СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
CISOCLUB
27.05.2025
#Dev#ИБ

Эксперт Дмитриева: российским компаниям следует сместить фокус с «потраченных денег» на «достигнутые результаты» в кибербезопасности

Эксперт Дмитриева: российским компаниям следует сместить фокус с потраченных денег на достигнутые результаты в кибербезопасности

Изображение: Israel Andrade (unsplash)

Киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева прокомментировала для CISOCLUB инициативу российских компаний о пересмотре штрафов за утечки данных при условии инвестиций в кибербезопасность.

По словам эксперта, запрос бизнеса на снижение штрафов возник незадолго до вступления в силу актуальных требований ФЗ-420 и ФЗ-421.

«Вероятно, компании произвели перерасчёт рисков «в последний момент» и неприятно впечатлились потенциальными потерями от оборотных штрафов. Сильнее всего компании удручает неопределённость в вопросах корректности внедрённых средств защиты информации и методик защиты данных, а в данной плоскости вопрос независим от финансовых инвестиций. Таким образом, результат расследования инцидента и оценка инвестиций может стать манипуляцией», — отметила Дмитриева.

Эксперт также подчеркнула проблему с недостаточной глубиной самого требования инвестировать «0,1% выручки».

«Наиболее правдивым кажется отсутствие глубины в требовании инвестировать «0,1% выручки», в связи со слабым учётом специфики компаний и отраслевого воздействия. Глобально для малого бизнеса эта сумма недостаточна, для крупного — аналогично. Например, компания с выручкой 10 млрд рублей потратит 10 млн рублей на обеспечение защиты данных, что непропорционально мало», — пояснила она.

Кроме того, Дмитриева указала на риск формального подхода к защите данных без интеграции решений в реальные процессы безопасности компании.

«Отсутствие понятных критериев оценки эффективности инвестиции компании могут ограничиться покупкой «коробочных» решений без интеграции в процессы защищённости, что не поможет снизить риск реализации утечек», — добавила эксперт.

Ирина Дмитриева подчеркнула важность разработки конкретных критериев и метрик оценки результата инвестиций в безопасность.

«Важно разработать не только чёткие критерии, но и создать метрики оценки полученных результатов, в числе которых независимый анализ защищённости и отсутствие критических уязвимостей на продовых активах по внешней поверхности атаки. Чтобы избежать имитации деятельности, необходимо сместить фокус с «потраченных денег» на «достигнутые результаты»», — заключила эксперт.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Рассказываем все самое интересное про ИТ, ИБ.
Комментарии: