Menu
Jest wolny
rejestracja
Dom  /  Instalacja i konfiguracja/ Rozliczanie kosztów ochrony informacji. Bezpośrednie i pośrednie koszty ochrony informacji przedsiębiorstwa Środki masowego przekazu

Rozliczanie kosztów ochrony informacji. Bezpośrednie i pośrednie koszty ochrony informacji przedsiębiorstwa Środki masowego przekazu

2018-08-21T12: 03: 34 + 00:00

Duże firmy handlowe wydają około 1% swoich rocznych przychodów na zapewnienie fizycznego bezpieczeństwa swoich firm. Bezpieczeństwo przedsiębiorstwa jest takim samym zasobem, jak technologie i środki produkcji. Ale jeśli chodzi o cyfrową ochronę danych i usług, trudno jest obliczyć ryzyko finansowe i niezbędne koszty. Podpowiadamy, ile pieniędzy z budżetu IT warto przeznaczyć na cyberbezpieczeństwo, czy istnieje minimalny zestaw narzędzi, z których można zrezygnować.

Rosną koszty bezpieczeństwa

Organizacje komercyjne na całym świecie, według raport Gartner wydał w 2017 r. około 87 miliardów dolarów na potrzeby związane z cyberbezpieczeństwem, w tym oprogramowanie, usługi specjalistyczne i sprzęt. To o 7% więcej niż w 2016 roku. W tym roku liczba ta ma sięgnąć 93 miliardów, aw przyszłym przekroczy 100.

Według ekspertów rynek usług bezpieczeństwa informacji w Rosji wynosi około 55-60 miliardów rubli (około 900 tysięcy dolarów). 2/3 z nich jest zamykane nakazami rządowymi. W sektorze przedsiębiorstw udział tych kosztów jest silnie uzależniony od formy przedsiębiorstwa, położenia geograficznego i obszaru działalności.

Średnio krajowe banki i struktury finansowe inwestować w ich cyberbezpieczeństwie 300 milionów rubli rocznie, przemysłowcy - do 50 milionów, firmy sieciowe (handel detaliczny) - od 10 do 50 milionów.

Jednak od kilku lat wzrost rosyjskiego rynku cyberbezpieczeństwa jest 1,5-2 razy większy niż w skali globalnej. W 2017 roku wzrost wyniósł 15% (w przeliczeniu na pieniądze klientów) w stosunku do 2016 roku. Pod koniec 2018 roku może okazać się jeszcze bardziej imponujący.

Wysokie tempo wzrostu wynika z ogólnego ożywienia rynku i gwałtownego wzrostu dbałości organizacji o rzeczywiste bezpieczeństwo ich infrastruktury IT oraz bezpieczeństwo danych. Koszty budowy systemu ochrona informacji są obecnie uważane za inwestycje, są planowane z wyprzedzeniem, a nie tylko podejmowane z resztek.

Pozytywne technologiesingle out trzy czynniki wzrostu:

  1. Głośne incydenty z ostatnich 1,5-2 lat sprawiły, że dziś tylko leniwi nie rozumieją roli bezpieczeństwa informacji dla stabilności finansowej przedsiębiorstwa. Jeden na pięciu menedżerów najwyższego szczebla interesuje się praktycznym bezpieczeństwem w kontekście swojej działalności.

Miniony rok był pouczający dla firm, które ignorują elementarność ... Brak aktualne aktualizacje nawyk pracy z lekceważeniem słabych punktów doprowadził do zamknięcia fabryk Renault we Francji, Hondy i Nissana w Japonii; ucierpiały banki, firmy energetyczne, telekomunikacyjne. Na przykład Maersk kosztował jednorazowo 300 milionów dolarów.

  1. Epidemie Wirusy ransomware WannaCry, NotPetya, Bad Rabbit nauczyli krajowe firmy, że instalowanie programów antywirusowych i zapór ogniowych nie wystarczy, aby czuć się bezpiecznie. Potrzebujesz kompleksowej strategii, spisu zasobów IT, dedykowanych zasobów, strategii reagowania na zagrożenia.
  2. W pewnym sensie ton nadaje państwo, które ogłosiło kurs na gospodarkę cyfrową obejmującą wszystkie sfery (od opieki zdrowotnej i edukacji po transport i finanse). Polityka ta bezpośrednio wpływa na rozwój sektora IT w ogóle, aw szczególności bezpieczeństwa informacji.

Koszt luk w zabezpieczeniach

Wszystko to jest pouczające, ale każdy biznes to wyjątkowa historia. Pytanie, ile wydać na bezpieczeństwo informacji z ogólnego budżetu IT firmy, wprawdzie niesłuszne, ale z punktu widzenia klienta, jest najbardziej palące.

Międzynarodowa firma badawcza IDC na przykładzie rynku kanadyjskiego dzwoni optymalne 9,8-13,7% inwestycji w cyberbezpieczeństwo całkowitego budżetu IT w organizacji. Oznacza to, że teraz kanadyjski biznes wydaje na te potrzeby średnio około 10% (uważa się, że jest to wskaźnik zdrowej firmy), ale sądząc po sondażach, chciałby być bliżej 14%.

Firmy nie mają powodu zastanawiać się, ile muszą wydać na bezpieczeństwo swoich informacji, aby zachować spokój. Dziś ocena ryzyka związanego z incydentami cyberbezpieczeństwa nie jest trudniejsza niż obliczenie strat wynikających z zagrożeń fizycznych. Istnieje na całym świecie Statystyka , według którego:

  • Ataki hakerów kosztują światową gospodarkę ponad 110 miliardów dolarów rocznie.
  • W przypadku małych firm każdy incydent kosztuje średnio 188 000 USD.
  • 51% włamań w 2016 r. było wymierzonych w zorganizowane grupy przestępcze przeciwko konkretnej firmie.
  • 75% ataków ma na celu spowodowanie szkód materialnych, motywowanych finansowo.

Wiosną 2018 r. Kaspersky Lab przeprowadził swoją zakrojoną na szeroką skalę badanie ... Według ankiety przeprowadzonej wśród 6 tysięcy specjalistów firm na całym świecie, szkody spowodowane hakowaniem sieci korporacyjnych i wyciekami danych wzrosły o 20-30% w ciągu ostatnich kilku lat.

Średni koszt szkód za luty 2018 r. dla organizacji komercyjnych, niezależnie od wielkości, zakresu działalności, wyniósł 1,23 mln USD. Dla MŚP błąd personelu lub udane działania hakerów kosztują 120 tys. dolarów.

Studium wykonalności dla bezpieczeństwa informacji

W celu prawidłowej oceny zasobów finansowych niezbędnych do zorganizowania bezpieczeństwa informacji w przedsiębiorstwie konieczne jest sporządzenie studium wykonalności.

  1. Przeprowadzamy inwentaryzację infrastruktury IT i oceniamy zagrożenia, opracowujemy listę podatności w porządku malejącym według ważności. Uwzględnione są tu również straty reputacyjne (wzrost stawek ubezpieczeniowych, spadek zdolności kredytowej, koszt przestojów usług), koszt przywrócenia systemu (aktualizacja sprzętu i oprogramowania).
  2. Wymieniamy zadania, które powinien rozwiązać system bezpieczeństwa informacji.
  3. Dobieramy sprzęt, narzędzia do rozwiązywania problemów i określamy jego koszt.

Jeśli firma nie posiada kompetencji do oceny zagrożeń i ryzyka cyberbezpieczeństwa, zawsze możesz zamówić na boku audyt bezpieczeństwa informacji. Dziś ta procedura jest krótkotrwała, niedroga i bezbolesna.

Firmy przemysłowe o wysokim poziomie ekspertów automatyzacji procesów polecić użyj adaptacyjnego modelu architektury bezpieczeństwa (Adaptacyjna architektura bezpieczeństwa), zaproponowana w 2014 r. przez firmę Gartner. Pozwala na właściwą realokację kosztów bezpieczeństwa informacji, zwracając większą uwagę na narzędzia do wykrywania i reagowania na zagrożenia oraz implikuje wdrożenie systemu monitorowania i analizy infrastruktury IT.

Ile kosztuje cyberbezpieczeństwo dla małych firm

Autorzy bloga Capterra zdecydowali liczyć ile średnio kosztuje system bezpieczeństwa informacji dla małych i średnich firm w pierwszym roku użytkowania. Do tego został wybrany lista z 50 popularnych na rynku ofert „pudełkowych”.

Okazało się, że rozpiętość cen jest dość spora: od 50 dolarów rocznie (są nawet 2-3 darmowe rozwiązania dla małych firm) do 6 tys. dolarów (są pojedyncze opakowania i po 24 tys., ale nie zostały uwzględnione w kalkulacji). Średnio mała firma może liczyć na 1400 USD na budowę system elementarny ochrona przed cyberzagrożeniami.

Najtańsze rozwiązania techniczne, takie jak biznesowa sieć VPN lub ochrona poczty e-mail, mogą pomóc w ochronie przed określonymi rodzajami zagrożeń (np. phishingiem)

Na drugim końcu spektrum znajdują się kompletne systemy monitorowania z „zaawansowaną” reakcją na zdarzenia i kompleksowymi narzędziami ochrony. Pomagają chronić sieć korporacyjna od ataków na dużą skalę, a czasem nawet pozwalają przewidzieć ich pojawienie się, powstrzymując je na wczesnych etapach.

Firma może wybrać kilka modeli płatności za system bezpieczeństwa informacji:

  • Cena za licencję, Średnia cena - 1000-2000 USD lub 26 do 6000 USD za licencję.
  • Cena za użytkownika. Przeciętny koszt systemu bezpieczeństwa informacji na użytkownika w firmie to 37 dolarów, przedział waha się od 4 do 130 dolarów na osobę miesięcznie.
  • Cena za podłączone urządzenie. Średni koszt tego modelu to 2,25 USD za urządzenie. Cena waha się od 0,96 USD do 4,5 USD miesięcznie.

Aby poprawnie obliczyć koszt bezpieczeństwa informacji, nawet mała firma będzie musiała wdrożyć podstawy zarządzania ryzykiem. Już pierwsze zdarzenie (upadek witryny, usługi, systemu płatności), którego nie można naprawić w ciągu 24 godzin, może doprowadzić do zamknięcia firmy.

„Gazeta finansowa. Wydanie regionalne”, 2008, N 41

W nowoczesnych warunkach nie można lekceważyć znaczenia zapewnienia bezpieczeństwa informacji. Najmniejszy wyciek poufnych informacji do konkurencji może prowadzić do dużych strat ekonomicznych firmy, przestojów w produkcji, a nawet bankructwa.

Cele bezpieczeństwa informacji to: zapobieganie wyciekom, kradzieży, utracie, zniekształceniu, fałszowaniu informacji; zapobieganie nieautoryzowanym działaniom niszczenia, modyfikowania, zniekształcania, kopiowania, blokowania informacji; zapobieganie innym formom bezprawnej ingerencji w zasoby informacyjne oraz Systemy informacyjne organizacje.

Koszt ochrony informacji obejmuje przede wszystkim pozyskanie środków zapewniających jej ochronę przed nieuprawnionym dostępem. Istnieje wiele sposobów zapewnienia ochrony informacji, warunkowo można je podzielić na dwie duże grupy. Pierwszy to fundusze, które mają podstawę materialną, taką jak sejfy, kamery wideo, systemy bezpieczeństwa itp. W rachunkowości są one rozliczane jako środki trwałe. Drugi to środki, które nie mają materialnej podstawy, takie jak oprogramowanie antywirusowe, programy ograniczające dostęp do informacji w w formie elektronicznej itp. Rozważ cechy rozliczania takich narzędzi bezpieczeństwa informacji.

Kupując program w celu zapewnienia ochrony informacji, wyłączne prawa do niego nie przechodzą na kupującego, kupowana jest tylko chroniona kopia programu, której kupujący nie może kopiować ani rozpowszechniać. Dlatego przy rozważaniu takich programów należy kierować się Ch. VI „Rozliczanie operacji związanych z przyznaniem (uzyskaniem) prawa użytkowania wartości niematerialnych” nowego PBU 14/2007 „Rozliczanie wartości niematerialnych”.

W rzadkich przypadkach, nabywając programy bezpieczeństwa informacji, firma nabywa wyłączne prawa do: ten produkt... W takim przypadku program zostanie rozliczony w księgowości jako wartości niematerialne (wartości niematerialne).

Według PBU 14/2007 w rachunkowości wartości niematerialne i prawne oddane do używania na podstawie umowy licencyjnej, opłaty za prawo do użytkowania dokonywane w formie stałej opłaty jednorazowej oraz prawa wyłączne, do których nie przechodzą na kupującego , muszą zostać zaksięgowane przez odbiorcę jako rozliczenia międzyokresowe i odzwierciedlone na koncie pozabilansowym (punkt 39). W takim przypadku okres, w którym wydatki te zostaną odpisane na konta wydatków, określa umowa licencyjna. W rachunkowości podatkowej koszty nabycia oprogramowania do ochrony informacji dla celów podatkowych są rozliczane jako inne wydatki i odpisywane w ten sam sposób - równe części w okresie ustalonym w umowie licencyjnej (art. 264 paragraf 26 ust. 1 kodeksu podatkowego Federacji Rosyjskiej).

Jeżeli opłata za prawo do użytkowania oprogramowania zapewniającego ochronę informacji jest dokonywana w formie płatności okresowych, to zgodnie z klauzulą ​​39 PBU 14/2007 są one zaliczane przez użytkownika do kosztów okresu sprawozdawczego, w którym zostały wykonane.

W praktyce umowa licencyjna nie zawsze wskazuje okres użytkowania oprogramowania. Gdy nie można jednoznacznie określić relacji między przychodami a wydatkami, w rachunkowości podatkowej koszty nabycia programów ochrony informacji podatnik alokuje samodzielnie na potrzeby obliczenia podatku dochodowego, z uwzględnieniem zasady jednolitości ujmowania przychodów i wydatki (klauzula 1 art. 272 ​​kodeksu podatkowego Federacji Rosyjskiej). W rachunkowości okres, w którym wydatki te będą obciążane z konta 97, ustala kierownictwo przedsiębiorstwa na podstawie przewidywanego czasu korzystania z programu.

Przykład 1... OJSC „Alpha” nabyła licencjonowaną kopię programu antywirusowego od LLC „Betta” za 118 000 rubli, w tym VAT (18%). Umowa licencyjna ustala okres użytkowania programu na 9 miesięcy.

W rachunkowości OJSC „Alpha” program należy wziąć pod uwagę w następujący sposób:

D-t 60, K-t 51 - 118 000 rubli. - koszt oprogramowania został zapłacony dostawcy;

D-t 60, K-t 97 - 100 000 rubli. - otrzymany program jest ujmowany jako rozliczenia międzyokresowe;

D-t 002 - 100 000 rubli. - otrzymany program jest odzwierciedlony na koncie pozabilansowym;

D-t 19, K-t 60 - 18 000 rubli. - VAT przydzielony;

D-t 68, K-t 19 - 18 000 rubli. - przyjęty do odliczenia VAT;

D-t 26 (44), K-t 97 - 11 111,11 rubli. (100 000 rubli: 9 miesięcy) - co miesiąc przez 9 miesięcy koszt programu antywirusowego jest odpisywany w równych częściach na wydatki.

Zmieńmy warunki z przykładu 1: załóżmy, że OJSC „Alpha” dokonuje płatności nie w formie ryczałtu, ale w równych ratach przez cały okres obowiązywania umowy licencyjnej. Płatności wyniosą 11 800 rubli. za każdy miesiąc, w tym VAT.

W takim przypadku w księgowości zostaną dokonane następujące zapisy:

D-t 002 - 90 000 rubli. (10 000 rubli x 9 miesięcy) - otrzymany program znajduje odzwierciedlenie na koncie pozabilansowym;

D-t 60, K-t 51 - 11 800 rubli. - miesięcznie w ciągu 9 miesięcy dostawca otrzymuje koszt oprogramowania;

D-t 19, K-t 60 - 1800 rubli. - VAT przydzielony;

D-t 26 (44), K-t 60 - 10 000 rubli. - koszt programu został odpisany w koszty;

D-t 68, K-t 19 - 1800 rubli. - przyjęty do odliczenia VAT.

Często przed wygaśnięciem umowy licencyjnej firma - twórca oprogramowania zabezpieczającego informacje publikuje swoją aktualizację. W takim przypadku wydatki na księgowość i księgowość podatkową będą akceptowane w momencie aktualizacji.

Jest to również powszechna praktyka, gdy firma programistyczna dostarcza swoje oprogramowanie organizacjom na krótki okres czasu do przeglądu. W celu poprawnego odzwierciedlenia otrzymanego nieodpłatnie programu bezpieczeństwa informacji należy go uwzględnić w przychodach przyszłych okresów według wartości rynkowej.

Przykład 2... Betta LLC dostarczała firmie OJSC Alfa oprogramowanie zabezpieczające informacje na okres 3 miesięcy bezpłatnie. Cena rynkowa tego oprogramowania wynosi 3300 rubli.

W ewidencji księgowej OJSC „Alpha” należy dokonać następujących wpisów:

D-t 97, K-t 98 - 3300 rubli. - uwzględniono oprogramowanie otrzymane bezpłatnie;

D-t 98, K-t 91 - 1100 rubli. - miesięcznie przez trzy miesiące, część odroczonego dochodu jest akceptowana jako pozostałe dochody.

W rachunkowości podatkowej dochód z programu otrzymanego bezpłatnie zostanie również zaakceptowany w ciągu trzech miesięcy (klauzula 2 art. 271 kodeksu podatkowego Federacji Rosyjskiej).

Koszty ochrony informacji obejmują nie tylko nabycie narzędzi bezpieczeństwa informacji, ale także koszt usług doradczych (informacyjnych) w zakresie ochrony informacji (niezwiązanych z nabyciem wartości niematerialnych, środków trwałych lub innych aktywów organizacji). Zgodnie z klauzulą ​​7 PBU 10/99 „Koszty organizacyjne” koszty usług doradczych w zakresie rachunkowości są uwzględnione w strukturze kosztów zwykłych czynności w okresie sprawozdawczym, w którym zostały poniesione. W rachunkowości podatkowej odnoszą się do innych wydatków związanych z produkcją i sprzedażą produktów (art. 264 paragraf 15 ust. 1 kodeksu podatkowego Federacji Rosyjskiej).

Przykład 3... Betta LLC świadczyła usługi doradztwa w zakresie bezpieczeństwa informacji na rzecz Alfa OJSC na łączną kwotę 59 000 rubli, w tym VAT - 9 000 rubli.

W ewidencji księgowej OJSC „Alpha” należy dokonać następujących wpisów:

D-t 76, K-t 51 - 59 000 rubli. - odpłatnie za usługi doradcze;

D-t 26 (44), CT 76 - 50 000 rubli. - Usługi doradcze w zakresie bezpieczeństwa informacji są odpisywane jako wydatki na zwykłe czynności;

D-t 19, K-t 76 - 9000 rubli. - VAT przydzielony;

D-t 68, K-t 19 - 9000 rubli. - przyjęty do odliczenia VAT.

Przedsiębiorstwa, które stosują uproszczony system podatkowy jako wydatki zmniejszające podstawę opodatkowania podatkiem dochodowym, zgodnie z ust. 19 s. 1 art. 346,16 Kodeksu Podatkowego Federacji Rosyjskiej będzie mógł zaakceptować tylko koszty zakupu oprogramowania zabezpieczającego informacje. Koszty doradztwa w zakresie bezpieczeństwa informacji w art. 346,16 Kodeksu podatkowego Federacji Rosyjskiej nie są wymienione, dlatego do celów opodatkowania zysków organizacji nie są one uprawnione do ich przyjmowania.

V.Schanikov

Asystent biegłego rewidenta

dział audytu

Baker Tilly Rusaudit LLC

Cel badania: analiza i określenie głównych trendów na rosyjskim rynku bezpieczeństwa informacji
Wykorzystano dane Rosstat (formularze sprawozdawczości statystycznej nr 3-Inform, P-3, P-4), Sprawozdania finansowe przedsiębiorstw itp.

Wykorzystanie technologii informacyjno-komunikacyjnych oraz narzędzi bezpieczeństwa informacji przez organizacje

  • Do przygotowania tej sekcji wykorzystano zagregowane, wyodrębnione geograficznie oddziały i przedstawicielstwa (Formularz 3-Inform „Informacje o wykorzystaniu technologii teleinformatycznych oraz produkcji komputerów, oprogramowania i usług w tych obszarach”.

Przeanalizowano lata 2012-2016. Dane nie twierdzą, że są kompletne (ponieważ są gromadzone dla ograniczonej liczby przedsiębiorstw), ale naszym zdaniem można je wykorzystać do oceny trendów. Liczba przedsiębiorstw, które odpowiedziały w badanym okresie wahała się od 200 do 210 tys. Oznacza to, że próba jest dość stabilna i obejmuje najbardziej prawdopodobnych konsumentów (duże i średnie przedsiębiorstwa), którzy odpowiadają za większość sprzedaży.

Dostępność komputerów osobistych w organizacjach

Według statystycznego formularza sprawozdawczego 3-Inform, w 2016 roku w rosyjskich organizacjach, które przekazały informacje w tym formularzu, znajdowało się około 12,4 mln jednostek komputery osobiste(PC). Przez komputer w tym przypadku rozumiemy komputer stacjonarny i laptopy, ta koncepcja nie obejmuje urządzeń mobilnych Telefony komórkowe i komputery kieszonkowe.

W ciągu ostatnich 5 lat liczba jednostek PC w organizacjach w całej Rosji wzrosła o 14,9%. Najbardziej wyposażonym okręgiem federalnym jest Centralny Okręg Federalny, na który przypada 30,2% komputerów w firmach. Niekwestionowanym liderem tego wskaźnika jest miasto Moskwa, według danych za 2016 r. moskiewskie firmy mają około 1,8 mln komputerów. Najniższą wartość wskaźnika odnotowano w Północnokaukaskim Okręgu Federalnym, w organizacjach okręgu jest tylko ok. 300 tys. jednostek PC, najmniej w Republice Inguszetii – 5,45 tys.

Ryż. 1. Liczba komputerów osobistych w organizacjach, Rosja, mln.

Wydatki organizacji na technologie informacyjne i komunikacyjne

W latach 2014-2015. ze względu na niesprzyjające otoczenie gospodarcze rosyjskie firmy zostały zmuszone do minimalizacji kosztów, w tym kosztów informacji i technologia komunikacyjna... W 2014 r. redukcja kosztów dla sektora ICT wyniosła 5,7%, ale już pod koniec 2015 r. nastąpiła niewielka pozytywna tendencja. W 2016 r. koszty rosyjskich firm na technologie informacyjno-komunikacyjne wyniosły 1,25 bln. rubli, przekraczając wskaźnik sprzed kryzysu 2013 r. o 0,3%.

Główna część kosztów przypada na firmy zlokalizowane w Moskwie – ponad 590 mld rubli, czyli 47,2% całości. Największe wolumeny wydatków organizacji na technologie informacyjne i komunikacyjne w 2016 roku odnotowano w: obwodzie moskiewskim - 76,6 mld rubli, Petersburgu - 74,4 mld rubli, obwodzie tiumeńskim - 56,0 mld rubli, Republice Tatarstanu - 24,7 mld rubli, Region Niżny Nowogród - 21,4 mld rubli. Najniższe wydatki odnotowano w Republice Inguszetii – 220,3 mln rubli.

Ryż. 2. Wielkość wydatków firm na technologie informacyjno-komunikacyjne, Rosja, mld rubli.

Stosowanie środków ochrony informacji przez organizacje

W ostatnim czasie można zauważyć znaczny wzrost liczby firm korzystających z narzędzi ochrony bezpieczeństwa informacji. Roczne tempo wzrostu ich liczby jest dość stabilne (z wyjątkiem roku 2014) i wynosi ok. 11-19% rocznie.

Według oficjalnych danych Rosstatu obecnie najbardziej poszukiwanymi środkami ochrony są środki techniczne uwierzytelnianie użytkowników (tokeny, klucze USB, karty inteligentne). Spośród ponad 157 tys. firm 127 tys. (81%) wskazało stosowanie tych środków jako ochrony informacji.

Ryż. 3. Podział organizacji z wykorzystaniem narzędzi bezpieczeństwa informacji, w 2016 r. Rosja,%.

Według oficjalnych statystyk w 2016 roku 161 421 firm korzystało z globalnego Internetu w celach komercyjnych. Wśród organizacji, które wykorzystują Internet do celów komercyjnych i wskazały na stosowanie narzędzi bezpieczeństwa informacji, najpopularniejszy jest elektroniczny podpis cyfrowy. Ponad 146 tys. firm, czyli 91% ogółu, wskazało to narzędzie jako środek ochrony. Zgodnie z wykorzystaniem narzędzi bezpieczeństwa informacji, firmy były dystrybuowane w następujący sposób:

    • Środki elektronicznego podpisu cyfrowego - 146 887 firm;
    • Regularnie aktualizowane programy antywirusowe - 143 095 firm;
    • Oprogramowanie lub sprzęt zapobiegający nieautoryzowanemu dostępowi szkodliwych programów z globalnych sieci informacyjnych lub sieci lokalnych (Firewall) - 101 373 firm;
    • Filtr spamu - 86 292 firm;
    • Narzędzia szyfrujące - 86 074 firm;
    • Komputerowe lub sieciowe systemy wykrywania włamań - 66 745 firm;
    • Narzędzia programowe do automatyzacji procesów analizy i kontroli bezpieczeństwa systemy komputerowe- 54 409 firm.

Ryż. 4. Dystrybucja firm wykorzystujących Internet w celach komercyjnych, poprzez ochronę informacji przesyłanych w sieciach globalnych, w 2016 r. Rosja,%.

W latach 2012-2016 liczba firm wykorzystujących internet w celach komercyjnych wzrosła o 34,9%. W 2016 roku 155 028 firm korzystało z Internetu do komunikacji z dostawcami, a 110 421 firm do komunikacji z konsumentami. Spośród firm wykorzystujących Internet do komunikacji z dostawcami wskazano cel wykorzystania:

  • pozyskiwanie informacji o niezbędnych towarach (robach, usługach) i ich dostawcach - 138 224 firm;
  • udzielanie informacji o potrzebach organizacji w towarach (robach, usługach) - 103 977 firm;
  • składanie zamówień na towary (prace, usługi) niezbędne dla organizacji (z wyłączeniem zamówień wysyłanych e-mailem) - 95 207 firm;
  • zapłata za dostarczone towary (roboty, usługi) - 89 279;
  • odbiór produktów elektronicznych - 62 940 firm.

Spośród ogólnej liczby firm wykorzystujących Internet do komunikacji z konsumentami, cel użycia wskazał:

  • udzielanie informacji o organizacji, jej towarach (robach, usługach) - 101 059 firm;
  • (roboty, usługi) (z wyłączeniem zamówień przesłanych e-mailem) - 44 193 firmy;
  • rozliczenia elektroniczne z konsumentami - 51 210 firm;
  • dystrybucja produktów elektronicznych - 12 566 firm;
  • obsługa posprzedażna (serwis) - 13 580 firm.

Wielkość i dynamika budżetów federalnych władz wykonawczych na informatykę w latach 2016-2017

Według Skarbu Federalnego łączna kwota limitów zobowiązań budżetowych na rok 2017, o której powiadomiono federalne władze wykonawcze (zwane dalej federalnym organem wykonawczym) zgodnie z kodem rodzaju wydatków 242 „Zakup towarów, robót, usług w dziedzina technologii informacyjno-komunikacyjnych” w zakresie informacji niestanowiących tajemnicy państwowej na dzień 1 sierpnia 2017 r. wyniosła 115,2 mld rubli, czyli o 5,1% więcej niż łączna wielkość budżetów federalnych władz wykonawczych w zakresie informatyki w 2016 r. (109,6 mld rubli, według Ministerstwa Telekomunikacji i Komunikacji Masowej). Tym samym, wraz z ciągłym wzrostem całkowitego wolumenu budżetów IT departamentów federalnych z roku na rok, tempo wzrostu spadło (w 2016 roku całkowity wolumen budżetów IT wzrósł o 8,3% w porównaniu do 2015 roku). W której istnieje coraz większe rozwarstwienie „bogatych” i „biednych” pod względem wydatków na wydziały technologii informacyjnej i komunikacyjnej. Niekwestionowanym liderem nie tylko pod względem wielkości budżetu, ale także pod względem poziomu osiągnięć w dziedzinie IT jest Federalna Służba Podatkowa. Jej budżet na ICT w tym roku wynosi ponad 17,6 mld rubli, co stanowi ponad 15% budżetu wszystkich federalnych władz wykonawczych. Łączny udział pierwszej piątki (FTS, Fundusz Emerytalny, Skarb Państwa, MSW, Ministerstwo Telekomunikacji i Komunikacji Masowej) – ponad 53%.

Ryż. 5. Struktura wydatków budżetowych na zakup towarów, robót i usług z zakresu technologii informacyjno-komunikacyjnych w kontekście federalnych organów wykonawczych w 2017 r.,%

Regulacja legislacyjna w zakresie zakupu oprogramowania na potrzeby państwowe i gminne

Od 1 stycznia 2016 r. wszystkie organy państwowe i samorządowe, korporacje państwowe Rosatom i Roskosmos, organy zarządzające państwowymi funduszami pozabudżetowymi, a także instytucje państwowe i budżetowe dokonujące zakupów zgodnie z wymogami ustawy federalnej nr 44 z kwietnia 5, 2013 – FZ „W sprawie systemu umownego w zakresie nabywania towarów, robót, usług na potrzeby państwowe i komunalne” są zobowiązane do przestrzegania zakazu dopuszczania oprogramowania pochodzącego z zagranicy w celu dokonywania zakupów w celu zaspokojenia potrzeb państwowych i komunalnych. Zakaz został wprowadzony Dekretem Rządu Federacji Rosyjskiej z dnia 16 listopada 2015 r. Nr 1236 „W sprawie ustanowienia zakazu przyjmowania oprogramowania pochodzącego z zagranicy w celu dokonywania zakupów na potrzeby państwowe i miejskie ”. Kupując oprogramowanie, ww. klienci muszą wyraźnie wskazać zakaz zakupu importowanego oprogramowania w zawiadomieniu o zakupie. Zakaz dotyczy nabywania oprogramowania do elektronicznych komputerów i baz danych, realizowanego niezależnie od rodzaju umowy na nośniku materialnym i (lub) w formie elektronicznej za pośrednictwem kanałów komunikacji, a także wyłącznych praw do takiego oprogramowania i prawa do korzystania z niego. oprogramowanie.

Istnieje kilka wyjątków, kiedy klienci mogą kupować importowane oprogramowanie.

  • zakup oprogramowania i (lub) praw do niego przez przedstawicielstwa dyplomatyczne i urzędy konsularne Federacji Rosyjskiej, misje handlowe Federacji Rosyjskiej w organizacjach międzynarodowych w celu zapewnienia ich działalności w obcym państwie;
  • nabywanie oprogramowania i (lub) praw do niego, informacje o których i (lub) których nabycie stanowi tajemnicę państwową.

We wszystkich innych przypadkach klient przed zakupem oprogramowania będzie musiał pracować z ujednoliconym rejestrem rosyjskich programów dla komputerów elektronicznych i baz danych oraz klasyfikatorem programów dla komputerów elektronicznych i baz danych.
Ministerstwo Telekomunikacji i Komunikacji Masowej Rosji zajmuje się tworzeniem i prowadzeniem rejestru jako upoważniony federalny organ wykonawczy.
Na koniec sierpnia 2017 r. rejestr zawierał 343 produkty oprogramowania należące do klasy „narzędzi bezpieczeństwa informacji” 98 rosyjskich firm deweloperskich. Wśród nich są produkty programowe tak głównych rosyjskich programistów, jak:

  • OJSC Technologie Informatyczne i Systemy Komunikacyjne (Infotecs) - 37 produktów oprogramowania;
  • AO Kaspersky Lab - 25 produktów oprogramowania;
  • Security Code LLC - 19 produktów oprogramowania;
  • Crypto-Pro LLC - 18 produktów oprogramowania;
  • Doctor WEB LLC - 12 produktów oprogramowania;
  • LLC "S-Terra CSP" - 12 produktów oprogramowania;
  • CJSC "Aladyn R.D." - 8 produktów oprogramowania;
  • Infovatch JSC - 6 produktów oprogramowania.

Analiza działań największych graczy w obszarze bezpieczeństwa informacji

  • Jako główne informacje do analizy działań największych graczy na rynku bezpieczeństwa informacji, do przygotowania niniejszego opracowania wykorzystano informacje o zamówieniach publicznych w zakresie działalności informacyjno-komunikacyjnej, aw szczególności bezpieczeństwa informacji.

Do analizy trendów wybraliśmy 18 firm, które należą do liderów na rynku bezpieczeństwa informacji i są aktywnie zaangażowane w zamówienia rządowe. Na liście znajdują się zarówno twórcy oprogramowania i sprzętu oraz systemów ochrony oprogramowania, jak i najwięksi integratorzy systemów. Łączne przychody tych firm w 2016 r. wyniosły 162,3 mld rubli, przekraczając wskaźnik z 2015 r. o 8,7%.
Poniżej znajduje się lista firm wybranych do badania.

Patka. 1. Firmy wybrane do badań

Nazwa ZAJAZD Rodzaj działalności (OKVED 2014)
1 I-Teco, JSC 7736227885 Działalność związana z użytkowaniem komputerów i technologii informatycznych, inne (62.09)
2 Croc Incorporated, JSC 7701004101
3 „Informzashita”, CJSC NIP 7702148410 Badania i rozwój w zakresie nauk społecznych i humanistycznych (72.20)
4 Softline Trade JSC 7736227885
5 Technoserv AS, LLC 7722286471 Sprzedaż hurtowa pozostałych maszyn i urządzeń (46.69)
6 Elvis-plus, JSC 7735003794
7 Asteros, JSC 7721163646 Hurtowy handel komputerami, urządzenia peryferyjne do komputerów i oprogramowania (46.51
8 „Firma produkcyjna Aquarius”, LLC 7701256405
9 Lanit, JSC 7727004113 Sprzedaż hurtowa pozostałych maszyn i urządzeń biurowych (46.66)
10 Jet Infosystems”, JSC 7729058675 Sprzedaż hurtowa komputerów, komputerowych urządzeń peryferyjnych i oprogramowania (46.51)
11 „Dialog Nauka” JSC 7701102564 Rozwój oprogramowania komputerowego (62.01)
12 „Factor-TS”, LLC 7716032944 Produkcja komputerów i urządzeń peryferyjnych (26.20)
13 „InfoTeKS”, OJSC 7710013769 Rozwój oprogramowania komputerowego (62.01)
14 „Ural Center for Security Systems”, LLC 6672235068 Działalność w zakresie architektury, badań inżynieryjnych oraz świadczenie doradztwa technicznego w tych dziedzinach (71.1)
15 „ICEl-KPO VS”, JSC 1660014361 Rozwój oprogramowania komputerowego (62.01)
16 Grupa NVision, JSC 7703282175 Handel hurtowy niewyspecjalizowany (46.90)
17 „Poufna integracja”, LLC 7811512250 Przetwarzanie danych, hosting i powiązane czynności (63.11)
18 „Kaługa astralna”, JSC 4029017981 Działalność doradcza i praca w zakresie technologii komputerowych (62.02

Według stanu na koniec października 2017 r. firmy z prezentowanej próby zawarły 1034 umowy z agencjami rządowymi na kwotę 24,6 mld rubli. Liderem w tym zestawieniu pod względem wolumenu zawartych kontraktów jest I-Teco – 74 kontrakty o wartości 7,5 mld rubli.
Na przestrzeni ostatnich lat, z wyjątkiem kryzysowego roku 2014, można zaobserwować stały wzrost całkowitego wolumenu kontraktów dla wybranych firm. Największa dynamika przypada na lata 2015-2016. Tak więc w 2015 r. Wolumen kontraktów wzrósł ponad 3,5-krotnie, w 2016 r. - 1,5-krotnie. Według dostępnych danych o działalności kontraktowej firm za okres styczeń-październik 2017 r. można założyć, że w 2017 r. łączny wolumen kontraktów z agencjami rządowymi wyniesie ok. 37-38 mld rubli, czyli spadek o ok. Oczekuje się 40%.

Badanie Kaspersky Lab Global Corporate IT Security Risk Survey to coroczna analiza trendów w korporacyjnym bezpieczeństwie informacji na całym świecie. Rozważamy tak ważne aspekty cyberbezpieczeństwa, jak koszt bezpieczeństwa informacji, aktualne rodzaje zagrożeń dla różnego rodzaju firm oraz finansowe konsekwencje konfrontacji z tymi zagrożeniami. Ponadto, uzyskując wgląd w budżetowanie bezpieczeństwa informacji od kadry kierowniczej, możemy zobaczyć, jak firmy na całym świecie reagują na zmiany w krajobrazie zagrożeń.

W 2017 roku próbowaliśmy zrozumieć, czy firmy postrzegają cyberbezpieczeństwo jako źródło kosztów (zło konieczne, na które muszą wydawać pieniądze), czy też zaczynają postrzegać je jako strategiczną inwestycję (czyli sposób na zapewnienie ciągłości działania, który zapewnia znaczące korzyści w dobie szybko rozwijających się cyberzagrożeń).

To bardzo ważna kwestia, zwłaszcza że budżet IT w większości regionów świata spada.

W Rosji jednak w 2017 r. nastąpił nieznaczny wzrost średniego budżetu na bezpieczeństwo – 2%. Średni budżet bezpieczeństwa informacji w Rosji wynosił około 15,4 mln rubli.

Raport ten zawiera szczegółowe informacje na temat rodzajów zagrożeń, z jakimi borykają się firmy każdej wielkości, a także wzorców alokacji kosztów IT.

Ogólne informacje i metodologia badań

Globalne korporacyjne badanie zagrożeń bezpieczeństwa IT firmy Kaspersky Lab to ankieta wśród menedżerów IT w ich organizacjach, przeprowadzana corocznie od 2011 roku.

Najnowsze dane zebrano w marcu i kwietniu 2017 r. W sumie przeprowadzono wywiady z 5274 respondentami z ponad 30 krajów, w badaniu wzięły udział firmy różnej wielkości.

Czasami w raporcie używane są następujące określenia: mały biznes – mniej niż 50 pracowników, SMB (średni i mały biznes – od 50 do 250 pracowników) oraz duży biznes (firmy zatrudniające 250 lub więcej osób). Raport bieżący przedstawia analizę najbardziej orientacyjnych parametrów z ankiety.

Główne wnioski:

Firmom różnej wielkości coraz trudniej jest radzić sobie z cyberzagrożeniami, a koszty ochrony również rosną. W Rosji w segmencie średniego i małego biznesu średni koszt wyeliminowania skutków jednego incydentu cybernetycznego wynosi 1,6 mln rubli, natomiast w segmencie dużego biznesu 16,1 mln rubli.

Rośnie udział budżetu IT przeznaczonego na bezpieczeństwo informacji. Dotyczy to firm każdej wielkości. Jednocześnie łączna kwota budżetu pozostaje niska, aw Rosji wzrost wyniósł zaledwie 2%, więc specjaliści zmuszeni są do wykonywania swoich zadań przy niewielkich zasobach.

Szkody wynikające z samego incydentu rosną, a firmy, które nie traktują priorytetowo kosztów bezpieczeństwa informacji, mogą wkrótce stanąć przed poważnymi wyzwaniami. Badanie wykazało, że w segmencie SMB firmy wydają około 300 tysięcy rubli na każde zdarzenie związane z bezpieczeństwem na dodatkowe płatności dla personelu, a duże korporacje mogą wydać 2,7 miliona rubli na zmniejszenie szkód wyrządzonych marce.

Uszkodzenia spowodowane incydentami związanymi z bezpieczeństwem

Szkody spowodowane incydentami cyberbezpieczeństwa stale rosną, ponieważ firmy muszą radzić sobie z niezliczonymi konsekwencjami, od dodatkowych działań publicznych po zatrudnianie nowych pracowników. W 2017 roku nastąpił dalszy wzrost strat finansowych w przypadku naruszenia integralności danych. Powinno to wpłynąć na podejście do tej kwestii: firmy przestaną postrzegać koszty cyberbezpieczeństwa jako zło konieczne i zaczną postrzegać je jako inwestycje, które pozwolą uniknąć znacznych strat finansowych w przypadku ataku.

Poważne naruszenia integralności danych stają się coraz droższe

Największym zmartwieniem dyrektorów ds. technicznych są masowe ataki, w wyniku których wyciekają miliony rekordów. Były to ataki na brytyjską Narodową Służbę Zdrowia (NHS), Sony czy włamanie do HBO z ujawnieniem poufnych danych związanych z serialem „Gra o tron”. W rzeczywistości jednak takie poważne incydenty są raczej wyjątkiem niż regułą. Większość cyberataków trafiła na pierwsze strony gazet dopiero w zeszłym roku i pozostała domeną specjalnych raportów dla specjalistów. Oczywiście epidemie ransomware trochę zmieniły sytuację, ale nadal korporacyjny segment biznesu nie rozumie całego obrazu.

Stosunkowo niewielka liczba znanych cyberataków na dużą skalę nie oznacza, że ​​szkody spowodowane większością ataków są nieznaczne. A zatem, ile średnio firmy wydają na naprawę „typowego” naruszenia integralności danych? Poprosiliśmy uczestników ankiety o oszacowanie, ile ich firma wydała/straciła w wyniku jakiegokolwiek incydentu związanego z bezpieczeństwem, który miał miejsce w ciągu ostatniego roku.

Wszystkie firmy zatrudniające 50 lub więcej pracowników były zobowiązane do oszacowania poniesionych kosztów w każdej z następujących kategorii:

Dla każdej z kategorii obliczyliśmy średnie koszty ponoszone przez firmy w obliczu incydentów bezpieczeństwa informacji, a suma wszystkich kategorii pozwoliła nam oszacować sumę szkód spowodowanych incydentem bezpieczeństwa informacji.

Poniżej osobno przedstawiono wyniki dla segmentu MSP i dużego biznesu, ponieważ statystyki dla nich różnią się pod wieloma względami. Na przykład średnia szkoda dla rosyjskich firm SMB wynosi prawie 1,6 miliona rubli, podczas gdy dla dużych firm jest prawie dziesięciokrotnie wyższa - 16,1 miliona rubli. To pokazuje, że cyberataki są kosztowne dla firm każdej wielkości.

Nic dziwnego, że duże firmy ponoszą średnio większe straty w przypadku naruszenia integralności danych, ale warto przeanalizować rozkład szkód według kategorii.

W minionym roku świadczenia pracownicze były największymi wydatkami zarówno dla małych i średnich firm, jak i dla dużych firm. Jednak w tym roku obraz się zmienił, a różne rodzaje wydatków stały się głównymi dla firm różnej wielkości. Małe i średnie firmy nadal najwięcej tracą na świadczeniach pracowniczych. Ale wielki biznes zaczął inwestować w dodatkowy PR, aby zmniejszyć szkody dla reputacji marki. Ponadto istotną pozycją kosztową dla dużych firm był koszt ulepszenia sprzętu technicznego i zakupu dodatkowego oprogramowania.

We wszystkich firmach wzrosły koszty szkolenia pracowników. Incydenty związane z bezpieczeństwem często uświadamiają firmom, jak ważne jest zwiększanie umiejętności korzystania z cyberprzestrzeni i ulepszanie analizy zagrożeń.

Szersze zasoby wewnętrzne dużych firm i specyfika regulacji ich działalności determinują inny bilans między kosztami samego usunięcia zagrożenia a kosztami naprawienia szkody. Wzrost składek ubezpieczeniowych, pogorszenie ratingów kredytowych i podważenie zaufania do firmy były poważną pozycją wydatków: średnio po każdym zdarzeniu duże firmy stracić na tym około 2,3 miliona rubli.

Nasze badania wykazały, że znaczna część wzrostu kosztów była spowodowana koniecznością zapobiegania – lub przynajmniej ograniczania – strat reputacji w postaci ratingu kredytowego, wizerunku marki i rekompensat.

W związku z powszechnym wdrażaniem nowych przepisów średnie szkody będą prawdopodobnie nadal rosły, ponieważ firmy będą musiały publicznie zgłaszać wszystkie incydenty i zwiększyć przejrzystość ochrony danych.

Takie trendy są typowe na przykład w Japonii, gdzie średni koszt usunięcia skutków naruszenia bezpieczeństwa wzrósł ponad dwukrotnie: z 580 000 USD w 2016 r. do 1,3 mln USD w 2017 r. Rząd Japonii podjął kroki w celu zaostrzenia wymogów regulacyjnych w odpowiedzi na wzrost zagrożeń cyberbezpieczeństwa. W 2017 roku weszły w życie nowe przepisy, które spowodowały gwałtowny wzrost kosztów.

Jednak opracowanie i wdrożenie przepisów wymaga czasu. W związku z szybko zmieniającym się środowiskiem informatycznym firm i ewoluującym zagrożeniem cybernetycznym, opóźnienia regulacyjne stają się poważnym wyzwaniem. Na przykład w 2015 r. uzgodniono nowe normy japońskie, ale ich wejście w życie musiało zostać przesunięte o całe dwa lata. Dla wielu opóźnienie miało swoją cenę: w ciągu ostatnich dwóch lat wiele dużych japońskich firm padło ofiarą kosztownych ataków. Jednym z przykładów jest firma turystyczna JTB Corp., która doświadczyła ogromnego przecieku w 2016 roku. Skradziono 8 milionów danych klientów, w tym nazwiska, adresy i numery paszportów.

To jeden z symptomów globalnego problemu: zagrożenia szybko się rozwijają, a bezwładność rządów i firm jest zbyt duża. Innym przykładem dokręcania orzechów jest Europejskie Rozporządzenie o Ochronie Danych (RODO), które weszło w życie w maju 2018 roku i znacząco ogranicza dopuszczalne sposoby przetwarzania i przechowywania danych obywateli UE.

Prawa zmieniają się na całym świecie, ale nie nadążają za cyberzagrożeniami – przypomniały o tym trzy fale oprogramowania ransomware w 2017 roku w Rosji. Dlatego przedsiębiorcy powinni pamiętać o niedoskonałościach prawnych i wzmacniać ochronę zgodnie z rzeczywistymi okolicznościami – lub znosić z wyprzedzeniem uszczerbek na reputacji i klientach. Warto przygotować się na nowe wymogi regulacyjne, nie czekając na terminy. Zmieniając polityki po uchwaleniu odpowiednich przepisów, firmy ryzykują nie tylko kary, ale także bezpieczeństwo danych swoich i klientów.

Nie ma dziwniejszych luk w zabezpieczeniach: luki w ochronie partnerów są drogie

Aby chronić się przed wyciekami danych, bardzo ważne jest zrozumienie, z jakich wektorów ataku korzystają napastnicy. Z kolei te informacje pomogą Ci zrozumieć, jakie rodzaje ataków są najbardziej kosztowne.

Badanie wykazało, że następujące incydenty miały najpoważniejsze konsekwencje finansowe dla średnich i małych firm:

  • Incydenty mające wpływ na infrastrukturę hostowaną na sprzęcie innych firm (17,2 mln rubli)
  • Incydenty dotyczące osób trzecich usługi w chmurze wykorzystany przez firmę (3,6 mln rubli)
  • Niewłaściwa wymiana danych przez urządzenia mobilne (2,5 mln rubli)
  • Fizyczna utrata urządzeń mobilnych, narażająca organizację na ryzyko (2,1 mln RUB)
  • Incydenty związane z urządzeniami niekomputerowymi podłączonymi do Internetu (na przykład przemysłowe systemy sterowania, Internet rzeczy) (1,7 mln rubli)

Sytuacja z dużym biznesem jest nieco inna:

  • Ataki ukierunkowane (75 mln rubli)
  • Incydenty mające wpływ na usługi chmurowe innych firm (19 mln RUB)
  • Wirusy i złośliwe oprogramowanie (9 mln rubli)
  • Niewłaściwa wymiana danych przez urządzenia mobilne (7,3 mln rubli)
  • Incydenty dotyczące dostawców, z którymi firmy wymieniają dane (4,4 mln rubli)

Z tych danych wynika, że ​​bardzo często ataki spowodowane problemami bezpieczeństwa u partnerów biznesowych kosztują firmy każdej wielkości najdrożej. Dotyczy to zarówno organizacji wynajmujących chmurę lub inną infrastrukturę od dostawców zewnętrznych, jak i firm wymieniających swoje dane z partnerami.

Gdy dasz innej firmie dostęp do swoich danych lub infrastruktury, jej słabości stają się Twoim problemem. Zauważyliśmy już jednak, że większość organizacji nie przywiązuje do tego wystarczającej wagi. Nic więc dziwnego, że tego typu incydenty są najbardziej kosztowne: każdy bokser powie Ci, że to nieoczekiwany cios zwykle zwala z nóg.

Natychmiast zauważalny jest również inny wektor, który niespodziewanie znalazł się w pierwszej piątce zagrożeń dla średnich firm: ataki związane z podłączonymi urządzeniami innymi niż komputery. Obecnie ruch Internetu rzeczy (IoT) rośnie znacznie szybciej niż ruch generowany przez jakąkolwiek inną technologię. To kolejny przykład na to, jak nowe rozwiązania zwiększają liczbę potencjalnych luk w infrastrukturze biznesowej. W szczególności powszechne stosowanie domyślnych haseł fabrycznych i słabych funkcji bezpieczeństwa w urządzeniach IoT sprawiło, że są one idealnym rozwiązaniem dla botnetów, takich jak Mirai, złośliwe oprogramowanie, które może zjednoczyć ogromną liczbę podatnych urządzeń w jedną sieć w celu przeprowadzania ataków DDoS na dużą skalę przeciwko wybranym celom.

Zwrócono uwagę na wielkość strat z ataków ukierunkowanych w segmencie dużych firm – to zagrożenie jest niezwykle trudne do przeciwdziałania. W ciągu ostatnich kilku lat ujawniono szereg głośnych ataków ukierunkowanych na banki, co również wzmacnia te rozczarowujące statystyki.

Inwestowanie w redukcję ryzyka

Jak wykazały nasze badania, zagrożenia dla bezpieczeństwa informacji stają się coraz poważniejsze. W tych warunkach nie można nie martwić się o stan samych budżetów bezpieczeństwa informacji. Analizując ich zmiany, możemy zdecydować, czy organizacje postrzegają swoje bezpieczeństwo jako źródło kosztów, czy też równowaga stopniowo się zmienia i zaczynają dostrzegać pole do inwestycji dających realną przewagę konkurencyjną.

Wielkość budżetu pokazuje stosunek firmy do bezpieczeństwa IT, wagę roli systemu bezpieczeństwa z punktu widzenia kierownictwa oraz gotowość organizacji do podejmowania ryzyka.

Budżet bezpieczeństwa informacji: udział rośnie, „tort” maleje

W tym roku obserwujemy, że oszczędności i outsourcing doprowadziły do ​​zmniejszenia budżetów IT. Mimo to (a może właśnie dlatego) udział bezpieczeństwa informacji w tych budżetach IT wzrósł. W Rosji pozytywny trend można zaobserwować w firmach każdej wielkości. Nawet wśród mikrofirm działających w warunkach braku zasobów, udział budżetów IT przeznaczonych na bezpieczeństwo informacji wzrósł, choć o ułamek procenta.

Oznacza to, że firmy wreszcie zaczynają rozumieć znaczenie bezpieczeństwa informacji. Być może pokazuje to, że bezpieczeństwo informacji zaczęło być przez wielu postrzegane jako potencjalnie użyteczna inwestycja, a nie jako źródło kosztów.

Widzimy, że na świecie budżety IT są znacznie ograniczone. Podczas gdy cyberbezpieczeństwo zyskuje coraz większy kawałek tortu, sam tort się kurczy. Tendencja jest niepokojąca, zwłaszcza biorąc pod uwagę, jak wysokie są stawki w tym obszarze i jak kosztowny jest każdy atak.

W Rosji średni budżet bezpieczeństwa informacji dla dużego biznesu w 2017 roku osiągnął 400 mln rubli, a dla SMB - 4,6 mln rubli.

Próba: 694 respondentów w Rosji potrafiących ocenić budżet

Nic dziwnego, że dostawcy usług rządowych (w tym sektor obronny) i instytucje finansowe na całym świecie zgłaszają najwyższe w tym roku wydatki na bezpieczeństwo informacji. Firmy z obu tych sektorów wydały na bezpieczeństwo średnio ponad 5 mln USD. Warto zauważyć, że sektor IT i telekomunikacyjny, a także firmy z branży energetycznej również ponadprzeciętnie wydały na bezpieczeństwo informacji, choć ich budżety okazały się bliższe 3 mln USD, a nie 5 USD.

Jeśli jednak podzielisz całkowity koszt przez liczbę pracowników, organizacje rządowe przesuną się na koniec listy. Średnio IT i telekomy wydają na cyberbezpieczeństwo 1258 USD per capita, podczas gdy sektor energetyczny wydaje 1344 USD, a firmy finansowe 1436 USD. Dla porównania agencje rządowe przeznaczają na cyberbezpieczeństwo tylko 959 USD na osobę.

Zarówno w segmencie IT i telekomunikacji, jak iw branży zaopatrzenia w energię wysokie koszty na pracownika wiążą się najprawdopodobniej z koniecznością ochrony własności intelektualnej, co jest szczególnie pilne w tych sektorach gospodarki. W przypadku przedsiębiorstw użyteczności publicznej wysokie koszty ochrony mogą również wynikać z faktu, że firmy te są coraz bardziej podatne na ukierunkowane ataki ze strony szkodliwych grup.

W tej branży inwestycje w bezpieczeństwo informacji są niezbędne do przetrwania, ponieważ ciągłość biznesowa ma kluczowe znaczenie dla dostaw energii. Konsekwencje udanego cyberataku w tej branży są szczególnie trudne, dlatego inwestycje w bezpieczeństwo informacji przynoszą bardzo wymierne korzyści.

W Rosji IT i telekomunikacja inwestuje się przede wszystkim w bezpieczeństwo informacji, a także w przedsiębiorstwa przemysłowe - średni koszt dla pierwszego sięga 300 milionów rubli, dla drugiego - 80 milionów rubli. Firmy przemysłowe i produkcyjne zwykle polegają systemy zautomatyzowane system zarządzania (ICS) zapewniający ciągłość procesów produkcyjnych. Jednocześnie rośnie liczba ataków na ICS: w ciągu ostatnich 12 miesięcy ich liczba wzrosła o 5%.

Powody inwestowania w bezpieczeństwo informacji

Rozłożenie kwot inwestycji w bezpieczeństwo informacji między sektorami jest bardzo duże. Dlatego szczególnie ważne jest poznanie powodów, które skłaniają firmy do wydawania ograniczonych zasobów na bezpieczeństwo informacji. Bez znajomości motywów nie da się zrozumieć, czy firma uważa pieniądze wydane na bezpieczeństwo infrastruktury IT za zmarnowane, czy za opłacalną inwestycję.

W 2017 roku znacznie więcej firm na całym świecie przyznało, że zamierza inwestować w cyberbezpieczeństwo niezależnie od oczekiwanego zwrotu z inwestycji: 63%, w porównaniu z 56% w 2016 roku. To pokazuje, że coraz więcej firm rozumie znaczenie bezpieczeństwa informacji.

Główne przyczyny zwiększenia budżetu bezpieczeństwa informacyjnego, Rosja

Nie wszystkie firmy oczekują szybkiego zwrotu z inwestycji, ale wiele globalnych firm jako powód zwiększenia budżetów na bezpieczeństwo informacji podało naciski ze strony kluczowych interesariuszy, w tym najwyższego kierownictwa (32%). To pokazuje, że firmy zaczynają dostrzegać swoją strategiczną przewagę we wzroście kosztów bezpieczeństwa informacji: środki bezpieczeństwa pozwalają nie tylko zabezpieczyć się w przypadku ataku, ale także pokazać klientom, że ich dane są również w bezpiecznych rękach co do zapewnienia ciągłości działania, czym jest zainteresowany zarząd firmy....

Najpopularniejszym powodem podnoszenia kosztów bezpieczeństwa informacji większość krajowych firm wymieniła potrzebę ochrony coraz bardziej złożonej infrastruktury informatycznej (46%) oraz konieczność podnoszenia kwalifikacji ekspertów ds. bezpieczeństwa informacji 30%. Liczby te wskazują na potrzebę podnoszenia poziomu wiedzy dostępnej firmie poprzez rozwijanie umiejętności własnych pracowników. Rzeczywiście, zarówno małe, średnie, jak i duże przedsiębiorstwa coraz częściej inwestują we wspieranie swojej wewnętrznej siły roboczej w walce z cyberzagrożeniami.

Jednocześnie zmniejszyła się potrzeba zwiększenia kosztów bezpieczeństwa informacji z powodu nowych operacji biznesowych lub ekspansji firmy wśród rosyjskich przedsiębiorstw: z 36% w ubiegłym roku do 30% w 2017 roku. Być może odzwierciedla to czynniki makroekonomiczne, z którymi nasze firmy musiały się ostatnio zmierzyć.

Wniosek

Masowe ataki, takie jak WannaCry, exPetr i BadRabbit, spowodowały ogromne szkody w 2017 roku. Szkody są również duże w wyniku ataków ukierunkowanych, w szczególności na rosyjskie banki. Wszystko to pokazuje, że krajobraz cyberzagrożeń zmienia się szybko i nieuchronnie. Firmy muszą dostosować swoje mechanizmy obronne lub zostać wykluczone z rynku.

Coraz istotniejszym czynnikiem w podejmowaniu decyzji biznesowych jest różnica między kosztami przygotowania się do odparcia cyberataków a kosztami ponoszonymi przez ofiarę.

Raport pokazuje, że nawet stosunkowo niewielkie naruszenia danych, które nie są interesujące dla ogółu społeczeństwa, mogą być bardzo kosztowne dla firmy i poważnie wpłynąć na jej działalność. Innym powodem wzrostu kosztów w przypadku incydentów bezpieczeństwa są zmiany w prawodawstwie na całym świecie. Firmy muszą albo się dostosować, albo zaryzykować zarówno niezgodność, jak i możliwość włamania.

W takich okolicznościach szczególnie ważne staje się rozważenie wszystkich konsekwencji i kosztów. Być może dlatego coraz więcej firm z różne kraje zwiększyć udział bezpieczeństwa informacji w swoich budżetach IT. W 2017 roku znacznie więcej firm na całym świecie przyznało, że zamierza inwestować w cyberbezpieczeństwo niezależnie od oczekiwanego zwrotu z inwestycji: 63%, w porównaniu z 56% w 2016 roku.

Najprawdopodobniej, ze względu na rosnące szkody spowodowane incydentami cyberbezpieczeństwa, te organizacje, które traktują koszty IT jako inwestycje w bezpieczeństwo i są gotowe wydać na nie znaczne środki, będą lepiej przygotowane na ewentualne problemy. Jaka jest sytuacja w Twojej firmie?

Jak uzasadnić koszt bezpieczeństwa informacji?

Przedruk za uprzejmą zgodą. OJSC InfoTeKS Internet Trust
Oryginalny tekst znajduje się tutaj.

Poziomy dojrzałości firmy

Grupa Gartner identyfikuje 4 poziomy dojrzałości firmy w zakresie bezpieczeństwa informacji (IS):

  • 0 poziom:
    • Nikt nie zajmuje się bezpieczeństwem informacji w firmie, kierownictwo firmy nie zdaje sobie sprawy z wagi problemów związanych z bezpieczeństwem informacji;
    • Brak dostępnych środków;
    • IB jest wdrożony regularne środki system operacyjny, DBMS i aplikacje (ochrona hasłem, różnicowanie dostępu do zasobów i usług).
  • 1 poziom:
    • IS jest postrzegane przez kierownictwo jako problem czysto „techniczny”, nie ma jednego programu (koncepcji, polityki) rozwoju systemu bezpieczeństwa informacji (ISS) firmy;
    • Finansowanie mieści się w całkowitym budżecie IT;
    • IS jest realizowany za pomocą poziomu zerowego + środki Zarezerwuj kopię, narzędzia antywirusowe, zapory ogniowe, sposoby organizowania VPN (tradycyjne środki ochrony).
  • 2 poziom:
    • IS jest postrzegane przez kierownictwo jako zespół środków organizacyjnych i technicznych, istnieje zrozumienie znaczenia SI dla procesów produkcyjnych, istnieje program rozwoju ISIB firmy zatwierdzony przez kierownictwo;
    • IS jest wdrażany za pomocą pierwszego poziomu + środki silnego uwierzytelniania, środki analizy wiadomości pocztowych i treści internetowych, IDS (systemy wykrywania włamań), narzędzia analizy bezpieczeństwa, SSO (środki pojedynczego uwierzytelniania), PKI (infrastruktura klucze publiczne) oraz środków organizacyjnych (audyt wewnętrzny i zewnętrzny, analiza ryzyka, polityka bezpieczeństwa informacji, regulaminy, procedury, regulaminy i wytyczne).
  • Poziom 3:
    • IS jest częścią kultury korporacyjnej, wyznaczonym przez CISA (starszy specjalista ds. bezpieczeństwa informacji);
    • Finansowanie zapewniane jest w ramach odrębnego budżetu;
    • IS jest wdrażany za pomocą drugiego poziomu + systemy zarządzania IS, CSIRT (zespół reagowania na naruszenia IS), SLA (umowa o poziomie usług).

Według Gartner Group (dane za 2001 rok) odsetek firm w odniesieniu do opisanych 4 poziomów przedstawia się następująco:
poziom 0 - 30%,
I poziom - 55%,
II poziom - 10%,
III poziom - 5%.

Perspektywy Gartner Group na rok 2005 są następujące:
poziom 0 - 20%,
I poziom - 35%,
II poziom - 30%,
Poziom 3 - 15%.

Statystyki pokazują, że większość firm (55%) w obecnie wprowadzono minimalny wymagany zestaw tradycyjnych technicznych środków ochrony (poziom 1).

Przy wdrażaniu różnych technologii i środków ochrony często pojawiają się pytania. Co najpierw wdrożyć, system wykrywania włamań czy infrastrukturę PKI? Co będzie bardziej efektywne? Stephen Ross, dyrektor Deloitte & Touche, proponuje następujące podejście do oceny skuteczności poszczególnych środków i środków bezpieczeństwa.

Na podstawie powyższego wykresu można zauważyć, że najdroższe i najmniej efektywne są narzędzia specjalistyczne (opracowania własne lub niestandardowe).

Najdroższe, ale jednocześnie najskuteczniejsze są zabezpieczenia IV kategorii (poziom 2 i 3 wg Gartner Group). Do realizacji tej kategorii funduszy konieczne jest zastosowanie procedury analizy ryzyka. Analiza ryzyka w tym przypadku pozwoli zagwarantować adekwatność kosztów wdrożenia do istniejących zagrożeń naruszenia SI.

Najtańsze, ale charakteryzujące się wysokim poziomem efektywności, są środki organizacyjne (audyt wewnętrzny i zewnętrzny, analiza ryzyka, polityka bezpieczeństwa informacji, plan ciągłości działania, regulaminy, procedury, regulaminy i wytyczne).

Wprowadzenie dodatkowych środków ochrony (przejście na poziom 2 i 3) wymaga znacznych nakładów finansowych i odpowiedniego uzasadnienia. Brak jednolitego programu rozwoju SZBI, zatwierdzonego i podpisanego przez kierownictwo, pogłębia problem uzasadnienia inwestycji w bezpieczeństwo.

Ocena ryzyka

Takim uzasadnieniem mogą być wyniki analizy ryzyka oraz statystyki zgromadzone na temat incydentów.Mechanizmy wdrażania analizy ryzyka i gromadzenia statystyk powinny być określone w polityce bezpieczeństwa informacji firmy.

Proces analizy ryzyka składa się z 6 kolejnych kroków:

1. Identyfikacja i klasyfikacja obiektów ochrony (zasobów przedsiębiorstwa podlegających ochronie);

3. Budowa modelu atakującego;

4. Identyfikacja, klasyfikacja i analiza zagrożeń i podatności;

5. Ocena ryzyka;

6. Dobór środków organizacyjnych i technicznych środków ochrony.

Na scenie identyfikacja i klasyfikacja chronionych obiektów konieczne jest przeprowadzenie inwentaryzacji zasobów firmy w następujących obszarach:

  • Zasoby informacyjne(poufne i krytyczne informacje o firmie);
  • Zasoby oprogramowania (OS, DBMS, krytyczne aplikacje, takie jak ERP);
  • Zasoby fizyczne (serwery, stacje robocze, sprzęt sieciowy i telekomunikacyjny);
  • Zasoby serwisowe ( E-mail, www itp.).

Kategoryzacja jest określenie poziomu poufności i krytyczności zasobu. Poufność odnosi się do poziomu tajności informacji przechowywanych, przetwarzanych i przesyłanych przez zasób. Krytyczność rozumiana jest jako stopień wpływu zasobu na efektywność funkcjonowania procesów produkcyjnych firmy (np. w przypadku przestoju zasobów telekomunikacyjnych firma dostawcy może zbankrutować). Przypisując określone wartości jakościowe parametrom poufności i krytyczności, można określić poziom ważności każdego zasobu z punktu widzenia jego udziału w procesach produkcyjnych firmy.

W celu określenia znaczenia zasobów firmy z punktu widzenia bezpieczeństwa informacji można uzyskać poniższą tabelę:

Na przykład pliki z informacjami o poziomie wynagrodzeń pracowników firmy mają wartość „ściśle poufne” (parametr poufności) oraz wartość „pomijalne” (parametr krytyczności). Zastępując te wartości w tabeli, możesz uzyskać integralny wskaźnik znaczenia tego zasobu. Różne warianty metod kategoryzacji są podane w międzynarodowej normie ISO TR 13335.

Budowanie modelu atakującego jest proces klasyfikacji potencjalnych naruszycieli przez następujące parametry:

  • Typ atakującego (konkurent, klient, programista, pracownik firmy itp.);
  • Stanowisko napastnika w stosunku do obiektów ochrony (wewnętrzne, zewnętrzne);
  • Poziom wiedzy o przedmiotach ochrony i środowisku (wysoki, średni, niski);
  • Poziom możliwości dostępu do chronionych obiektów (maksymalny, średni, minimalny);
  • Czas działania (stale, w określonych odstępach czasu);
  • Lokalizacja (przyjęta lokalizacja atakującego podczas ataku).

Poprzez przypisanie wartości jakościowych do wymienionych parametrów modelu atakującego możliwe jest określenie potencjału atakującego (całkowita charakterystyka możliwości atakującego do implementacji zagrożeń).

Identyfikacja, klasyfikacja i analiza zagrożeń i podatności pozwalają określić sposoby realizacji ataków na obiekty ochrony. Luki to właściwości zasobu lub jego środowiska, które są wykorzystywane przez atakującego do implementacji zagrożeń. Listę luk w zasobach oprogramowania można znaleźć w Internecie.

Zagrożenia są klasyfikowane według następujących kryteriów:

  • nazwa zagrożenia;
  • typ atakującego;
  • środki realizacji;
  • wykorzystane luki w zabezpieczeniach;
  • wykonane czynności;
  • częstotliwość wdrażania.

Głównym parametrem jest częstotliwość realizacji zagrożenia. Zależy to od wartości parametrów „potencjał atakującego” i „bezpieczeństwo zasobów”. Wartość parametru „bezpieczeństwo zasobów” jest określana na podstawie ocen eksperckich. Przy ustalaniu wartości parametru brane są pod uwagę subiektywne parametry atakującego: motywacja do wdrożenia zagrożenia oraz statystyki z prób wdrożenia tego typu zagrożeń (jeśli występują). Wynikiem etapu analizy zagrożeń i podatności jest ocena parametru „częstotliwości wdrażania” dla każdego z zagrożeń.

Na scenie ocena ryzyka Dla każdego zasobu lub grupy zasobów określane są potencjalne szkody wynikające z zagrożeń naruszenia bezpieczeństwa informacji.

Jakościowy wskaźnik uszkodzenia zależy od dwóch parametrów:

  • znaczenie zasobu;
  • Częstotliwość zagrożenia tego zasobu.

Na podstawie uzyskanych ocen szkód rozsądnie dobiera się odpowiednie środki organizacyjne i techniczne środki ochrony.

Gromadzenie statystyk incydentów

Jedyną podatnością proponowanej metodyki oceny ryzyka, a tym samym uzasadnienia konieczności wprowadzenia nowych lub zmiany istniejących technologii ochrony, jest określenie parametru „częstotliwości realizacji zagrożenia”. Jedynym sposobem na uzyskanie obiektywnych wartości tego parametru jest gromadzenie statystyk dotyczących incydentów. Zgromadzone statystyki np. za rok pozwolą nam określić ilość zagrożeń (pewnego typu) przypadających na zasób (pewnego typu). Wskazana jest praca nad gromadzeniem statystyk w ramach procedury obsługi incydentów.