Sa kushton siguria e informacionit të një kompanie? Ekonomia e sigurisë së informacionit Kostot e një sistemi të sigurisë së informacionit

"Gazeta financiare. Numri rajonal", 2008, N 41

Në kushtet moderne, rëndësia e sigurimit siguria e informacionit. Rrjedhja më e vogël informacion konfidencial për konkurrentët mund të çojë në humbje të mëdha ekonomike për kompaninë, ndërprerje të prodhimit dhe madje edhe falimentim.

Qëllimet e sigurisë së informacionit janë: parandalimi i rrjedhjes, vjedhjes, humbjes, shtrembërimit dhe falsifikimit të informacionit; parandalimi i veprimeve të paautorizuara për të shkatërruar, modifikuar, shtrembëruar, kopjuar, bllokuar informacionin; parandalimin e formave të tjera të ndërhyrjeve të paligjshme në burimet e informacionit dhe sistemet e informacionit organizatave.

Kostot e mbrojtjes së informacionit përfshijnë kryesisht blerjen e mjeteve për të siguruar mbrojtjen e tij nga aksesi i paautorizuar. Ka shumë mjete për të garantuar sigurinë e informacionit, ato mund të ndahen në dy grupe të mëdha. E para janë fondet që kanë bazë materiale, si kasaforta, kamera CCTV, sisteme sigurie etj. Në kontabilitet ato llogariten si aktive fikse. E dyta janë mjetet që nuk kanë bazë materiale, siç janë programet antivirus, programet për kufizimin e aksesit në informacion në formë elektronike, etj. Le të shqyrtojmë veçoritë e kontabilitetit për mjete të tilla sigurie informacioni.

Kur blini një program për të garantuar sigurinë e informacionit, të drejtat ekskluzive për të nuk i kalojnë blerësit vetëm një kopje e mbrojtur e programit, të cilën blerësi nuk mund ta kopjojë ose shpërndajë. Prandaj, gjatë llogaritjes së programeve të tilla, duhet të udhëhiqet nga Kapitulli. VI "Kontabiliteti i transaksioneve që lidhen me dhënien (marrjen) e të drejtës së përdorimit të aktiveve jo-materiale" të PBU-së së re 14/2007 "Kontabiliteti i aktiveve jo-materiale".

Në raste të rralla, kur blini programe të sigurisë së informacionit, kompania fiton të drejta ekskluzive për produktin. Në këtë rast, programi do të kontabilizohet në kontabilitet si aktive jo-materiale (pasuri jo-materiale).

Sipas PBU 14/2007 në kontabilitet, aktivet jo-materiale të parashikuara për përdorim sipas kushteve marrëveshje licence, pagesat për të drejtën e përdorimit të të cilave bëhen në formën e një pagese fikse një herë dhe të drejtat ekskluzive për të cilat nuk i transferohen blerësit, duhet të merren parasysh nga marrësi si pjesë e shpenzimeve të shtyra dhe të pasqyrohen në një llogari jashtë bilancit (klauzola 39). Në këtë rast, periudha gjatë së cilës këto shpenzime do të shlyhen në llogaritë e kostos përcaktohet nga marrëveshja e licencës. Në kontabilitetin tatimor, kostot e blerjes së programeve për mbrojtjen e informacionit për qëllime të tatimit mbi fitimin merren parasysh si shpenzime të tjera dhe shlyhen në mënyrë të ngjashme - në pjesë të barabarta gjatë periudhës së përcaktuar në marrëveshjen e licencës (klauzola 26, pika 1, neni 264 i Kodi Tatimor i Federatës Ruse).

Nëse pagesa për të drejtën e përdorimit të një produkti softuer që siguron sigurinë e informacionit bëhet në formën e pagesave periodike, atëherë, sipas pikës 39 të PBU 14/2007, ato përfshihen nga përdoruesi në shpenzimet e periudhës raportuese në të cilën ato u bënë.

Në praktikë, marrëveshja e licencës nuk tregon gjithmonë periudhën e përdorimit software. Kur marrëdhënia ndërmjet të ardhurave dhe shpenzimeve nuk mund të përcaktohet qartë, në kontabilitetin tatimor shpenzimet për blerjen e programeve për mbrojtjen e informacionit shpërndahen nga tatimpaguesi në mënyrë të pavarur për efekt të llogaritjes së tatimit mbi të ardhurat, duke marrë parasysh parimin e njohjes uniforme të të ardhurave dhe shpenzimet (klauzola 1 e nenit 272 të Kodit Tatimor të Federatës Ruse). Në kontabilitet, periudha gjatë së cilës këto shpenzime do të fshihen nga llogaria 97 përcaktohet nga menaxhmenti i ndërmarrjes në bazë të kohës së pritshme të përdorimit të programit.

Shembulli 1. OJSC "Alfa" mori një kopje të licencuar program antivirus nga Betta LLC për 118,000 rubla, përfshirë TVSH-në (18%). Marrëveshja e licencës përcakton një periudhë përdorimi të programit prej 9 muajsh.

Në të dhënat e kontabilitetit të OJSC Alfa, programi duhet të merret parasysh si më poshtë:

Dt 60, Kt 51 - 118,000 fshij. - kostoja e softuerit i paguhet furnizuesit;

D-t 60, K-t 97 - 100,000 fshij. - programi i marrë pasqyrohet si shpenzime të shtyra;

D-t 002 - 100,000 fshij. - programi i marrë pasqyrohet në llogarinë jashtë bilancit;

D-t 19, K-t 60 - 18,000 fshij. - TVSH e alokuar;

Dt 68, Kt 19 - 18,000 fshij. - pranohet për zbritje të TVSH-së;

D-t 26 (44), K-t 97 - 11,111,11 fshij. (100,000 RUB: 9 muaj) - çdo muaj për 9 muaj, kostoja e programit antivirus fshihet në pjesë të barabarta si shpenzime.

Le të ndryshojmë kushtet e shembullit 1: le të themi se Alfa OJSC e bën pagesën jo menjëherë, por me këste të barabarta gjatë gjithë afatit të marrëveshjes së licencës. Shuma e pagesës do të jetë 11,800 rubla. për çdo muaj, përfshirë TVSH-në.

Në këtë rast, regjistrimet e mëposhtme do të bëhen në kontabilitet:

D-t 002 - 90,000 fshij. (RUB 10,000 x 9 muaj) - programi i marrë pasqyrohet në llogarinë jashtë bilancit;

D-t 60, K-t 51 - 11,800 fshij. - kostoja e produktit softuerik i paguhet furnizuesit çdo muaj për 9 muaj;

D-t 19, K-t 60 - 1800 fshij. - TVSH e alokuar;

D-t 26 (44), K-t 60 - 10,000 fshij. - kostoja e programit shlyhet si shpenzim;

D-t 68, K-t 19 - 1800 fshij. - pranohet për zbritje të TVSH-së.

Shpesh, përpara skadimit të marrëveshjes së licencës, kompania që zhvillon programe të sigurisë së informacionit lëshon një përditësim. Në këtë rast, shpenzimet në kontabilitet dhe kontabilitet tatimor do të pranohen në momentin e rinovimit.

Është gjithashtu një praktikë e zakonshme që një kompani zhvillimi t'u sigurojë softuerin e saj organizatave për një periudhë të shkurtër kohe për vlerësim. Për të pasqyruar saktë programin e sigurisë së informacionit të marrë falas, ai duhet të merret parasysh si pjesë e të ardhurave të shtyra me vlerën e tregut.

Shembulli 2. LLC "Betta" i dha OJSC "Alfa" softuerin e sigurisë së informacionit pa pagesë për shqyrtim për një periudhë 3 mujore. Çmimi i tregut i këtij produkti softuer është 3300 rubla.

Regjistrimet e mëposhtme duhet të bëhen në regjistrat e kontabilitetit të Alfa OJSC:

D-t 97, K-t 98 - 3300 fshij. - softueri i marrë pa pagesë është pranuar për kontabilitet;

D-t 98, K-t 91 - 1100 fshij. - mujore për tre muaj, një pjesë e të ardhurave të shtyra pranohen si të ardhura të tjera.

Në kontabilitetin tatimor, të ardhurat nga një program i marrë falas do të pranohen gjithashtu brenda tre muajve (klauzola 2 e nenit 271 të Kodit Tatimor të Federatës Ruse).

Kostot e mbrojtjes së informacionit përfshijnë jo vetëm blerjen e mjeteve të sigurisë së informacionit, por edhe kostot e shërbimeve të këshillimit (informacionit) për mbrojtjen e informacionit (që nuk lidhen me blerjen e aktiveve jo-materiale, aktiveve fikse ose aktiveve të tjera të organizatës). Sipas pikës 7 të PBU 10/99 "Shpenzimet e organizatës", kostot për shërbimet e konsulencës në kontabilitet përfshihen në shpenzimet për aktivitete të zakonshme në periudhën raportuese kur ato janë kryer. Në kontabilitetin tatimor, ato klasifikohen si shpenzime të tjera që lidhen me prodhimin dhe shitjen e produkteve (klauzola 15, pika 1, neni 264 i Kodit Tatimor të Federatës Ruse).

Shembulli 3. LLC "Betta" ofroi shërbime këshillimi për sigurinë e informacionit për OJSC "Alpha" për një shumë totale prej 59,000 rubla, përfshirë TVSH - 9,000 rubla.

Regjistrimet e mëposhtme duhet të bëhen në regjistrat e kontabilitetit të Alfa OJSC:

D-t 76, K-t 51 - 59,000 fshij. - paguar për shërbime konsulence;

Dt 26 (44), Kt 76 - 50,000 fshij. - shërbimet e konsulencës për sigurinë e informacionit fshihen si shpenzime për veprimtari të zakonshme;

Dt 19, Kt 76 - 9000 fshij. - TVSH e alokuar;

Dt 68, Kt 19 - 9000 fshij. - pranohet për zbritje të TVSH-së.

Ndërmarrjet që përdorin sistemin e thjeshtuar tatimor si shpenzime që ulin bazën e tatueshme për tatimin mbi të ardhurat, sipas paragrafëve. 19 pika 1 neni. 346.16 i Kodit Tatimor të Federatës Ruse do të jetë në gjendje të pranojë vetëm kostot për blerjen e programeve që sigurojnë sigurinë e informacionit. Kostot për shërbimet e konsulencës për sigurinë e informacionit në Art. 346.16 i Kodit Tatimor të Federatës Ruse nuk përmendet, prandaj, për qëllime të tatimit mbi fitimin, organizatat nuk kanë të drejtë t'i pranojnë ato.

V. Shchanikov

Ndihmës Auditori

departamenti i auditimit

Baker Tilly Rusaudit LLC

Kompanitë e mëdha tregtare shpenzojnë rreth 1% të të ardhurave vjetore për të siguruar sigurinë fizike të biznesit të tyre. Siguria e ndërmarrjes është i njëjti burim si teknologjia dhe mjetet e prodhimit. Por kur bëhet fjalë për mbrojtjen dixhitale të të dhënave dhe shërbimeve, llogaritja e rreziqeve financiare dhe kostove të nevojshme bëhet e vështirë. Ne do t'ju tregojmë se sa para nga buxheti i TI-së mund të ndahen në mënyrë të arsyeshme për sigurinë kibernetike dhe nëse ka një grup minimal mjetesh me të cilat mund të përballeni.

Kostot e sigurisë së informacionit po rriten

Organizatat e biznesit në mbarë botën, sipas raporti Gartner shpenzoi rreth 87 miliardë dollarë për nevojat e sigurisë kibernetike në vitin 2017, duke përfshirë softuerin, shërbimet e specializuara dhe harduerin. Kjo është 7% më shumë se në vitin 2016. Këtë vit shifra pritet të arrijë në 93 miliardë, ndërsa vitin e ardhshëm do të kalojë shifrën 100.

Sipas ekspertëve, në Rusi vëllimi i tregut të shërbimeve të sigurisë së informacionit është rreth 55-60 miliardë rubla (rreth 900 mijë dollarë). 2/3 e saj mbulohet nga urdhrat e qeverisë. Në sektorin e korporatave, pjesa e kostove të tilla varet shumë nga forma e ndërmarrjes, gjeografia dhe fusha e veprimtarisë.

Mesatarisht bankat dhe institucionet financiare vendase investojnë në sigurinë e tyre kibernetike 300 milion rubla në vit, industrialistët - deri në 50 milion, kompanitë e rrjetit (me pakicë) - nga 10 në 50 milion.

Por shifrat e rritjes tregu rus siguria kibernetike ka qenë 1.5-2 herë më e lartë se në shkallë globale për disa vite tani. Në vitin 2017, rritja ishte 15% (në paratë e klientëve) krahasuar me vitin 2016. Në fund të vitit 2018, mund të dalë edhe më solid.

Normat e larta të rritjes shpjegohen me ringjalljen e përgjithshme të tregut dhe vëmendjen në rritje të ndjeshme të organizatave ndaj sigurisë reale të infrastrukturës së tyre IT dhe sigurisë së të dhënave. Kostot e ndërtimit të një sistemi të sigurisë së informacionit tani konsiderohen si investime, ato janë planifikuar paraprakisht, dhe jo thjesht të marra në baza të mbetura.

Teknologjitë pozitivepikat kryesore tre nxitës të rritjes:

1. Incidentet e profilit të lartë të 1,5-2 viteve të fundit kanë çuar në faktin se sot vetëm dembelët nuk e kuptojnë rolin e sigurisë së informacionit për stabilitetin financiar të një ndërmarrje. Një në pesë menaxherë të lartë shprehin interes për sigurinë praktike në kontekstin e biznesit të tyre.

Viti i kaluar ka qenë udhëzues për bizneset që injorojnë bazën . Mungesa e përditësimeve të përditësuara dhe zakoni për të punuar pa i kushtuar vëmendje dobësive çoi në mbylljen e fabrikave të Renault në Francë, Honda dhe Nissan në Japoni; Bankat, kompanitë e energjisë dhe telekomunikacionit vuajtën. Për Maersk, për shembull, kushtonte 300 milionë dollarë në të njëjtën kohë.

1. Epidemitë e viruseve ransomware WannaCry, NotPetya, Bad Rabbit u mësuan kompanive vendase se instalimi i antiviruseve dhe mureve të zjarrit nuk mjafton për t'u ndjerë të sigurt. Keni nevojë për një strategji gjithëpërfshirëse, një inventar të aseteve tuaja të TI-së, burime të dedikuara dhe një strategji reagimi ndaj kërcënimeve.
2. Në një farë kuptimi, tonin e vendos shteti, i cili ka shpallur një kurs drejt një ekonomie dixhitale, duke përfshirë të gjitha fushat (nga shëndetësia dhe arsimi deri te transporti dhe financat). Kjo politikë ka një ndikim të drejtpërdrejtë në rritjen e sektorit të IT në përgjithësi dhe sigurinë e informacionit në veçanti.

Kostoja e dobësive në sigurinë e informacionit

E gjithë kjo është udhëzuese, por çdo biznes është një histori unike. Çështja se sa duhet shpenzuar për sigurinë e informacionit nga buxheti i përgjithshëm i IT-së i kompanisë, megjithëse nuk është i saktë, është, nga këndvështrimi i klientit, më urgjenca.

Kompania ndërkombëtare kërkimore IDC duke përdorur shembullin e tregut kanadez thirrjet optimale është 9.8-13.7% e investimeve në sigurinë kibernetike nga buxheti total i IT në organizatë. Kjo do të thotë, tani biznesi kanadez shpenzon mesatarisht rreth 10% për këto nevoja (besohet se ky është një tregues i një kompanie të shëndetshme), por, duke gjykuar nga sondazhet, ata do të donin që të ishte më afër 14%.

Nuk ka kuptim që kompanitë të hamendësojnë se sa shumë duhet të shpenzojnë për sigurinë e tyre të informacionit në mënyrë që të ndiejnë paqe mendore. Sot, vlerësimi i rreziqeve nga incidentet e sigurisë kibernetike nuk është më i vështirë sesa llogaritja e humbjeve nga kërcënimet fizike. Ekziston një në mbarë botën statistikat , sipas të cilit:

• Sulmet e hakerëve i kushtojnë ekonomisë globale më shumë se 110 miliardë dollarë në vit.
• Për bizneset e vogla, çdo incident kushton mesatarisht 188,000 dollarë.
• 51% e hakimeve në vitin 2016 ishin të shënjestruara, pra të organizuara nga grupe kriminale kundër një kompanie të caktuar.
• 75% e sulmeve ndodhin me qëllim të shkaktimit të dëmeve materiale dhe janë të motivuara financiarisht.

Kaspersky Lab mbajti në shkallë të gjerë studim . Sipas një sondazhi të 6 mijë specialistëve të kompanive në mbarë botën, dëmet nga hakimet e rrjetit të korporatave dhe rrjedhjet e të dhënave janë rritur me 20-30% gjatë dy viteve të fundit.

Kostoja mesatare e dëmit që nga shkurti 2018 për organizatat tregtare, pavarësisht nga madhësia ose fusha e veprimtarisë, ishte 1.23 milion dollarë. Për SME-të, një gabim personeli ose veprime të suksesshme nga hakerët kushtojnë 120 mijë dollarë.

Studim fizibiliteti për sigurinë e informacionit

Për të vlerësuar saktë burimet financiare të nevojshme për të organizuar sigurinë e informacionit në një ndërmarrje, është e nevojshme të hartohet një studim fizibiliteti.

1. Ne kryejmë një inventar të infrastrukturës së TI-së dhe vlerësojmë rreziqet, duke përpiluar një listë të dobësive në rend zbritës të rëndësisë së tyre. Kjo përfshin gjithashtu humbjet e reputacionit (rritje të normave të sigurimit, ulje të vlerësimit të kredisë, kosto të shërbimit joproduktive) dhe koston e restaurimit të sistemit (përditësimi i harduerit dhe softuerit).
2. Ne përshkruajmë detyrat që duhet të zgjidhë sistemi i sigurisë së informacionit.
3. Ne zgjedhim pajisje dhe mjete për të zgjidhur problemet dhe për të përcaktuar koston e tyre.

Nëse kompania nuk ka kompetencat për të vlerësuar kërcënimet dhe rreziqet e sigurisë kibernetike, gjithmonë mund të porosisni një auditim të sigurisë së informacionit nga jashtë. Sot kjo procedurë është e shkurtër, e lirë dhe pa dhimbje.

Ekspertë për kompani industriale me një nivel të lartë të automatizimit të procesit rekomandoj përdorni një model të arkitekturës adaptive të sigurisë (Arkitekturë e Sigurisë Përshtatëse), propozuar në 2014 nga Gartner. Kjo ju lejon të rishpërndani saktë kostot e sigurisë së informacionit, duke i kushtuar më shumë vëmendje mjeteve të zbulimit dhe reagimit të kërcënimeve, dhe nënkupton zbatimin e një sistemi monitorimi dhe analitik për infrastrukturën e IT.

Sa kushton siguria kibernetike për kompanitë e vogla?

Autorët e blogut Capterra vendosën numëroj , sa kushton mesatarisht një sistem sigurie informacioni për bizneset e vogla dhe të mesme në vitin e parë të përdorimit. Për këtë qëllim u zgjodh listë nga 50 oferta të njohura “boxed” në treg.

Doli se diapazoni i çmimeve është mjaft i gjerë: nga 50 dollarë në vit (ka edhe 2-3 zgjidhje falas për kompanitë e vogla) deri në 6 mijë dollarë (ka paketa të vetme prej 24 mijë, por ato nuk janë përfshirë në llogaritje). Mesatarisht, një biznes i vogël mund të presë të shpenzojë 1,400 dollarë për të ndërtuar një sistem bazë të mbrojtjes së sigurisë kibernetike.

Zgjidhjet teknike më të lira, të tilla si VPN e biznesit ose mbrojtja me email, do të ndihmojnë në mbrojtjen kundër llojeve specifike të kërcënimeve (për shembull, phishing)

Në anën tjetër të spektrit janë sistemet e monitorimit të plotë me mjete "të avancuara" për t'iu përgjigjur ngjarjeve dhe mbrojtje gjithëpërfshirëse. Ato ndihmojnë në mbrojtjen rrjeti i korporatës nga sulmet në shkallë të gjerë dhe ndonjëherë edhe bëjnë të mundur parashikimin e shfaqjes së tyre dhe ndalimin e tyre në fazat e hershme.

Një kompani mund të zgjedhë disa modele pagese për një sistem sigurie informacioni:

• Çmimi për licencë Çmimi mesatar – $1000-2000, ose nga $26 në $6000 për licencë.
• Çmimi për përdorues. Kostoja mesatare e një sistemi sigurie informacioni për përdorues në një kompani është 37 dollarë, diapazoni është nga 4 deri në 130 dollarë për person në muaj.
• Çmimi për pajisje të lidhur. Kostoja mesatare për këtë model është 2,25 dollarë për pajisje. Çmimet variojnë nga 0,96 dollarë në 4,5 dollarë në muaj.

Për të llogaritur saktë kostot e sigurisë së informacionit, edhe një kompani e vogël do të duhet të zbatojë bazat e menaxhimit të rrezikut. Incidenti i parë (faqja e internetit, shërbimi u rrëzua, sistemi i pagesave), e cila nuk mund të korrigjohet brenda 24 orëve, mund të çojë në mbylljen e biznesit.

Investoni në teknologji të ndryshme siguria kompjuterike- nga platformat për pagesën e shpërblimeve për zbulimin e dobësive në programe deri te diagnostikimi dhe testimi i automatizuar i programeve. Por mbi të gjitha ata tërhiqen nga teknologjitë e vërtetimit dhe menaxhimit të informacionit të identitetit - rreth 900 milionë dollarë u investuan në startup-et që merren me këto teknologji në fund të vitit 2019.

Investimet në startup-et e trajnimit të sigurisë kibernetike arritën në 418 milionë dollarë në vitin 2019, të udhëhequra nga KnowBe4, e cila mblodhi 300 milionë dollarë.

Në vitin 2019, kompanitë e përfshira në sigurinë e Internetit të Gjërave morën rreth 412 milionë dollarë. Lider në këtë kategori për sa i përket vëllimit të investimeve është SentinelOne, e cila në vitin 2019 ka marrë 120 milionë dollarë për zhvillimin e teknologjive të mbrojtjes së pikës së fundit.

Në të njëjtën kohë, analistët e Metacurity japin të dhëna të tjera që karakterizojnë situatën në tregun e financimit të sipërmarrjeve në sektorin e sigurisë së informacionit. Në vitin 2019, vëllimi i investimeve këtu arriti në 6.57 miliardë dollarë, duke u rritur nga 3.88 miliardë dollarë në 2018. U rrit edhe numri i transaksioneve - nga 133 në 219. Në të njëjtën kohë, vëllimi mesatar i investimeve për transaksion mbeti praktikisht i pandryshuar dhe arriti në 29.2 milionë në fund të vitit 2019, siç llogaritet nga Metacurity.

2018

Rritja me 9% në 37 miliardë dollarë - Canalys

Në vitin 2018, shitjet e pajisjeve, softuerëve dhe shërbimeve të destinuara për sigurinë e informacionit (IS) arritën në 37 miliardë dollarë, një rritje prej 9% krahasuar me një vit më parë (34 miliardë dollarë). Të dhëna të tilla u publikuan nga analistët e Canalys më 28 mars 2019.

Pavarësisht se shumë kompani kanë prioritet mbrojtjen e aseteve, të dhënave, pikave përfundimtare, rrjeteve, punonjësve dhe klientëve të tyre, siguria kibernetike përbën vetëm 2% të shpenzimeve totale të IT në 2018, thanë ata. Megjithatë, gjithnjë e më shumë kërcënime të reja po shfaqen, ato po bëhen më komplekse dhe më të shpeshta, gjë që u ofron prodhuesve të zgjidhjeve të sigurisë së informacionit mundësi të reja për rritje. Shpenzimet totale për sigurinë kibernetike pritet të kalojnë 42 miliardë dollarë në vitin 2020.

Analisti i Canalys Matthew Ball beson se kalimi në modele të reja të zbatimit të sigurisë së informacionit do të përshpejtohet. Klientët po ndryshojnë natyrën e buxheteve të tyre të TI-së duke përdorur publikun shërbimet cloud dhe shërbime fleksibël të bazuara në abonim.

Rreth 82% e projekteve të vendosjes së sigurisë së informacionit në 2018 përfshinin përdorimin e harduerit dhe softuerit tradicional. Në 18% të rasteve të mbetura janë përdorur virtualizimi, retë publike dhe shërbimet e sigurisë së informacionit.

Deri në vitin 2020, pjesa e modeleve tradicionale për vendosjen e sistemeve të sigurisë së informacionit do të bjerë në 70%, pasi zgjidhjet e reja në treg po fitojnë popullaritet.

Sipas analistit të Canalys, Ketaki Borade, shitësit kryesorë të teknologjisë së sigurisë kibernetike kanë prezantuar modele të reja të shpërndarjes së produkteve që përfshijnë kompanitë që lëvizin drejt një modeli abonimi dhe rrisin operacionet në infrastrukturën cloud.

2017

Shpenzimet e sigurisë kibernetike kaluan 100 miliardë dollarë

Në vitin 2017, shpenzimet globale për sigurinë e informacionit (IS) - produkte dhe shërbime - arritën në 101.5 miliardë dollarë, tha kompania kërkimore Gartner në mesin e gushtit 2018. Në fund të vitit 2017, ekspertët e vlerësuan këtë treg në 89.13 miliardë dollarë.

Ekspertët besojnë se një nga faktorët kryesorë që kontribuon në rritjen e kostove të sigurisë së informacionit është futja e metodave të reja të zbulimit dhe reagimit ndaj kërcënimeve, të cilat u bënë prioriteti kryesor i sigurisë për organizatat në vitin 2018.

Sipas vlerësimeve të Gartner, në vitin 2017, organizatat e shpenzuara për shërbimet e mbrojtjes kibernetike tejkaluan 52.3 miliardë dollarë në vitin 2018, këto kosto do të rriten në 58.9 miliardë dollarë.

Në vitin 2017, kompanitë shpenzuan 2.4 miliardë dollarë për mbrojtjen e aplikacioneve, 2.6 miliardë dollarë për mbrojtjen e të dhënave dhe 185 milionë dollarë për mbrojtjen e shërbimeve cloud.

Shitjet vjetore të zgjidhjeve për menaxhimin e identitetit dhe aksesit (Identity And Access Management) rezultuan të jenë të barabarta me 8.8 miliardë dollarë.

Studimi tregon gjithashtu kosto prej 10.9 miliardë dollarësh për pajisjet e përdorura për të siguruar siguria e rrjetit. Prodhuesit e tyre fituan 3.9 miliardë dollarë nga sistemet e menaxhimit të rrezikut të sigurisë së informacionit.

Shpenzimet e sigurisë kibernetike të konsumatorëve për vitin 2017 vlerësohen nga analistët në 5.9 miliardë dollarë, sipas një studimi të Gartner.

Gartner vlerësoi madhësinë e tregut në 89.13 miliardë dollarë

Në dhjetor 2017, u bë e ditur se shpenzimet globale të kompanive për sigurinë e informacionit (IS) në 2017 do të arrinin në 89.13 miliardë dollarë Sipas Gartner, shpenzimet e korporatave për sigurinë kibernetike do të tejkalojnë shumën e vitit 2016 prej 82.2 miliardë dollarësh me pothuajse 7 miliardë dollarë.

Ekspertët konsiderojnë se shërbimet e sigurisë së informacionit janë zëri më i madh i shpenzimeve: në vitin 2017, kompanitë do të ndajnë mbi 53 miliardë dollarë për këto qëllime krahasuar me 48.8 miliardë dollarë në 2016. Segmenti i dytë më i madh i tregut të sigurisë së informacionit janë zgjidhjet e mbrojtjes së infrastrukturës, kostot e të cilave në vitin 2017 do të arrijnë në 16.2 miliardë dollarë në vend të 15.2 miliardë dollarëve një vit më parë. Pajisjet e sigurisë së rrjetit janë në vendin e tretë (10.93 miliardë dollarë).

Struktura e shpenzimeve të sigurisë së informacionit përfshin gjithashtu softuerin e konsumatorit për sigurinë e informacionit dhe sistemet e identifikimit dhe menaxhimit të aksesit (Identity and Access Management, IAM). Gartner vlerëson kostot në këto zona në vitin 2017 në 4.64 miliardë dhe 4.3 miliardë dollarë, ndërsa në vitin 2016 shifrat ishin përkatësisht 4.57 miliardë dhe 3.9 miliardë dollarë.

Analistët presin rritje të mëtejshme në tregun e sigurisë së informacionit: në vitin 2018, organizatat do të rrisin shpenzimet për mbrojtjen kibernetike me 8% të tjera dhe do të ndajnë një total prej 96.3 miliardë dollarësh për këto qëllime ndërgjegjësimi për kërcënimet e reja dhe strumbullari i kompanive drejt një strategjie biznesi dixhitale.

Fjalët e analistit konfirmohen nga të dhënat e marra nga Gartner në vitin 2016 gjatë një sondazhi që përfshin 512 organizata nga tetë vende: Australia, Kanadaja, Franca, Gjermania, India, Singapori dhe SHBA.

53% e të anketuarve emëruan rreziqet e sigurisë kibernetike si forcën kryesore lëvizëse pas rritjes së shpenzimeve për sigurinë kibernetike. Nga ky numër, më së shumti përqindje e lartë nga të anketuarit thanë se kërcënimi i sulmeve kibernetike ndikon më së shumti në vendimmarrje mbi kostot e sigurisë së informacionit.

Parashikimi i Gartner për vitin 2018 kërkon rritje të shpenzimeve në të gjitha fushat kryesore. Kështu, rreth 57,7 miliardë dollarë (+ 4,65 miliardë dollarë) do të shpenzohen për shërbimet e mbrojtjes kibernetike, rreth 17,5 miliardë dollarë (+ 1,25 miliardë dollarë) do të shpenzohen për sigurimin e infrastrukturës dhe 11,67 miliardë dollarë (+ 735 milion dollarë), për softuerin e konsumatorit - 4,74 miliardë dollarë ( +109 milion dollarë) dhe për sistemet IAM - 4.69 miliardë dollarë (+416 milion dollarë).

Analistët besojnë gjithashtu se deri në vitin 2020, më shumë se 60% e organizatave në botë do të investojnë njëkohësisht në disa mjete për mbrojtjen e të dhënave, duke përfshirë parandalimin e humbjes së informacionit, enkriptimin dhe mjetet e auditimit. Në fund të vitit 2017, pjesa e kompanive që blejnë zgjidhje të tilla vlerësohej në 35%.

Një tjetër zë i rëndësishëm i shpenzimeve të korporatave për sigurinë e informacionit do të jetë përfshirja e specialistëve të palëve të treta. Pritet që, në sfondin e mungesës së personelit në fushën e sigurisë kibernetike, kompleksitetit teknik në rritje të sistemeve të sigurisë së informacionit dhe rritjes së kërcënimeve kibernetike, kostot e kompanisë për kontraktimin e sigurisë së informacionit në 2018 do të rriten me 11% dhe do të arrijnë në 18.5 miliardë dollarë. .

Gartner vlerëson se deri në vitin 2019, shpenzimet e korporatave për ekspertët e palëve të treta të sigurisë kibernetike do të përbëjnë 75% të totalit të shpenzimeve të softuerit dhe harduerit të sigurisë kibernetike, nga 63% në 2016.

IDC parashikon që madhësia e tregut të jetë 82 miliardë dollarë

Dy të tretat e kostove do të vijnë nga kompanitë e klasifikuara si biznese të mëdha dhe shumë të mëdha. Deri në vitin 2019, sipas analistëve të IDC, kostot e korporatave me më shumë se 1000 punonjës do të kalojnë shifrën 50 miliardë dollarë.

2016: Vëllimi i tregut 73.7 miliardë dollarë, rritje 2 herë më shumë se tregu i IT

Në tetor 2016, kompania analitike IDC prezantoi rezultate të shkurtra të një studimi të tregut global të sigurisë së informacionit. Rritja e saj pritet të jetë dyfishi i asaj të tregut të IT.

IDC llogarit se shitjet globale të pajisjeve, softuerëve dhe shërbimeve për mbrojtjen kibernetike do të arrijnë rreth 73.7 miliardë dollarë në vitin 2016, dhe në vitin 2020 kjo shifër do të kalojë 100 miliardë dollarë, duke arritur në 101.6 miliardë dollarë. teknologjia do të rritet me një normë mesatare prej 8.3% në vit, që është dyfishi i ritmit të rritjes së pritur të industrisë së IT.

Shpenzimet më të mëdha të sigurisë së informacionit (8.6 miliardë dollarë) në fund të vitit 2016 priten në banka. Në vendin e dytë, të tretë dhe të katërt për nga madhësia e këtyre investimeve do të jenë përkatësisht ndërmarrjet e prodhimit diskrete, agjencitë qeveritare dhe ndërmarrjet e prodhimit të vazhdueshëm, të cilat do të përbëjnë rreth 37% të shpenzimeve.

Analistët japin drejtimin në dinamikën e rritjes së investimeve të sigurisë së informacionit në kujdesin shëndetësor (një rritje mesatare vjetore prej 10.3% pritet në 2016-2020). Kostot e mbrojtjes kibernetike në sektorin e telekomit, strehimit, agjencive qeveritare dhe në tregun e investimeve dhe letrave me vlerë do të rriten me rreth 9% në vit.

Studiuesit e quajnë tregun amerikan tregun më të madh të sigurisë së informacionit, vëllimi i të cilit do të arrijë në 31.5 miliardë dollarë në vitin 2016. Tre të parët do të përfshijnë gjithashtu Evropën Perëndimore dhe rajonin Azi-Paqësor (me përjashtim të Japonisë). Nuk ka asnjë informacion për tregun rus në versionin e shkurtër të studimit IDC.

Drejtor i përgjithshëm Kompani ruse"Security Monitor" Dmitry Gvozdev parashikon një rritje të pjesës së shërbimeve në shpenzimet totale të sigurisë ruse nga 30-35% në 40-45%, dhe gjithashtu parashikon zhvillimin e strukturës së klientit të tregut - nga mbizotërimi total i qeverisë , sektorët financiarë dhe energjetikë drejt ndërmarrjeve të mesme nga një gamë më e gjerë industrish.

2015

MADHËSIA E TREGUT

SHPENZIMET FEDERALE

KRIMI KIBER

KOSTOT PËR SHKELJE

SHËRBIMET FINANCIARE

Ndërkombëtare

ANALITIKA E SIGURISË

2013: Tregu EMEA u rrit në 2.5 miliardë dollarë.

Vëllimi i tregut të pajisjeve të sigurisë në rajonin EMEA (Evropë, Lindja e Mesme dhe Afrikë) u rrit me 2.4% krahasuar me vitin 2012 dhe arriti në 2.5 miliardë dollarë tregu në shqyrtim rrjetet kompjuterike– Zgjidhjet UTM (Menaxhimi i unifikuar i kërcënimeve). Në të njëjtën kohë, IDC parashikoi që tregu i pajisjeve të sigurisë së informacionit deri në vitin 2018 do të arrijë në 4.2 miliardë dollarë në vlerë me një rritje mesatare vjetore prej 5.4%.

Në fund të vitit 2013, pozicioni kryesor midis furnizuesve për sa i përket të ardhurave nga shitja e pajisjeve të sigurisë së informacionit në rajonin EMEA u mor nga Check Point. Sipas IDC, të ardhurat e shitësit në këtë segment për vitin 2013 u rritën me 3.8% dhe arritën në 374.64 milionë dollarë, që korrespondon me një pjesë tregu prej 19.3%.

2012: Parashikimi i PAC: Tregu i sigurisë së informacionit do të rritet me 8% në vit

Tregu global i sigurisë së informacionit do të rritet me 8% çdo vit deri në vitin 2016, kur mund të arrijë në 36 miliardë euro, raportoi studimi.

Anketa globale e rreziqeve të sigurisë së korporatave të Kaspersky Lab është një analizë vjetore e tendencave në sigurinë e informacionit të korporatave në mbarë botën. Ne konsiderojmë aspekte të tilla të rëndësishme të sigurisë kibernetike si madhësia e kostove të sigurisë së informacionit, llojet aktuale të kërcënimeve për lloje të ndryshme kompanish dhe pasojat financiare të përballjes me këto kërcënime. Përveç kësaj, duke mësuar nga drejtuesit rreth parimeve të buxhetimit të sigurisë së informacionit, ne mund të shohim se si kompanitë në rajone të ndryshme të botës po reagojnë ndaj ndryshimeve në peizazhin e kërcënimit.

Në vitin 2017, ne kërkuam të kuptonim nëse kompanitë po e shohin sigurinë e informacionit si një faktor kostoje (një e keqe e nevojshme për të cilën detyrohen të ndajnë para) apo po fillojnë ta konsiderojnë atë një investim strategjik (d.m.th., një mjet për të siguruar vazhdimësinë e biznesit që ofron përfitime të rëndësishme në një epokë të kërcënimeve kibernetike me zhvillim të shpejtë).

Kjo është shumë pyetje e rëndësishme, veçanërisht pasi buxhetet e TI-së ishin në rënie në shumicën e rajoneve të botës.

Në Rusi, megjithatë, në vitin 2017 pati një rritje të lehtë të buxhetit mesatar të alokuar për sigurinë - 2%. Buxheti mesatar i sigurisë së informacionit në Rusi ishte rreth 15.4 milion rubla.

Ky raport hedh një vështrim më të afërt në llojet e kërcënimeve me të cilat përballen kompanitë e të gjitha madhësive, si dhe modelet tipike në shpërndarjen e kostove të IT.

Informacion i përgjithshëm dhe metodologjia e kërkimit

Anketa globale e Kaspersky Lab për rreziqet e sigurisë së IT-së është një anketë e drejtuesve që menaxhojnë shërbimet e TI-së të organizatave të tyre, e cila kryhet çdo vit që nga viti 2011.

Të dhënat më të fundit janë mbledhur në mars dhe prill 2017. U anketuan gjithsej 5274 të anketuar nga më shumë se 30 vende, duke mbuluar kompani të të gjitha madhësive.

Raporti ndonjëherë përdor përcaktimet e mëposhtme: biznes i vogël - më pak se 50 punonjës, SMB (biznes i mesëm dhe i vogël - nga 50 në 250 punonjës) dhe biznes i madh (kompani me më shumë se 250 punonjës). Raporti aktual paraqet një analizë të parametrave më zbulues nga anketa.

Gjetjet kryesore:

Është duke u bërë më e vështirë për kompanitë e të gjitha madhësive të luftojnë kërcënimet kibernetike dhe kostot e mbrojtjes po rriten gjithashtu. Në Rusi, në segmentin e bizneseve të mesme dhe të vogla, kostoja mesatare e eliminimit të pasojave të vetëm një incidenti kibernetik është 1.6 milion rubla, dhe për segmentin e biznesit të madh kostot janë 16.1 milion rubla.

Pjesa e buxhetit të IT-së e ndarë për sigurinë e informacionit po rritet. Kjo është tipike për kompanitë e çdo madhësie. Buxheti i përgjithshëm mbetet i ulët, dhe në Rusi rritja ishte vetëm 2%, kështu që specialistët janë të detyruar të kryejnë detyrat e tyre me pak burime.

Dëmi nga një incident i vetëm po rritet dhe kompanitë që nuk i japin përparësi kostove të sigurisë së informacionit mund të gjenden së shpejti në telashe serioze. Studimi tregoi se në segmentin SMB, kompanitë shpenzojnë rreth 300 mijë rubla për çdo incident sigurie për pagesa shtesë për stafin, dhe korporatat e mëdha mund të shpenzojnë 2.7 milion rubla për të zvogëluar dëmtimin e markës.

Dëme nga incidentet e sigurisë

Numri i incidenteve të sigurisë kibernetike është në rritje, me kompanitë që duhet të përballen me një sërë pasojash, nga marrëdhëniet shtesë me publikun deri te punësimi i punonjësve të rinj. Në vitin 2017, ka pasur një rritje të mëtejshme të humbjeve financiare në rast të shkeljeve të integritetit të të dhënave. Kjo duhet të ndryshojë mënyrën se si kompanitë i qasen kësaj çështjeje: kompanitë nuk do t'i shohin kostot e sigurisë kibernetike si një të keqe të domosdoshme dhe do të fillojnë t'i shohin ato si investime që do t'i lejojnë ata të shmangin humbje të konsiderueshme financiare në rast të një sulmi.

Shkeljet serioze të të dhënave janë gjithnjë e më të kushtueshme

Shqetësimi më i madh për CTO-të janë sulmet masive që rezultojnë në zbulimin e miliona të dhënave. Të tilla ishin sulmet ndaj Shërbimit Shëndetësor Kombëtar (NHS) të Britanisë së Madhe, Sony, apo hakimi i kanalit televiziv HBO me nxjerrjen e të dhënave konfidenciale në lidhje me serialin "Game of Thrones". Megjithatë, në realitet, incidente të tilla të mëdha janë përjashtim dhe jo rregull. Deri vitin e kaluar, shumica e sulmeve kibernetike nuk ishin kryefjala e lajmeve dhe mbetën krahina e raporteve speciale për specialistët. Sigurisht, epidemitë e ransomware kanë ndryshuar pak situatën, por ende segmenti i korporatave të biznesit nuk e kupton tërë pamjen.

Numri relativisht i vogël i sulmeve kibernetike të njohura në shkallë të gjerë nuk do të thotë se dëmi nga shumica e sulmeve është i parëndësishëm. Pra, sa shpenzojnë kompanitë mesatarisht për të zgjidhur një shkelje "tipike" të të dhënave? Ne i kërkuam pjesëmarrësve të studimit të vlerësonin se sa shpenzoi/humbi kompania e tyre si rezultat i ndonjë incidenti sigurie që ndodhi vitin e kaluar.

Të gjitha kompanitë me 50 ose më shumë punonjës iu kërkua të vlerësonin kostot e bëra në secilën nga kategoritë e mëposhtme:

Për secilën nga kategoritë, ne kemi llogaritur kostot mesatare të shkaktuara nga kompanitë e përballura me incidente të sigurisë së informacionit dhe shuma e të gjitha kategorive na lejoi të vlerësonim sasinë e dëmit total të shkaktuar nga një incident i sigurisë së informacionit.

Më poshtë po paraqesim veçmas rezultatet për segmentet e bizneseve të vogla dhe të mesme, pasi statistikat për to ndryshojnë në shumë mënyra. Për shembull, dëmi mesatar për kompanitë ruse SMB është pothuajse 1.6 milion rubla, dhe për bizneset e mëdha është pothuajse dhjetë herë më i lartë - 16.1 milion rubla. Kjo tregon se sulmet kibernetike janë të kushtueshme për kompanitë e të gjitha madhësive.

Fakti që bizneset e mëdha, mesatarisht, pësojnë më shumë humbje kur cenohet integriteti i të dhënave, nuk është befasues, por është interesant të analizohet shpërndarja e dëmeve sipas kategorive.

Vitin e kaluar, përfitimet shtesë të punonjësve ishin zëri më i rëndësishëm i shpenzimeve si për SMB-të ashtu edhe për bizneset e mëdha. Megjithatë, këtë vit tabloja ka ndryshuar, dhe kompanitë e madhësive të ndryshme kanë zëra të ndryshëm shpenzimesh kryesore. Të vogla dhe biznesi i mesëm vazhdon të humbasë më shumë nga përfitimet e punonjësve. Por bizneset e mëdha filluan të investojnë në PR shtesë për të zvogëluar dëmtimin e reputacionit të markës. Gjithashtu, një zë i rëndësishëm kostoje për bizneset e mëdha ishte kostoja e përmirësimit të pajisjeve teknike dhe blerjes së softuerit shtesë.

Për të gjitha kompanitë, kostot e trajnimit të punonjësve janë rritur. Incidentet e sigurisë shpesh i bëjnë kompanitë të kuptojnë rëndësinë e rritjes së edukimit kibernetik dhe përmirësimit të inteligjencës së kërcënimeve.

Burimet e brendshme më të gjera të kompanive të mëdha dhe veçoritë e rregullimit të aktiviteteve të tyre përcaktojnë një ekuilibër të ndryshëm midis kostove të eliminimit të vetë kërcënimit dhe kostove të kompensimit të dëmit. Një zë serioz i shpenzimeve ishte rritja e primeve të sigurimit, përkeqësimi i vlerësimeve të kredisë dhe erozioni i besimit në kompani: mesatarisht, pas çdo incidenti, kompanitë e mëdha humbasin rreth 2.3 milion rubla nga kjo.

Hulumtimi ynë tregoi se pjesa më e madhe e rritjes së kostove të kompanisë u nxit nga nevoja për të parandaluar - ose të paktën reduktuar - humbjet e reputacionit në formën e vlerësimeve të kreditit, imazhit të markës dhe kompensimit.

Ndërsa rregulloret e reja bëhen më të përhapura, kostoja mesatare ka të ngjarë të vazhdojë të rritet, duke kërkuar që kompanitë të raportojnë publikisht të gjitha incidentet dhe të rrisin transparencën e sigurisë së të dhënave.

Tendenca të tilla janë tipike, për shembull, në Japoni, ku kostoja mesatare e eliminimit të pasojave të një shkeljeje të sigurisë është më shumë se dyfishuar: nga 580 mijë dollarë në 2016 në 1.3 milion dollarë në 2017. Qeveria japoneze ka lëvizur për të shtrënguar rregulloret në përgjigje të rritjes së kërcënimeve të sigurisë kibernetike. Në vitin 2017 hynë në fuqi ligjet e reja, të cilat shkaktuan një rritje të papritur të kostove.

Megjithatë, zhvillimi dhe zbatimi i ligjeve kërkon kohë. Me zhvillimin e shpejtë të peizazhit të IT të korporatave dhe evolucionin e kërcënimeve kibernetike, vonesa në masat rregullatore po bëhet një problem serioz. Për shembull, standardet e reja japoneze u ranë dakord në vitin 2015, por hyrja e tyre në fuqi duhej të shtyhej për dy vjet të tërë. Për shumë, kjo vonesë ishte shumë e kushtueshme: gjatë këtyre dy viteve, një numër i kompanive të mëdha japoneze u bënë viktima të sulmeve të kushtueshme. Një shembull është kompania e udhëtimeve JTB Corp., e cila pësoi një rrjedhje të madhe në 2016. U vodhën të dhënat e 8 milionë klientëve, përfshirë emrat, adresat dhe numrat e pasaportave.

Kjo është një nga simptomat e një problemi global: kërcënimet po zhvillohen me shpejtësi dhe inercia e qeverive dhe kompanive është shumë e lartë. Një shembull tjetër i shtrëngimit të vidhave janë Standardet e Përgjithshme Evropiane të Mbrojtjes së të Dhënave (GDPR), të cilat hyjnë në fuqi në maj 2018 dhe kufizojnë ndjeshëm mënyrat e pranueshme në të cilat mund të përpunohen dhe ruhen të dhënat e qytetarëve të BE-së.

Ligjet po ndryshojnë në mbarë botën, por ato nuk mund të mbajnë hapin me kërcënimet kibernetike – tre valë ransomware në Rusi na e kujtuan këtë në 2017. Prandaj, bizneset duhet të jenë të vetëdijshme për papërsosmëritë e ligjit dhe të forcojnë mbrojtjen në përputhje me rrethanat aktuale - ose të pranojnë dëmtimin e reputacionit dhe klientëve paraprakisht. Vlen të përgatitet për kërkesat e reja rregullatore pa pritur afate. Duke ndryshuar politikat pasi të jenë nxjerrë ligjet përkatëse, kompanitë rrezikojnë jo vetëm gjobat, por edhe sigurinë e të dhënave të tyre dhe të klientëve.

Nuk ka gjëra të tilla si dobësitë e dikujt tjetër: boshllëqet në mbrojtjen e partnerit janë të kushtueshme

Për t'u mbrojtur nga rrjedhjet e të dhënave, është shumë e rëndësishme të kuptojmë se çfarë vektorësh sulmi përdorin sulmuesit. Nga ana tjetër, ky informacion do t'ju ndihmojë të kuptoni se cilat lloje të sulmeve janë më të kushtueshme.

Anketa tregoi se incidentet e mëposhtme patën pasojat më të rënda financiare për bizneset e mesme dhe të vogla:

• Incidentet që prekin infrastrukturën e vendosur në pajisje të palëve të treta (17.2 milion RUB)
• Incidentet që prekin shërbimet cloud të palëve të treta të përdorura nga kompania (3.6 milion RUB)
• Komunikimi i papërshtatshëm nëpërmjet pajisje celulare(2.5 milionë rubla)
• Humbja fizike e pajisjeve celulare, duke e ekspozuar organizatën ndaj rreziqeve (2.1 milion RUB)
• Incidentet që lidhen me pajisjet jo-kompjuterike të lidhura me internetin (për shembull, sistemet e kontrollit industrial, Interneti i Gjërave) (1.7 milion rubla)

Situata me bizneset e mëdha është disi e ndryshme:

• Sulmet e synuara (75 milionë rubla)
• Incidentet që prekin shërbimet cloud të shitësve të palëve të treta (19 milion RUB)
• Viruset dhe malware(9 milion rubla)
• Shkëmbim i papërshtatshëm i të dhënave përmes pajisjeve celulare (7.3 milionë rubla)
• Incidentet që prekin furnitorët me të cilët kompanitë shkëmbejnë të dhëna (4.4 milionë rubla)

Këto të dhëna tregojnë se shumë shpesh, sulmet e shkaktuara nga problemet e sigurisë me partnerët e biznesit janë pothuajse më të kushtueshmet për kompanitë e çdo madhësie. Kjo vlen si për organizatat që marrin me qira renë kompjuterike ose infrastrukturë tjetër nga ofruesit e palëve të treta, ashtu edhe për kompanitë që ndajnë të dhënat e tyre me partnerët.

Sapo t'i jepni një kompanie tjetër akses në të dhënat ose infrastrukturën tuaj, dobësitë e tyre bëhen problemi juaj. Megjithatë, ne kemi vërejtur më parë se shumica e organizatave nuk i kushtojnë rëndësi të mjaftueshme kësaj. Prandaj nuk është për t'u habitur që incidentet e këtij lloji shkaktojnë kostot më të mëdha: çdo boksier do t'ju thotë se zakonisht është një goditje e papritur që shkakton nokaut.

Gjithashtu, menjëherë bie në sy një vektor tjetër që papritur e futi në 5 kërcënimet kryesore për bizneset e mesme: sulmet që lidhen me pajisjet e lidhura që nuk janë kompjuterë. Sot, trafiku në Internetin e Gjërave (IoT) po rritet shumë më shpejt se trafiku i gjeneruar nga çdo teknologji tjetër. Ky është një shembull tjetër se si zhvillimet e reja po rrisin numrin e dobësive të mundshme në infrastrukturën e biznesit. Në veçanti, përdorimi i gjerë i fjalëkalimeve të paracaktuara të fabrikës dhe veçorive të dobëta të sigurisë në pajisjet IoT i ka bërë ato një kapje ideale për botnet si Mirai - malware që mund të lidhë një numër të madh pajisjesh të cenueshme në një rrjet të vetëm për të nisur sulme DDoS në shkallë të gjerë në objektivat e zgjedhur.

Vlen të përmendet sasia e humbjeve nga sulmet e synuara në segmentin e biznesit të madh - ky kërcënim është jashtëzakonisht i vështirë për t'u kundërshtuar. Gjatë dy viteve të fundit, janë bërë të njohura një sërë sulmesh të profilit të lartë ndaj bankave, gjë që gjithashtu përforcon këto statistika zhgënjyese.

Investimi në Reduktimin e Riskut

Siç ka treguar hulumtimi ynë, kërcënimet ndaj sigurisë së informacionit po bëhen më serioze. Në këto kushte, nuk mund të mos shqetësohet për gjendjen e vetë buxheteve të sigurisë së informacionit. Duke analizuar ndryshimet e tyre, ne mund të vendosim nëse organizatat e shohin sigurinë e tyre si një shtytës të kostos, ose nëse balanca po zhvendoset gradualisht për t'u parë si një mundësi investimi që ofron një avantazh real konkurrues.

Madhësia e buxhetit tregon qëndrimin e kompanisë ndaj sigurisë së TI-së, rëndësinë e rolit të sistemit mbrojtës nga këndvështrimi i menaxhmentit dhe gatishmërinë e organizatës për të marrë rreziqe.

Buxheti i sigurisë së informacionit: pjesa po rritet, "byrek" po zvogëlohet

Këtë vit ne kemi parë që kursimet dhe kontraktimet e jashtme kanë çuar në reduktime në buxhetet e IT. Pavarësisht kësaj (ose ndoshta si rezultat i kësaj), pjesa e sigurisë së informacionit në këto buxhete të TI-së është rritur. Në Rusi, një prirje pozitive mund të shihet në kompanitë e të gjitha madhësive. Edhe në mesin e mikro-bizneseve që operojnë në kushte të burimeve të pamjaftueshme, pjesa e buxheteve të TI-së e alokuar për sigurinë e informacionit është rritur, megjithëse me një fraksion të përqindjes.

Kjo do të thotë që kompanitë më në fund kanë filluar të kuptojnë rëndësinë e sigurisë së informacionit. Ndoshta kjo tregon se siguria e informacionit ka filluar të perceptohet nga shumë njerëz si një investim potencialisht i dobishëm, dhe jo si një burim kostoje.

Ne shohim se buxhetet e IT në mbarë botën po reduktohen ndjeshëm. Ndërsa siguria e informacionit po merr një pjesë më të madhe të byrekut, vetë byreku po bëhet më i vogël. Tendenca është alarmante, veçanërisht duke pasur parasysh se sa të larta janë aksionet në këtë fushë dhe sa i kushtueshëm është çdo sulm.

Në Rusi, buxheti mesatar për sigurinë e informacionit për bizneset e mëdha në 2017 arriti në 400 milion rubla, dhe për bizneset e vogla dhe të mesme - 4.6 milion rubla.

Shembull: 694 të anketuar në Rusi të aftë për të vlerësuar buxhetin

Nuk është për t'u habitur që organizatat ofrojnë shërbimet qeveritare(përfshirë sektorin e mbrojtjes), dhe institucionet financiare në mbarë botën po raportojnë kostot e tyre më të larta të sigurisë së informacionit këtë vit. Bizneset në të dy këta sektorë shpenzuan mesatarisht më shumë se 5 milionë dollarë për sigurinë. Vlen gjithashtu të theksohet se sektori i IT dhe telekomunikacionit, si dhe kompanitë në industrinë e energjisë, gjithashtu shpenzuan më shumë se mesatarja për sigurinë e informacionit, megjithëse buxhetet e tyre ishin më afër 3 milionë dollarë sesa 5 dollarë.

Sidoqoftë, nëse i ndani kostot totale me numrin e punonjësve, atëherë organizatat qeveritare kaloni në fund të listës. Mesatarisht, sektori i IT dhe telekomunikacionit shpenzon 1,258 dollarë për frymë për sigurinë e informacionit, ndërsa sektori i energjisë shpenzon 1,344 dollarë dhe kompanitë e shërbimeve financiare shpenzojnë 1,436 dollarë. Për krahasim, agjencitë qeveritare ndajnë vetëm 959 dollarë për person për sigurinë e informacionit.

Si në segmentin e IT-së dhe telekomunikacionit, ashtu edhe në industrinë e furnizimit me energji, kostot e larta për punonjës ka shumë të ngjarë të lidhen me nevojën për të mbrojtur pronësinë intelektuale, e cila është veçanërisht e rëndësishme në këta sektorë të ekonomisë. Në rastin e organizatave të furnizimit me energji, kostot e larta të sigurisë mund të jenë gjithashtu për shkak të faktit se këto kompani janë gjithnjë e më të ndjeshme ndaj sulmeve të synuara. organizuar nga grupe ndërhyrës.

Në këtë industri, investimi në sigurinë e informacionit bëhet kritik për mbijetesën sepse siguron vazhdimësinë e biznesit, një faktor kritik për furnizimin me energji. Pasojat e një sulmi të suksesshëm kibernetik në këtë industri janë veçanërisht të rënda, ndaj investimi në sigurinë e informacionit ka përfitime shumë të prekshme.

Në Rusi, IT dhe telekomunikacioni, si dhe ndërmarrjet industriale, investohen kryesisht në sigurinë e informacionit - kostot mesatare për të parën arrijnë në 300 milion rubla, për të dytën - 80 milion rubla. Kompanitë industriale dhe prodhuese zakonisht mbështeten në sisteme të automatizuara menaxhimit (ICS) për të siguruar vazhdimësinë e proceseve të prodhimit. Në të njëjtën kohë, sulmet ndaj ICS po rriten në numër: gjatë 12 muajve të fundit numri i tyre është rritur me 5%.

Arsyet për të investuar në sigurinë e informacionit

Dispersioni i shumave të investimeve në sigurinë e informacionit ndërmjet sektorëve është shumë i madh. Prandaj, është veçanërisht e rëndësishme të kuptohen arsyet që i motivojnë kompanitë të shpenzojnë burime të kufizuara për sigurinë e informacionit. Pa i ditur motivet, është e pamundur të kuptosh nëse një kompani i konsideron të hedhura paratë e shpenzuara për sigurinë e infrastrukturës së saj IT apo i sheh ato si një investim fitimprurës.

Në vitin 2017, shumë më shumë kompani në mbarë botën pranuan se do të investonin në sigurinë kibernetike pavarësisht nga kthimi i pritshëm i investimit: 63% krahasuar me 56% në 2016. Kjo tregon se gjithnjë e më shumë kompani e kuptojnë rëndësinë e sigurisë së informacionit.

Arsyet kryesore për rritjen e buxhetit të sigurisë së informacionit, Rusi

Jo të gjitha kompanitë presin një kthim të shpejtë të investimit, por shumë kompani globale përmendën presionin nga palët kryesore të interesit, duke përfshirë menaxhmentin e lartë të kompanisë (32%) si një arsye për rritjen e buxheteve të sigurisë së informacionit. Kjo tregon se kompanitë kanë filluar të shohin avantazhin e tyre strategjik në rritjen e shpenzimeve për sigurinë e informacionit: masat e sigurisë lejojnë jo vetëm të mbrohen në rast sulmi, por edhe t'u tregojnë klientëve se të dhënat e tyre janë në duar të sigurta. si sigurimin e vazhdimësisë së biznesit, në të cilën menaxhmenti i kompanisë është i interesuar.

Arsyeja më e njohur për rritjen e shpenzimeve për sigurinë e informacionit u përmend nga shumica e kompanive vendase si nevoja për të mbrojtur një infrastrukturë gjithnjë e më komplekse të IT (46%), dhe nevoja për të përmirësuar aftësitë e ekspertëve të sigurisë së informacionit u vu re me 30%. Këto shifra theksojnë nevojën për të rritur nivelin e ekspertizës në dispozicion të një kompanie duke zhvilluar aftësitë e punonjësve të saj. Në të vërtetë, NVM-të dhe ndërmarrjet e mëdha po investojnë gjithnjë e më shumë në mbështetjen e fuqisë punëtore të tyre të brendshme në luftën kundër kërcënimeve kibernetike.

Në të njëjtën kohë, nevoja për të rritur shpenzimet për sigurinë e informacionit për shkak të operacioneve të reja të biznesit ose zgjerimit të kompanisë midis bizneseve ruse është ulur: nga 36% vitin e kaluar në 30% në 2017. Ndoshta reflekton faktorët makroekonomikë me të cilët kompanitë tona janë përballur kohët e fundit.

konkluzioni

Dëme të mëdha u shkaktuan në 2017 nga sulme masive si WannaCry, exPetr dhe BadRabbit. Dëmi nga sulmet e synuara, veçanërisht në bankat ruse, është gjithashtu i madh. E gjithë kjo tregon se peizazhi i kërcënimit kibernetik po ndryshon me shpejtësi dhe në mënyrë të pashmangshme. Kompanitë janë të detyruara të përshtatin mbrojtjen e tyre ose të mbeten jashtë biznesit.

Një faktor gjithnjë e më i rëndësishëm në vendimet e biznesit është ndryshimi midis kostos së përgatitjes për t'u marrë me sulmet kibernetike dhe kostove të bëra nga viktima.

Raporti tregon se edhe shkeljet relativisht të vogla të të dhënave që janë me pak interes për publikun e gjerë mund të jenë shumë të kushtueshme për një kompani dhe të ndikojnë seriozisht në operacionet e saj. Një arsye tjetër për rritjen e kostove të incidenteve të sigurisë janë ndryshimet në rregulloret në mbarë botën. Kompanitë duhet ose të përshtaten ose të rrezikojnë mospërputhjen dhe hakerimin e mundshëm.

Në këto rrethana, është veçanërisht e rëndësishme të merren parasysh të gjitha pasojat dhe kostot. Ndoshta kjo është arsyeja pse gjithnjë e më shumë kompani nga vende të ndryshme po rrisin pjesën e sigurisë së informacionit në buxhetet e tyre të IT-së. Në vitin 2017, shumë më shumë kompani në mbarë botën pranuan se do të investonin në sigurinë kibernetike pavarësisht nga kthimi i pritshëm i investimit: 63% krahasuar me 56% në 2016.

Me shumë mundësi, me rritjen e dëmeve nga incidentet e sigurisë kibernetike, ato organizata që i konsiderojnë kostot e TI-së si investime në siguri dhe janë të gatshme të shpenzojnë shuma të konsiderueshme parash për to, do të jenë më të përgatitura për problemet e mundshme. Cila është situata në kompaninë tuaj?

Si të justifikohen kostot e sigurisë së informacionit?

Ribotuar me leje të mirë OJSC InfoTex Internet Trust
Teksti burimor gjendet Këtu.

Nivelet e maturimit të kompanisë

Gartner Group identifikon 4 nivele të pjekurisë së kompanisë për sa i përket sigurisë së informacionit (IS):

• niveli 0:
• Askush nuk është i përfshirë në sigurinë e informacionit në kompani, menaxhmenti i kompanisë nuk e kupton rëndësinë e problemeve të sigurisë së informacionit;
• Nuk ka financim;
• Siguria e informacionit zbatohet duke përdorur mjete standarde sistemet operative, DBMS dhe aplikacionet (mbrojtja me fjalëkalim, kontrolli i aksesit në burime dhe shërbime).
• Niveli 1:
• Siguria e informacionit konsiderohet nga menaxhmenti si një problem thjesht "teknik" nuk ka një program (koncept, politikë) të unifikuar për zhvillimin e sistemit të sigurisë së informacionit të kompanisë (ISMS);
• Financimi sigurohet brenda buxhetit të përgjithshëm të TI-së;
• Siguria e informacionit zbatohet me anë të nivelit zero + mjete rezervë, mjetet antivirus, muret e zjarrit, mjetet e organizimit të VPN (mjetet tradicionale të sigurisë).
• Niveli 2:
• Siguria e informacionit konsiderohet nga menaxhmenti si një grup masash organizative dhe teknike, ekziston një kuptim i rëndësisë së sigurisë së informacionit për proceset e prodhimit, ekziston një program për zhvillimin e ISMS të kompanisë të miratuar nga menaxhmenti;
• Siguria e informacionit zbatohet nga mjete të nivelit të parë + mjete të zgjeruara të vërtetimit, mjete për analizimin e mesazheve të postës elektronike dhe përmbajtjes së uebit, IDS (sistemet e zbulimit të ndërhyrjeve), mjetet e analizës së sigurisë, SSO (vegla të vetme vërtetimi), PKI (infrastruktura) çelësat publikë) dhe masat organizative (auditimi i brendshëm dhe i jashtëm, analiza e rrezikut, politika e sigurisë së informacionit, rregulloret, procedurat, rregulloret dhe udhëzimet).
• Niveli 3:
• Siguria e informacionit është pjesë e kulturës së korporatës, është emëruar një CISA (oficer i lartë i sigurisë së informacionit);
• Financimi sigurohet brenda një buxheti të veçantë;
• Siguria e informacionit zbatohet me anë të sistemit të menaxhimit të nivelit të dytë + të sigurisë së informacionit, CSIRT (ekip i reagimit ndaj incidentit të sigurisë së informacionit), SLA (marrëveshje për nivelin e shërbimit).

Sipas Gartner Group (të dhënat e siguruara për vitin 2001), përqindja e kompanive në lidhje me 4 nivelet e përshkruara është si më poshtë:
Niveli 0 - 30%,
Niveli 1 - 55%,
Niveli 2 - 10%,
Niveli 3 - 5%.

Parashikimi i Gartner Group për vitin 2005 është si më poshtë:
Niveli 0 - 20%,
Niveli 1 - 35%,
Niveli 2 - 30%,
Niveli 3 - 15%.

Statistikat tregojnë se shumica e kompanive (55%) kanë zbatuar aktualisht grupin minimal të kërkuar të masave tradicionale të sigurisë teknike (niveli 1).

Kur zbatohen teknologji të ndryshme dhe masa sigurie, shpesh lindin pyetje. Çfarë duhet të zbatohet së pari, një sistem zbulimi i ndërhyrjeve apo një infrastrukturë PKI? Cili do të jetë më efektiv? Stephen Ross, drejtor i Deloitte&Touche, propozon qasjen e mëposhtme për vlerësimin e efektivitetit të masave dhe mjeteve individuale të sigurisë së informacionit.

Bazuar në grafikun e mësipërm, mund të shihet se mjetet më të shtrenjta dhe më pak efektive janë mjetet e specializuara (të brendshme ose të bëra me porosi).

Më të shtrenjtat, por në të njëjtën kohë më efektive, janë produktet mbrojtëse të kategorisë 4 (niveli 2 dhe 3 sipas Gartner Group). Për të zbatuar mjete në këtë kategori, është e nevojshme të përdoret një procedurë e analizës së rrezikut. Analiza e rrezikut në në këtë rast do të sigurojë që kostot e zbatimit të jenë të përshtatshme për kërcënimet ekzistuese të shkeljeve të sigurisë së informacionit.

Më të lirat, por me një nivel të lartë efektiviteti, përfshijnë masat organizative (auditimi i brendshëm dhe i jashtëm, analiza e rrezikut, politika e sigurisë së informacionit, plani i vazhdimësisë së biznesit, rregulloret, procedurat, rregulloret dhe manualet).

Futja e mjeteve shtesë të mbrojtjes (kalimi në nivelet 2 dhe 3) kërkon investime të konsiderueshme financiare dhe, në përputhje me rrethanat, justifikim. Mungesa e një programi të unifikuar të zhvillimit të ISMS të miratuar dhe nënshkruar nga menaxhmenti e përkeqëson problemin e justifikimit të investimeve në siguri.

Analiza e rrezikut

Një justifikim i tillë mund të jetë rezultatet e analizës së rrezikut dhe statistikat e grumbulluara për incidentet. Mekanizmat për zbatimin e analizës së rrezikut dhe mbledhjen e statistikave duhet të specifikohen në politikën e sigurisë së informacionit të kompanisë.

Procesi i analizës së rrezikut përbëhet nga 6 faza vijuese:

1. Identifikimi dhe klasifikimi i objekteve të mbrojtura (burimet e kompanisë që do të mbrohen);

3. Ndërtimi i një modeli të një sulmuesi;

4. Identifikimi, klasifikimi dhe analiza e kërcënimeve dhe dobësive;

5. Vlerësimi i rrezikut;

6. Përzgjedhja e masave organizative dhe mjeteve teknike të mbrojtjes.

Në skenë identifikimin dhe klasifikimin e objekteve të mbrojtjesËshtë e nevojshme të bëhet një inventar i burimeve të kompanisë në fushat e mëposhtme:

• Burimet e informacionit (informacionet konfidenciale dhe kritike të kompanisë);
• Burimet e softuerit (OS, DBMS, aplikacione kritike, si ERP);
• Burimet fizike (serverët, stacionet e punës, rrjeti dhe pajisjet e telekomunikacionit);
• Burimet e shërbimit ( e-mail, www, etj.).

Kategorizimiështë përcaktimi i nivelit të konfidencialitetit dhe kritikitetit të burimit. Konfidencialiteti i referohet nivelit të fshehtësisë së informacionit që ruhet, përpunohet dhe transmetohet nga një burim. Kriticiteti kuptohet si shkalla e ndikimit të një burimi në efikasitetin e proceseve të prodhimit të kompanisë (për shembull, në rast të ndërprerjes së burimeve të telekomunikacionit, kompania ofruese mund të falimentojë). Duke caktuar vlera të caktuara cilësore për parametrat e konfidencialitetit dhe kritikës, ju mund të përcaktoni nivelin e rëndësisë së secilit burim për sa i përket pjesëmarrjes së tij në proceset e prodhimit të kompanisë.

Për të përcaktuar rëndësinë e burimeve të kompanisë nga pikëpamja e sigurisë së informacionit, mund të merrni tabelën e mëposhtme:

Për shembull, dosjet me informacione për nivelin e pagave të punonjësve të kompanisë kanë një vlerë "rreptësisht konfidenciale" (parametri i konfidencialitetit) dhe një vlerë "të parëndësishme" (parametri i kriticitetit). Duke zëvendësuar këto vlera në tabelë, mund të merrni një tregues integral të rëndësisë së këtij burimi. Opsione të ndryshme Metodat e kategorizimit janë dhënë në standardin ndërkombëtar ISO TR 13335.

Ndërtimi i një modeli sulmuesiështë procesi i klasifikimit të dhunuesve të mundshëm sipas parametrave të mëposhtëm:

• Lloji i sulmuesit (konkurrent, klient, zhvillues, punonjës i kompanisë, etj.);
• Pozicioni i sulmuesit në lidhje me objektet e mbrojtjes (të brendshme, të jashtme);
• Niveli i njohurive për objektet e mbrojtura dhe mjedisin (i lartë, i mesëm, i ulët);
• Niveli i aftësive për qasje në objektet e mbrojtura (maksimumi, mesatar, minimal);
• Kohëzgjatja e veprimit (vazhdimisht, në intervale të caktuara kohore);
• Vendndodhja e veprimit (vendndodhja e pritur e sulmuesit gjatë sulmit).

Duke caktuar vlera cilësore për parametrat e listuar të modelit të sulmuesit, mund të përcaktohet potenciali i sulmuesit (një karakteristikë integrale e aftësive të sulmuesit për të zbatuar kërcënimet).

Identifikimi, klasifikimi dhe analiza e kërcënimeve dhe dobësive ju lejon të përcaktoni mënyrat për të zbatuar sulme ndaj objekteve të mbrojtura. Dobësitë janë vetitë e një burimi ose mjedisi të tij që përdoren nga një sulmues për të zbatuar kërcënimet. Një listë e dobësive të burimeve të softuerit mund të gjendet në internet.

Kërcënimet klasifikohen sipas kritereve të mëposhtme:

• emri i kërcënimit;
• lloji i sulmuesit;
• mjetet e zbatimit;
• dobësitë e shfrytëzuara;
• veprimet e ndërmarra;
• frekuenca e zbatimit.

Parametri kryesor është frekuenca e zbatimit të kërcënimit. Varet nga vlerat e parametrave të "potencialit të sulmuesit" dhe "sigurisë së burimeve". Vlera e parametrit "siguria e burimeve" përcaktohet përmes vlerësimeve të ekspertëve. Gjatë përcaktimit të vlerës së parametrit, merren parasysh parametrat subjektive të sulmuesit: motivimi për zbatimin e kërcënimit dhe statistikat nga përpjekjet për të zbatuar kërcënimet. të këtij lloji(nëse disponohet). Rezultati i fazës së analizës së kërcënimit dhe cenueshmërisë është një vlerësim i parametrit të "frekuencës së zbatimit" për çdo kërcënim.

Në skenë vlerësimet e rrezikut dëmi i mundshëm nga kërcënimet e sigurisë së informacionit përcaktohet për çdo burim ose grup burimesh.

Treguesi cilësor i dëmtimit varet nga dy parametra:

• Rëndësia e burimit;
• Frekuenca e zbatimit të kërcënimit në këtë burim.

Bazuar në vlerësimet e dëmeve të marra, masat organizative adekuate janë përzgjedhur në mënyrë të arsyeshme dhe mjete teknike mbrojtjes.

Akumulimi i statistikave për incidentet

E vetmja pikë e dobët në metodologjinë e propozuar për vlerësimin e rrezikut dhe, në përputhje me rrethanat, justifikimin e nevojës për të futur ose ndryshuar teknologjitë ekzistuese të mbrojtjes është përcaktimi i parametrit "frekuenca e shfaqjes së kërcënimit". Mënyra e vetme për të marrë vlera objektive të këtij parametri është grumbullimi i statistikave për incidentet. Statistikat e akumuluara, për shembull, gjatë një viti do t'ju lejojnë të përcaktoni numrin e zbatimeve të kërcënimeve (të një lloji të caktuar) për burim (të një lloji të caktuar). Këshillohet që të kryhet puna për mbledhjen e statistikave si pjesë e procedurës së përpunimit të incidentit.