«В ПФО реже, чем в целом по России, сообщали о росте бюджета на информационную безопасность»

Какова общая ситуация

Каждый год мы проводим исследование состояния информационной безопасности в российских компаниях. Мы фокусируемся не на внешних угрозах, а на тех, которые сосредоточены внутри компаний. А это целая россыпь возможных рисков: утечек информации, корпоративного мошенничества, откатов, а также простой человеческой невнимательности, халатности, недальновидности и подверженности влиянию внешних злоумышленников.

Чтобы понять ситуацию, мы спрашивали о том, как изменилось число инцидентов информационной безопасности по вине человека — и о росте заявили 16% опрошенных. Это указывает на то, что компании повышают свою осведомленность об угрозах — инциденты стали чаще выявлять, и это однозначно положительный тренд. В некоторых отдельных отраслях он еще более заметен. Например, в ретейле, нефтегазовой и финансовой сфере.

Не случайно — в этих отраслях риски информационной безопасности просто огромны: разветвленная филиальная сеть, сложные бизнес-процессы. Но главное — есть что красть. К счастью, эти же компании наиболее хорошо защищены в плане информационной безопасности: внедряют не только доступные и привычные инструменты, но и такие специфические, как DLP- и SIEM-системы (специализированные программы, которые фиксируют утечки и события информационной безопасности).

В основном под давлением регуляторов установку и внедрение DLP- и SIEM-систем проводят банки (требование Центробанка РФ). Остальные же делают это не из страха перед уплатой штрафов — наказаний от регуляторов не так уж боятся. Фото computerworld.ru

Но, к сожалению, в ПФО реже, чем в целом по России, сообщали о росте бюджета на безопасность (21% против 30%). 14% даже сократили эти траты. В основном под давлением регуляторов установку и внедрение DLP- и SIEM-систем проводят банки (требование Центробанка РФ). Остальные же делают это не из страха перед уплатой штрафов — наказаний от регуляторов не так уж боятся. Хотя в законодательстве и есть страшные статьи, по ним нет наработанной судебной практики.

К примеру, есть всем известный закон о персональных данных и есть огромное количество новостей о том, как то тут, то там утекают данные паспортов и кредиток, но за это Роскомнадзор не штрафует.

Нельзя игнорировать имидж

При такой ситуации мне более всего бросается в глаза, что компании стали чаще признавать ответственность за утечку информации. В этом году мы увидели значимый скачок, и в скором времени российские показатели сравняются с показателями стран ЕС и США. 31% из опрошенных представителей компаний ПФО сообщили, что уведомляют пострадавших об утечке. Это говорит о том, что компании больше не могут игнорировать репутационные риски. Правда, в СМИ информацию передают только 2% опрошенных. Но не все сразу.

Вопрос имиджа вообще очень любопытный. Как выяснилось из исследования, к риску потери репутации компании относятся серьезно. Пятая часть опрошенных рассказала, что они контролируют, чтобы сотрудники не распространяли негативные отзывы о компании, примерно такому же проценту опрошенных важно, насколько лоялен коллектив. 24% опрошенных сообщили, что фиксировали имиджевый ущерб от инцидентов.

Пятая часть опрошенных рассказала, что они контролируют, чтобы сотрудники не распространяли негативные отзывы о компании, примерно такому же проценту опрошенных важно, насколько лоялен коллектив. Фото: Григорий Собченко/BFM.ru

Но, конечно, еще более важны прямые финансовые потери. О том, что непродуктивность, мошенничество сотрудников, утечки информации приводили к финансовому ущербу из организации, сообщили 43% опрошенных. Главные проблемы — это использование сотрудниками ресурсов компании в личных целях (43% ответов), промышленный шпионаж и работа в пользу конкурентов (23%), попытки откатов (18%).

Утечки информации, как правило, верные спутники таких инцидентов. В трети случаев пропадала информация о клиентах и сделках, чуть реже (28% ответов) – техническая информация. На третьем месте — информация о партнерах (17%), на четвертом — внутренняя бухгалтерия (4%). Таким образом, коммерческая информация утекала из поволжских компаний более чем в половине случаев.

Кто нарушает, как наказывают

Если пытаться нарисовать портрет нарушителя, то чаще всего им окажется рядовой сотрудник. Об этом сообщили 76% участников опроса. Больше всего среди них менеджеров отдела снабжения (28% ответов), бухгалтеров и экономистов (22%), помощников руководителя и секретарей (18%). То есть тех, кто к ресурсам и информации ближе всего.

Работодатели не хотят прощать нарушителей: увольняют в трети случаев, еще в 28% случаев — штрафуют. Но до суда дело доводят только в 6% случаев — не хотят привлекать к себе внимание, справедливо считая, что деньги любят тишину. Поэтому эти нечастые случаи обращения в суд чаще всего говорят о вопиющем нарушении и остром желании работодателя наказать сотрудника. Гораздо чаще, конечно, руководители просто машут рукой на нарушителя.

Чтобы предотвращать инциденты, работодатели предпочитают контролировать электронную почту, внешние носители и телефонные разговоры своих сотрудников. Фото pxhere.com

Но иски на нарушителей стараются не подавать и из-за особенностей судопроизводства: выиграть дело даже против самого злостного сотрудника-нарушителя энергозатратно, а выгода не всегда очевидна. Хотя в нашей практике немало дел, в которых суды принимают к сведению данные из специального программного обеспечения и встают на сторону работодателя.

Чтобы предотвращать инциденты, работодатели предпочитают контролировать электронную почту, внешние носители и телефонные разговоры своих сотрудников (27, 22 и 16% ответов соответственно). Наиболее пристальное внимание обращают на тех, кто распространяет негативные отзывы о компании, нелоялен или саботирует работу. Эти негативные признаки поведения собрали в среднем по 20% ответов.

Это тоже интересный тренд. Работодателю важно не просто иметь возможность перекрыть в нужный момент утечку информации. Важно понимать, с кем он работает, личностные проблемы сотрудников, которые могут быть опасны для бизнеса и коллектива — наркозависимость, разделение экстремистских убеждений, нелояльность компании.