25 апреля 2024

Приоритеты в защите заметно разошлись в разных отраслях

По ито­гам 2023 г. сред­няя до­ля рас­хо­дов на ИБ в рос­сий­ских ком­па­ниях сос­та­вила 15% от об­ще­го ИТ-бюд­же­та. В сред­нем объ­ем бюд­же­та ком­па­ний в го­довом вы­раже­нии уве­личил­ся на 20%, на­рас­ти­ли ИБ-бюд­жет око­ло по­лови­ны ком­па­ний. При этом 45% ИТ- и ИБ-спе­циа­лис­тов нез­на­комы с рас­пре­деле­нием бюд­же­та на ИБ в ком­па­нии.

Такой результат аналитики Yandex Cloud получили в ходе исследования "Безопасность в облаках и не только: исследование‑прогноз для CISO на 2024 г.", которое проведено при участии компании "Деловые решения и технологии" (ДРТ). В опросе приняли участие более 300 ИТ- и ИБ-специалистов, а также руководителей бизнес-направлений из различных отраслей, включая банковский сектор, страхование, обрабатывающую и добывающую промышленность, розничную торговлю, разработку ПО и др. Также в рамках исследования проведено 26 глубинных интервью с представителями 17 крупных компаний.

По данным исследования, в среднем доля расходов на ИБ в российском бизнесе составляет 15% от общего бюджета на ИТ. У большинства компаний затраты на проекты безопасности по сравнению с прошлым годом выросли в среднем на 20%.

Заместитель технического директора Innostage Данияр Исхаков связал рост ИБ бюджетов с необходимостью решать задачи по обеспечению реальной защищенности от хакерских атак, повышению эффективности использования этих финансовых средств, обучению ИБ-специалистов и обеспечению покрытия средствами защиты всей ИТ-инфраструктуры. Также, по его оценке, сказалась и потребность в решении задач по импортозамещению в области ИБ, и обе эти тенденции продолжатся и в 2024 г.

"Да, действительно, средний ИБ-бюджет компании составляет 15% от ИТ-бюджета. Размер ИБ-бюджета иногда может быть меньше, иногда больше - в зависимости от специфики деятельности компании, - уверен генеральный директор облачного провайдера "Нубес" (Nubes) Василий Степаненко. - В 2023 г. росту ИБ-бюджетов способствовали опасения, связанные с участившимися атаками хакеров и хактивистов. В 2024 г. эта тенденция остается основным драйвером роста ИБ-бюджета бизнеса. Количество атак хакеров растет, как и масштаб ущерба, наносимого бизнесу. Причем размеры ИБ-бюджета бизнес определяет, исходя не из возможного ущерба, а из приемлемого времени простоя сервиса. Так как сейчас большинство услуг должно быть доступно 24/7, размеры ИБ-бюджета увеличиваются. Сказывается также рост инфляции".

Руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов обратил внимание, что неверно рассматривать ИБ-бюджет как часть ИТ-бюджета: "Как я понимаю, исследователи в данном случае говорят о бюджете на ИТ-безопасность - компьютерную безопасность, кибербезопасность, БИТ, IT-Security и т.п., - которая является частью технической защиты информации (ТЗИ), и уже она часть сферы ИБ. Таким образом, в состав ТЗИ могут входить расходы на безопасность бумажных документов, переговоров, внедрение системы менеджмента ИБ, контроль защищенности и тому подобные меры. ИТ-безопасность, как правило, включает в себя закупку, внедрение и эксплуатацию средств защиты информации, обучение специалистов. Но обучение специалистов служб ИБ, которые далеко не всегда входят в состав служб информатизации, мероприятия по контролю защищенности и другие подобные расходы - это, как правило, за пределами ИТ. Таким образом, возможно говорить, что ИБ-бюджеты в части ИТ-безопасности превышают названные в исследовании величины, но так как в абсолютных величинах стоимость внедрения и эксплуатации СЗИ, создания и содержания SOC стоят немало, то разницу возможно оценить в плюс 3-5%".

При этом 45% участников опроса заявили, что незнакомы с тем, как распределяются статьи ИБ-бюджета. Но при этом почти у половины российских компаний в 2023 г. увеличились бюджеты, которыми управляют руководители ИБ-подразделений (или CISO, англ. - от Chief Information Security Officer).

Как показало исследование, фокус для инвестиций по разным отраслям заметно отличается. Если у финансового сектора и промышленности в приоритете продление лицензий на ПО, масштабирование имеющихся средств защиты и замена старых систем, то у розницы - расширение штата ИБ-специалистов, внедрение новых процессов и обучение персонала. Авторы исследования связывают эти различия с тем, что цифровизация в рознице началась позже и там только начинают создавать ИБ-команды. Также представители розницы существенно чаще отмечали в качестве значимой проблемы низкую квалификацию персонала (37% против среднего показателя в 19%).

Ведущий сайта "Бизнес без опасности" и Telegram-канала "Пост Лукацкого" Алексей Лукацкий назвал распределение инвестиций в целом логичным для 2023 г., в условиях ухода иностранных вендоров, но отметил отсутствие инвестиций в развитие именно стратегии ИБ, свидетельством чему стало то, что 38% опрошенных вообще не в курсе, как часто в их компании обновляется стратегия ИБ.

"Уровень цифровизации ретейла выше, чем промышленности. Компании из сферы ретейла активно прибегают к аутсорсингу, поэтому их расходы на ИБ связаны не только и не столько с увеличением штата ИБ-специалистов. В свою очередь, промышленные предприятия и финансовые организации пользуются услугами аутсорсинга реже из-за ограничений, накладываемых определенными нормативно-правовыми актами, - возражает Василий Степаненко. - Масштабирование систем у ретейла также находится в приоритете. В целом разница в обеспечении информационной безопасности в этих сферах заключается в том, что финансовые организации делают акцент на конфиденциальность, ретейлеры - на доступность, промышленные предприятия - на целостность и доступность в одинаковой степени".

"Финансовый сектор, с одной стороны, всегда являлся интересным объектом для атак, поэтому активно вкладывался в обеспечение своей защищенности и создание сильных ИТ- и ИБ-команд. С другой стороны, это еще очень зарегулированная с точки зрения требований к ИБ отрасль. Стараниями Центрального банка создана нормативно-правовая база, содержащая высокие требования к защите информации. Финансовый сектор, действительно, в большей степени оснащен основными классами средств защиты информации и требует точечных улучшений. Промышленность в большей степени имеет изолированную инфраструктуру, которая не требует роста ИТ-инфраструктуры, как у банков или ретейла. Основной задачей, на мой взгляд, тут является повышение эффективности от ранее сделанных вложений в ИБ и решение точечных задач по импортозамещению или модернизации систем защиты, - комментирует Данияр Исхаков. - Ретейл ранее никогда не ощущал себя объектом для глобальных хакерских атак и был больше сосредоточен на развитии ИТ, которые поддерживают и развивают бизнес. Затраты системы защиты информации в большей степени воспринимались как формальные обязательства по исполнению требований о защите персональных данных. Ретейл, также как и финансовый сектор, имеет высокий уровень цифровизации, но необходимость предоставления удобства и функциональности для бизнес-пользователей и отсутствие каких-либо ограничений со стороны регулятора зачастую приводили к использованию иностранных или open-source-решений как в ИТ, так и в ИБ, так как отечественные решения ранее сильно уступали в функциональности и удобстве работы с ними. Но ретейлеры ощутили проблему со сложностью продления поддержки и масштабированием иностранных решений и/или нехватку решений по защите информации для обеспечения защищенности своей ИТ-инфраструктуры, поэтому в большей степени сосредоточены на внедрении новых решений по ИБ, обеспечении штатной численности ИБ-специалистов для обслуживания новых систем защиты и их обучении".

"Чаще всего для первичного проникновения во внутреннюю сеть розничных и e-com-компаний используются фишинговые письма с вредоносными вложениями и ссылками, а также публично доступные приложения и сервисы, которые предоставляют удаленный доступ во внутреннюю сеть из сети Интернет (публично доступные серверы RDP, VPN-сервисы, в том числе с использованием валидных существующих учетных записей)", - говорится в отчете по результатам исследования Angara Secutiy, согласно которому отрасль розничной торговли названа в числе трех наиболее атакуемых по результатам 2023 г. Основными векторами проникновения являются фишинг и социальная инженерия, атаки на цепочки поставок и через решения с открытым исходным кодом. В этих условиях, по мнению аналитиков Angara Secutiy, киберграмотность сотрудников становится важным фактором обеспечения кибербезопасности для ретейла и электронной коммерции.

"На мой взгляд, расстановка приоритетов в этих отраслях связана в первую очередь со спецификой работы и процессов, - отметил руководитель отдела технологической экспертизы Softline Денис Чигин. - Та же розница склонна постоянно расширять присутствие в части магазинов, что требует дополнительного персонала и его обучения. Это, в свою очередь, накладывает отпечаток на то, какие именно проекты в части ИБ она реализует, так как и события, которые коллеги в рознице пытаются предотвратить, диктуются той же отраслевой спецификой. Более того, уровень цифровизации в рознице, крупных сетях по крайней мере, я бы низким не назвал. Достаточно посмотреть, как быстро адаптировался сегмент к ковидным реалиям. И я бы не сказал, что развитие после этого как-то замедлилось и остановилось. В других отраслях развитие, может, и идет по несколько отличным векторам, что накладывает отпечаток на приоритеты в части проектов ИБ".

Источник: Comnews

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend