Компания RSA, подразделение безопасности корпорации EMC, опубликовала первые результаты исследования Cybersecurity Poverty Index, который объединяет результаты опроса более чем 400 специалистов по ИТ-безопасности из 61 страны. Участники исследования самостоятельно оценивали зрелость систем ИТ-безопасности своих организаций в соответствии с набором стандартов NIST Cybersecurity Framework (CSF).
Хотя обычно считается, что крупные организации располагают необходимыми ресурсами для создания более надежной системы киберзащиты, результаты исследования показывают, что размер организации не коррелирует с уровнем организации системы ИТ-безопасности: почти 75% всех респондентов оценили свой уровень безопасности как недостаточный.
Недостаточное развитие систем ИТ-защиты, в целом, не вызывает удивления, так как многие опрошенные организации сообщили о том, что в течение последних 12 месяцев сталкивались с инцидентами, приведшими к потере данных или нарушению работы. Исследование показало, что самые высокие уровни развития ИТ-систем наблюдаются в области «Защита». Результаты исследования показывают, что для организаций основной стратегией обеспечения ИТ-безопасности являются превентивные решения, несмотря на широко распространенное понимание того, что одних превентивных мер недостаточно для защиты от сложных современных атак. Кроме того, самым слабым местом организаций, участвовавших в опросе, оказалась способность измерять и оценивать риски ИТ-безопасности и смягчать их последствия: 45% опрошенных организаций говорят о недостатке собственных возможностей в этой сфере, и только 21% считают, что имеют системный подход к обеспечению безопасности. Такое положение усложняет приоритезацию при выборе решений по безопасности. А ведь именно эту основополагающую задачу должна решить любая организация, стремящаяся улучшить свою ИТ-безопасность.
Вопреки ожиданиям, исследование показало, что уровень развития системы безопасности не связан напрямую с размером организации. Оказалось, что 83% опрошенных организаций со штатом более 10 тысяч сотрудников оценили свои возможности ниже уровня «Развитые». Понимание невысокого уровня развития ИТ-систем должно стимулировать переход от стратегий реагирования на уже существующие угрозы к стратегиям создания более надежной и зрелой системы безопасности в целом.
Также неожиданными оказались результаты для организаций из сектора финансовых услуг, который часто лидирует среди отраслей по уровню организации ИТ-систем. Вопреки расхожим представлениям, опрошенные финансовые организации не продемонстрировали высокого уровня организации ИТ, так как всего треть из них оказались достаточно подготовленными к обеспечению безопасности. Операторы критически важных инфраструктур, целевая аудитория CSF, должны совершить важные шаги, чтобы повысить текущий уровень ИТ-организации. Телекоммуникационные компании сообщили о самом высоком уровне ИТ-развития — 50% респондентов имеют «Развитые» или «Выдающиеся» возможности, в то время как государственные учреждения имеют самую низкую оценку по отраслям в данном случае — только 18% респондентов соответствуют уровню «Развитые» или «Выдающиеся».
Стандарт CSF первоначально был разработан в США, результаты исследования показали, что по уровню развития этих систем Северная и Южная Америка уступают регионам APJ и EMEA. Организации в регионе APJ сообщают о самых совершенных стратегиях безопасности: 39% оценивают их в целом как «Развитые» или «Выдающиеся», в то время как такую оценку дали своим возможностям в регионе EMEA 26% организаций, а в Северной и Южной Америке — только 24% организаций.
«Это исследование показывает, что предприятия продолжают вкладывать огромные средства в новые брандмауэры, антивирусные и антишпионские программы следующего поколения, надеясь таким образом справиться с современными угрозами. Однако несмотря на инвестиции в эти области даже самые крупные организации не чувствуют себя готовыми к угрозам, с которыми им приходится сталкиваться. Мы считаем, что это противоречие — результат глубокого несоответствия сегодняшних моделей безопасности, основанных на предотвращении, ландшафту современных угроз. Нам нужно изменить свои представления о безопасности, а первый шаг в этом направлении начинается с признания того, что превентивная стратегия изжила себя и больше внимания нужно уделять стратегии, основанной на обнаружении и реагировании», — прокомментировал Амит Йоран (Amit Yoran), президент RSA, подразделения безопасности EMC.