Число подтвержденных инцидентов в сфере информационной безопасности по всему миру в 2013 году выросло на 48% и составило 42,8 миллиона. Это означает, что в среднем каждый день совершалось 117 339 кибератак. Если анализировать ситуацию за более длительный период, то с 2009 года совокупный среднегодовой темп роста (CAGR) числа выявленных инцидентов информационной безопасности ежегодно увеличивался на 66%. Об этом свидетельствуют результаты глобального исследования по вопросам обеспечения информационной безопасности, перспективы на 2015 год (The Global State of Information Security Survey 2015), проведенного фирмой PwC совместно с журналами CIO и CSO. В основе результатов, рассматриваемых в настоящем отчете, лежат ответы более чем 9 700 респондентов из 154 стран: руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров по информационным технологиям, руководителей служб безопасности, вице-президентов и директоров по вопросам информационных технологий и информационной безопасности.

«Результаты проведенного PwC исследования наглядно отображают текущую ситуацию и динамику изменений в области кибербезопасности. В настоящее время киберугрозы и риски приобрели более комплексный характер, а кибератаки стали еще изощреннее и сложнее в обнаружении. Постоянное развитие информационных технологий и повсеместная зависимость, как компаний, так и людей от них, привели к эскалации вопросов кибербезопасности на всех уровнях бизнеса и государства. В сегодняшних условиях наиболее оптимальным подходом к обеспечению информационной безопасности является регулярное профессиональное тестирование защищенности компании и риск ориентированный подход к инвестициям в информационную безопасность в тесной взаимосвязи с бизнес-целями и трендами. Международная сеть фирм PwC включает более 2000 киберспециалистов, имеет центр компетенций в Москве и Польше и представлена во всех странах Центральной и Восточной Европы. Наши компетенции и опыт позволяют предоставлять клиентам полный спектр услуг, направленных на повышение информационной безопасности и способствующих успешному и стабильному развитию бизнеса», — отметил Роман Чаплыгин, директор по анализу и контролю рисков в сфере кибербезопасности, PwC в России.

Результаты исследования подтверждают тот факт, что кибербезопасность перестала быть проблемой, которая беспокоит лишь специалистов по информационным технологиям и информационной безопасности. Инциденты в сфере кибербезопасности сказываются на деятельности высшего руководства и на решениях, принимаемых советом директоров.

По мере увеличения количества инцидентов в сфере информационной безопасности, растут и сопутствующие издержки, связанные с необходимостью контроля и минимизации последствий допущенных нарушений. В мировом масштабе средний расчетный показатель ежегодных подтвержденных финансовых убытков, связанных с инцидентами в сфере кибербезопасности, составил 2,7 млн долларов США, что на целых 34% больше, чем в 2013 году. В свете громких случаев взлома компьютерных систем и утечки конфиденциальной информации не удивляет вывод о том, что кибератаки, приведшие к крупным убыткам встречаются чаще: количество организаций, сообщивших о финансовых потерях в размере 20 млн долларов США и более, за 2013 год увеличилось на 92%

Однако, как показало проведенное исследование, несмотря на возросшую обеспокоенность руководителей компаний, в 2014 году во всем мире было выделено на 4% меньше средств на обеспечение информационной безопасности, чем в 2013 году. Фактически за последние пять лет доля расходов на информационную безопасность в ИТ-бюджете ни разу не превысила 4%.

О серьезных рисках, с которыми сопряжена сфера кибербезопасности, знают организации любого масштаба и любой отрасли. Однако более крупные компании выявляют больше инцидентов в этой области. В выборке глобального исследования PwC крупные организации (те, чей валовой годовой доход составляет не менее 1 млрд долларов США) выявили на 44% больше инцидентов по сравнению с 2013 годом. Количество инцидентов в сфере кибербезопасности, обнаруженных организациями среднего размера (с доходами от 100 млн до 1 млрд долларов США), увеличилось на 64%. И хотя риск приобрел универсальный характер, результаты исследования показывают, что финансовые убытки тоже значительно варьируются в зависимости от размера организации.

В числе лиц, замешанных в киберпреступлениях, все чаще называют инсайдеров (бывших и нынешних сотрудников компании, имеющих доступ к служебной информации). Однако во многих случаях они непреднамеренно становятся виновниками несанкционированного разглашения секретной информации, когда теряют свое мобильное устройство или становятся объектом фишингового мошенничества. Процентная доля респондентов, обвиняющих действующих сотрудников своей компании, возросла на 10% по сравнению с 2013 годом. В рамках исследования по вопросам киберпреступности в США за 2014 год почти треть респондентов (32%) заявили, что преступления, связанные с действиями «инсайдеров», дороже обходятся компании по сравнению с инцидентами, в которых виновны «чужие». Тем не менее, во многих компаниях до сих пор не внедрена программа противодействия угрозам со стороны «инсайдеров», и, соответственно, такие компании не готовы предотвращать и выявлять внутренние угрозы, а также должным образом на них реагировать.

Резонансные попытки несанкционированного доступа со стороны иностранных государств, организованной преступности и конкурентов называют в числе наименее часто встречающихся инцидентов, хотя они и представляют собой самую быстрорастущую угрозу в сфере кибербезопасности. В этом году число респондентов, сообщивших о кибератаке со стороны иностранных государств, возросло на 86%, причем как раз об этих инцидентах данные с большей степенью вероятности занижаются. В результате исследования также выяснилось, что на целых 64% увеличилось число инцидентов в сфере информационной безопасности, приписываемых конкурентам, часть которых может действовать при поддержке иностранных государств.

Осуществление эффективных мероприятий по повышению уровня информированности в сфере информационной безопасности требует заинтересованного участия на всех уровнях организации сверху вниз и информационного взаимодействия с использованием вертикали власти — тактики, которая, как показал опрос, отсутствует у многих организаций. Лишь 49% респондентов сказали, что в их организации сформирована рабочая группа с участием представителей всех заинтересованных служб, которая регулярно встречается для обсуждения вопросов обеспечения информационной безопасности, координации усилий в этой области и надлежащего информирования сотрудников организации.

Полученная статистика в целом релевантна и для России. В то же время есть ряд отличий, в частности: показатель среднегодовых потерь составил 9 млн долларов США, что в 1,5 раза выше, чем в целом по результатам исследования. С учетом этого не удивляет и отличие среднего значения бюджета на информационную безопасность: для России он составил 1,5 млн долларов США, что почти в 3 раза ниже аналогичных сводных мировых данных и составляет 2,3% от бюджета на ИТ. Еще одно существенное отличие заключается в распределении виновников инцидентов: так, в России процент участия бывших и действующих работников в инцидентах информационной безопасности выше в 1,5 раза (56% в России относительно 34,5% по миру в части действующих работников и 40% относительно 30,4% для бывших работников).

В части основных приоритетов по обеспечению информационной безопасности в России, как и в мире, на первом месте находятся обеспечение конфиденциальности и защита персональных данных, а наиболее уязвимым местом в защите является низкая степень осведомленности работников компаний в области информационной безопасности.