesų, MVĮ ir didelės įmonės vis daugiau investuoja į savo vidaus darbo jėgos palaikymą kovojant su kibernetinėmis grėsmėmis.

Tuo pačiu metu tarp Rusijos verslų sumažėjo poreikis didinti išlaidas informacijos saugumui dėl naujų verslo operacijų ar įmonės plėtros: nuo 36% pernai iki 30% 2017 m. Galbūt tai atspindi makroekonominius veiksnius, su kuriais pastaruoju metu teko susidurti mūsų įmonėms.

Išvada

Didžiulę žalą 2017 metais padarė didžiulės atakos, tokios kaip WannaCry, exPetr ir BadRabbit. Žala dėl tikslinių atakų, ypač prieš Rusijos bankus, taip pat yra didelė. Visa tai rodo, kad kibernetinės grėsmės kraštovaizdis keičiasi greitai ir nenumaldomai. Įmonės yra priverstos pritaikyti savo gynybą arba pasitraukti iš verslo.

Vis svarbesnis veiksnys priimant verslo sprendimus yra skirtumas tarp pasirengimo susidoroti su kibernetinėmis atakomis ir aukos patiriamų išlaidų.

Ataskaita rodo, kad net palyginti nedideli duomenų pažeidimai, kurie mažai įdomūs plačiajai visuomenei, gali labai brangiai kainuoti įmonei ir rimtai paveikti jos veiklą. Kita priežastis, dėl kurios kyla saugumo incidentų kaštai, yra taisyklių pasikeitimai visame pasaulyje. Įmonės turi prisitaikyti arba rizikuoti nesilaikymu ir galimu įsilaužimu.

Tokiomis aplinkybėmis tampa ypač svarbu atsižvelgti į visas pasekmes ir išlaidas. Galbūt todėl vis daugiau įmonių iš įvairių šalių didina informacijos saugumo dalį savo IT biudžetuose. 2017 metais žymiai daugiau įmonių visame pasaulyje pripažino, kad investuos į kibernetinį saugumą nepaisydamos numatomos investicijų grąžos: 63%, palyginti su 56% 2016 metais.

Greičiausiai, didėjant kibernetinio saugumo incidentų žalai, tos organizacijos, kurios IT išlaidas laiko investicijomis į saugumą ir yra pasirengusios joms išleisti nemenkas pinigų sumas, bus geriau pasiruošusios galimoms bėdoms. Kokia situacija jūsų įmonėje?

Kaip pagrįsti informacijos saugumo išlaidas?

Perspausdinta su maloniu leidimu OJSC InfoTex Internet Trust
Šaltinio tekstas yra Čia.

Įmonės brandos lygiai

„Gartner Group“ išskiria 4 įmonės brandos lygius informacijos saugumo (IS) požiūriu:

• 0 lygis:
• Įmonėje niekas neužsiima informacijos saugumu, įmonės vadovybė nesuvokia informacijos saugumo problemų svarbos;
• Nėra finansavimo;
• Informacijos saugumas įgyvendinamas naudojant standartines priemones operacinės sistemos, DBVS ir programos (slaptažodžio apsauga, prieigos prie išteklių ir paslaugų kontrolė).
• 1 lygis:
• Informacijos saugumą vadovybė vertina kaip grynai „techninę“ problemą, nėra vieningos įmonės informacijos saugumo sistemos (ISMS) kūrimo programos (koncepcijos, politikos);
• Finansavimas numatytas bendro IT biudžeto ribose;
• Informacijos saugumas įgyvendinamas nulinio lygio + priemonėmis atsarginė kopija, antivirusiniai įrankiai, ugniasienės, VPN organizavimo įrankiai (tradiciniai saugos įrankiai).
• 2 lygis:
• Informacijos saugumą vadovybė vertina kaip organizacinių ir techninių priemonių visumą, yra supratimas apie informacijos saugumo svarbą gamybos procesams, yra vadovybės patvirtinta įmonės ISMS kūrimo programa;
• Informacijos saugumas įgyvendinamas pirmojo lygio įrankiais + patobulintais autentifikavimo įrankiais, įrankiais el. pašto žinutėms ir žiniatinklio turiniui analizuoti, IDS (įsilaužimų aptikimo sistemoms), saugumo analizės įrankiais, SSO (vienkartinio autentifikavimo įrankiais), PKI (infrastruktūra) viešieji raktai) ir organizacinės priemonės (vidaus ir išorės auditas, rizikos analizė, informacijos saugumo politika, reglamentai, procedūros, nuostatai ir gairės).
• 3 lygis:
• Informacijos saugumas yra įmonės kultūros dalis, paskirtas CISA (vyresnysis informacijos saugumo pareigūnas);
• Finansavimas skiriamas iš atskiro biudžeto;
• Informacijos saugumas įgyvendinamas naudojant antrojo lygio + informacijos saugumo valdymo sistemą, CSIRT (informacijos saugumo incidentų reagavimo komanda), SLA (paslaugų lygio susitarimą).

„Gartner Group“ (duomenys pateikti 2001 m.) duomenimis, įmonių procentas, palyginti su aprašytais 4 lygiais, yra toks:
0 lygis – 30 %
1 lygis – 55 proc.
2 lygis – 10 proc.
3 lygis – 5%.

„Gartner Group“ prognozuoja 2005 m.
0 lygis – 20 %
1 lygis – 35 proc.
2 lygis – 30 proc.
3 lygis – 15 proc.

Statistika rodo, kad didžioji dalis įmonių (55 proc.) šiuo metu yra įdiegusios minimalų reikalaujamą tradicinių techninių apsaugos priemonių kompleksą (1 lygis).

Diegiant įvairias technologijas ir saugumo priemones dažnai kyla klausimų. Ką pirmiausia įdiegti, įsibrovimo aptikimo sistemą ar PKI infrastruktūrą? Kuris bus efektyvesnis? Stephenas Rossas, „Deloitte&Touche“ direktorius, siūlo tokį individualių informacijos saugumo priemonių ir įrankių efektyvumo vertinimo metodą.

Remiantis aukščiau pateikta diagrama, matyti, kad brangiausi ir mažiausiai veiksmingi yra specializuoti įrankiai (vidiniai arba pagaminti pagal užsakymą).

Brangiausios, bet kartu ir efektyviausios yra 4 kategorijos apsaugos priemonės (2 ir 3 lygiai pagal Gartner Group). Norint įdiegti šios kategorijos įrankius, būtina naudoti rizikos analizės procedūrą. Rizikos analizė šiuo atveju užtikrins, kad įgyvendinimo sąnaudos atitiktų esamas informacijos saugumo pažeidimų grėsmes.

Pigiausios, bet aukšto efektyvumo lygio apima organizacines priemones (vidinį ir išorinį auditą, rizikos analizę, informacijos saugumo politiką, veiklos tęstinumo planą, reglamentus, procedūras, reglamentus ir vadovus).

Papildomų apsaugos priemonių įdiegimas (perėjimas prie 2 ir 3 lygių) reikalauja didelių finansinių investicijų ir atitinkamai pagrįstumo. Vadovybės patvirtintos ir pasirašytos vieningos ISMS plėtros programos nebuvimas dar labiau paaštrina investicijų į saugą pateisinimo problemą.

Rizikos analizė

Toks pagrindimas gali būti rizikos analizės rezultatai ir sukaupta statistika apie incidentus. Rizikos analizės vykdymo ir statistikos rinkimo mechanizmai turi būti nurodyti įmonės informacijos saugumo politikoje.

Rizikos analizės procesas susideda iš 6 nuoseklių etapų:

1. Saugomų objektų identifikavimas ir klasifikavimas (saugotini įmonės ištekliai);

3. Užpuoliko modelio kūrimas;

4. Grėsmių ir pažeidžiamumų identifikavimas, klasifikavimas ir analizė;

5. Rizikos įvertinimas;

6. Organizacinių priemonių ir techninių apsaugos priemonių parinkimas.

Scenoje apsaugos objektų identifikavimas ir klasifikavimas Būtina atlikti įmonės išteklių inventorizaciją šiose srityse:

• Informaciniai ištekliai (konfidenciali ir svarbi įmonės informacija);
• Programinės įrangos ištekliai (OS, DBVS, svarbios programos, pvz., ERP);
• Fiziniai ištekliai (serveriai, darbo vietos, tinklo ir telekomunikacijų įranga);
• Paslaugų ištekliai ( paštu, www ir kt.).

Suskirstymas į kategorijas yra nustatyti ištekliaus konfidencialumo ir kritiškumo lygį. Konfidencialumas reiškia informacijos, kuri saugoma, apdorojama ir perduodama ištekliais, slaptumo lygį. Kritiškumas reiškia resurso įtakos įmonės gamybos procesų efektyvumui laipsnį (pavyzdžiui, telekomunikacijų išteklių prastovos atveju tiekėja gali bankrutuoti). Priskirdami tam tikras kokybines reikšmes konfidencialumo ir kritiškumo parametrams, galite nustatyti kiekvieno ištekliaus reikšmingumo lygį, atsižvelgiant į jo dalyvavimą įmonės gamybos procesuose.

Norėdami nustatyti įmonės išteklių svarbą informacijos saugumo požiūriu, galite gauti šią lentelę:

Pavyzdžiui, failai su informacija apie įmonės darbuotojų atlyginimų lygį turi reikšmę „griežtai konfidenciali“ (konfidencialumo parametras) ir reikšmę „nereikšminga“ (kritiškumo parametras). Pakeitę šias vertes į lentelę, galite gauti vientisą šio šaltinio svarbos rodiklį. Įvairūs variantai skirstymo į kategorijas metodai pateikti tarptautiniame standarte ISO TR 13335.

Užpuoliko modelio kūrimas yra potencialių pažeidėjų klasifikavimo procesas pagal šiuos parametrus:

• Užpuoliko tipas (konkurentas, klientas, kūrėjas, įmonės darbuotojas ir kt.);
• Užpuoliko padėtis apsaugos objektų (vidaus, išorės) atžvilgiu;
• Žinių apie saugomus objektus ir aplinką lygis (aukštas, vidutinis, žemas);
• Galimybės pasiekti saugomus objektus lygis (maksimalus, vidutinis, minimalus);
• Veiksmo trukmė (nuolat, tam tikrais laiko intervalais);
• Veiksmo vieta (numatoma užpuoliko vieta atakos metu).

Priskiriant kokybines reikšmes išvardytiems užpuoliko modelio parametrams, galima nustatyti užpuoliko potencialą (neatsiejama užpuoliko galimybių įgyvendinti grėsmes savybė).

Grėsmių ir pažeidžiamumų identifikavimas, klasifikavimas ir analizė leidžia nustatyti būdus, kaip įgyvendinti atakas prieš saugomus objektus. Pažeidžiamumas – tai ištekliaus ar jo aplinkos savybės, kurias užpuolikas naudoja grėsmėms įgyvendinti. Programinės įrangos išteklių pažeidžiamumų sąrašą galima rasti internete.

Grėsmės klasifikuojamos pagal šiuos kriterijus:

• grėsmės pavadinimas;
• užpuoliko tipas;
• įgyvendinimo priemonės;
• išnaudotos pažeidžiamumo vietos;
• atlikti veiksmai;
• įgyvendinimo dažnumą.

Pagrindinis parametras yra grėsmės įgyvendinimo dažnis. Tai priklauso nuo „užpuoliko potencialo“ ir „išteklių saugumo“ parametrų verčių. „Išteklių saugumo“ parametro reikšmė nustatoma ekspertų vertinimais. Nustatant parametro reikšmę atsižvelgiama į subjektyvius užpuoliko parametrus: grėsmės įgyvendinimo motyvaciją ir statistiką iš bandymų įgyvendinti grėsmes. šio tipo(jei yra). Grėsmių ir pažeidžiamumo analizės etapo rezultatas yra kiekvienos grėsmės „įgyvendinimo dažnio“ parametro įvertinimas.

Scenoje rizikos vertinimai kiekvienam ištekliui ar išteklių grupei nustatoma galima žala dėl informacijos saugumo pažeidimų grėsmių.

Kokybinis žalos rodiklis priklauso nuo dviejų parametrų:

• Ištekliaus reikšmė;
• Šio šaltinio grėsmės įgyvendinimo dažnis.

Remiantis gautais žalos vertinimais, pagrįstai parenkamos tinkamos organizacinės priemonės ir techninėmis priemonėmis apsauga.

Statistikos apie incidentus kaupimas

Vienintelis siūlomos rizikos vertinimo metodikos trūkumas ir atitinkamai pagrindžiantis būtinybę diegti naujas ar keisti esamas apsaugos technologijas yra parametro „grėsmės atsiradimo dažnis“ nustatymas. Vienintelis būdas gauti objektyvias šio parametro vertes yra kaupti statistiką apie įvykius. Sukaupta statistika, pavyzdžiui, per metus, leis nustatyti grėsmių (tam tikro tipo) įgyvendinimų skaičių vienam ištekliui (tam tikro tipo). Patartina atlikti statistikos rinkimo darbą kaip incidentų apdorojimo procedūros dalį.