Как отметил руководитель программы Kaspersky Automated Security Awareness Вячеслав Борилин, примерно 80% ИБ-инцидентов начинаются с человеческой ошибки. Увы, сотрудники остаются самым слабым звеном в корпоративной системе обеспечения информационной безопасности.
Более половины участников прошлогоднего международного исследования «Лаборатории Касперского» согласились с этим выводом. Исследование, проведенное компанией в начале этого года, дополняет картину отношения к ИБ со стороны персонала любопытными фактами.
Например, при том, что 23% компаний не разрабатывают для сотрудников правил безопасного хранения служебных данных, 60% персонала хранит на своих рабочих вычислительных устройствах конфиденциальную информацию (финансовые данные, базы электронной почты и т. п.). Разумеется, не имея нужных инструкций, они делают это по своему разумению.
Около трети ИБ-инцидентов связаны с нарушениями персоналом ИБ-правил использования ИТ-ресурсов. Так, примерно 30% сотрудников не скрывают, что делятся логинами и паролями доступа к своим рабочим компьютерам с коллегами. Весомый вклад (27%) в количество ИБ-инцидентов в среде малого и среднего бизнеса вносит обмен данными с помощью мобильных устройств.
Как результат всех этих упущений средний ущерб от одного кибервзлома составляет для крупной структуры около 14 млн. руб., а для СМБ-компании около 4 млн. руб.
Руководство компаний отдает себе отчет в том, что наряду с наращиванием технического парка средств обеспечения ИБ нужно вкладываться в повышение ИБ-грамотности персонала.
Свидетельством этому является стабильный из года в год рост на 50% рынка ИБ-тренингов. Это направление, по оценкам «Лаборатории Касперсокого», является сегодня самым быстро растущим среди прочих направлений обеспечения кибербезопасности. За прошлый год крупные компании увеличили расходы на такие тренинги более чем на 40%, а компании сегмента СМБ — более чем на 60%; 35% ИБ-директоров ИБ-обучение сотрудников относят к высокоприоритетным задачам. Согласно оценкам Cybersecurity Ventures, мировые вложения в тренинги по повышение осведомленности сотрудников в области ИБ в прошлом году составили более 500 млн. долл., а к 2027 г. достигнут 10 млрд. долл.
Рост спроса на повышение осведомленности персонала в области кибербезопасности и слабая готовность организовать это повышение внутренними силам компаний (в силу отсутствия специалистов нужного профиля и готовых программ обучения) открывают, как считают в «Лаборатории Касперского», перспективы для организации процесса повышения ИБ-осведомленности сотрудников по схеме предоставления сервисов сторонними специализированными провайдерами. Компания уже начала продажу таких сервисов, используя свою партнерскую сеть и свою новую автоматизированную платформу Kaspersky ASAP.