Уровень безопасности в российских организациях не соответствует требованиям времени

Российские компании не соответствуют современным стандартам безопасности, показало исследование «МТС Линк» и Superjob. Примерно 20% сотрудников отечественных организаций никогда не участвовали в обучающих мероприятиях по защите информации.

Эксперты отмечают, что большинство утечек данных вызвано не сложными атаками хакеров, а отсутствием элементарной осторожности у пользователей.

Согласно результатам исследования, в 10% компаний тренинги по защите информации не проводились вовсе. В 2023 году только половина работодателей организовывала подобные курсы для сотрудников. Исследование, охватившее тысячу компаний, выполнено компанией «Вебинар Технологии» (бренд «МТС Линк») совместно с порталом Superjob.

Директор бизнес-юнита «Встречи» компании «МТС Линк» Олег Пашукевич подчеркнул во время общения с журналистами «Известий», что киберпреступники активно используют современные технологии, в том числе искусственный интеллект и дипфейки, для реализации мошеннических схем. По его словам, регулярное обучение персонала остаётся одним из главных методов защиты от угроз, особенно для компаний с гибким или удалённым форматом работы.

Данные опроса сотрудников показали, что только 36% из них проходили инструктаж менее полугода назад. Каждый пятый опрошенный заявил, что никогда не получал подобных знаний, а 7% проходили обучение более года назад.

Директор по цифровой трансформации Школы управления «Сколково» Анатолий Стояновский напомнил, что информационная безопасность — это задача не только профильных специалистов, но и каждого сотрудника. Он отметил, что такие простые ситуации, как потеря рабочего устройства или передача данных незнакомцам, могут создать угрозу для компании. Современные технологии позволяют подделывать голос и изображения, что делает даже обычные разговоры потенциальной уязвимостью.

Валерий Аблеков, технический директор компании МУЛЬТИФАКТОР, заявил редакции CISOCLUB: «В прошлом году многие российские компании, в том числе производственные, начали внедрять комплексные системы защиты, включая многофакторную аутентификацию. При этом уровень незащищённых организаций всё равно остаётся достаточно высоким в нашей стране. Больше половины компаний приходят к нам за защитой после того, как на них была совершена хакерская атака.

Системы, в которых нет защиты, не способны отбивать хакерские атаки, и защита им нужна. Если говорить про ИТ-компании или банковскую сферу, там уровень внедрения систем информационной безопасности высокий. А вот производственные и государственные учреждения по уровню защищённости отстают. И именно в этом секторе мы видим дальнейший рост сферы информационной безопасности».

Юрий Драченин, заместитель гендиректора Staffcop («Атом Безопасность» входит в ГК СКБ Контур), отметил: «В том то и дело, что многие до сих пор думают – меня информационная безопасность не касается. Не последнее место занимают и руководители, которые просто не выделяют на ИБ бюджет, время, сотрудников. Несистемность и отсутствие регулярного менеджмента – это бич не только ИБ, а многих сфер в РФ, просто в сфере информационной безопасности это стало как никогда актуально.

Часто даже сами сотрудники не в состоянии защитить свой собственный аккаунт в соцсетях – откуда у них возникнет желание защищать что-то рабочее.

Для крупного и среднего бизнеса было бы полезно внедрить какой-то обязательный бесплатный курс по ИБ для прохождения и получения электронного сертификата раз в полгода, что сильно бы усложнило жизнь мошенникам. Без такого сертификата человек просто не допускается к работе с данными компании. Этот подход можно сравнить с санитарными книжками, которые обязательны для сотрудников общепита и медицины. Главное, чтобы такие курсы были доступными, либо бесплатными, либо по символической цене».

Александр Зубриков, генеральный директор ITGlobal Security, рассказал CISOCLUB: «Внедрение общей корпоративной культуры и стандартов в области ИБ – по нашему мнению, одна из важнейших задач на данный момент, с точки зрения отрасли в целом. Значительная часть успешных кибератак становится возможной именно “благодаря” низкому общему уровню кибергигиены. Это важно в том числе потому, что развитие подходов злоумышленников значительно ускорилось в последние годы. Без отлаженного процесса обучения просто невозможно быть в курсе всех методов мошенников, а значит едва ли получится на раннем этапе выявить потенциальную атаку. И эта проблема выходит за рамки компетенций ИБ-команд, и касается всех тех, кто работает с чувствительной информацией.

Мы убеждены, что ответственный бизнес должен выстраивать свой внутренний центр компетенций с регулярными, как теоретическими, так и практическими тренингами для всех сотрудников. Для тех сотрудников, кто работает с информацией, мы всегда рекомендуем внедрять систему подтверждения знаний, то есть, сотрудник получает доступ к работе только после успешной сдачи теста. В перспективе возможно появление подобных инструментов на базе регулятора – это поможет стандартизировать процесс, поддерживать методологическую базу в актуальном состоянии, так как у бизнеса не всегда могут быть ресурсы на это.

Уверены, что в этом году нас ожидает значительное развитие именно в этом направлении, т.к. уже через полгода сильно возрастут риски крупных взысканий за утечки персональных данных».

Лолита Кулумбегова, руководитель образовательных проектов Cloud Networks Academy, прокомментировала: «К сожалению, сколько бы решений мы ни внедрили, безопасность никогда не будет защищена на 100%, и мы будем постоянно возвращаться к этой дискуссии, пока не будет предусмотрено системное развитие интеллектуального ресурса специалистов индустрии.

Это развитие обеспечивается не просто выделением бюджетов, а за счёт централизованного подхода к обучению сотрудников с использованием перекрестного опыта ключевых игроков рынка: разработки совместных образовательных программ на основе экспертизы сильных специалистов из разных компаний, привлечения специалистов в области образования (знают, как обучать) и их «скрещивания» с «технарями» в процессе работы (знают, чему обучать). Вчерашний стажер компании-конкурента или партнера завтра может стать вашим главным инженером, и было бы большим преимуществом, если бы этот инженер имел в багаже опыт работы в разных компаниях и мог поделиться им с другими специалистами».

Александр Луганский, менеджер по развитию UserGate, подчеркнул что исторически сложившийся подход, когда к ИБ относятся как к процессу, который усложняет внутренние процессы в компании и мешает ей развиваться, постепенно уходит в прошлое. Все чаще организации задумываются о безопасности своей деятельности и необходимости грамотной интеграции ИБ в ежедневную работу, в которой безопасность становится не ограничителем, а одним из важных элементов, обеспечивающих, надежное и прогнозируемое развитие. Конечно, в такой парадигме живут не все.

«Многие по-прежнему считают, что неинтересны злоумышленникам. Кто-то «дожидается» первого значимого инцидента, который дает ясное представление о рисках, и только тогда начинает развивать это направление. Но бывают и те, кто, пережив инцидент, какое-то время имитируют бурную деятельность, но через какое-то время возвращаются к привычному порядку вещей», — уточнил эксперт.

Кай Михайлов, руководитель направления информационной безопасности iTPROTECT: «По опыту, могу сказать, что организации, которые осознают масштаб потенциальной угрозы с точки зрения кибербезопасности и имеют необходимые ресурсы, как правило, проводят обучения на регулярной основе и делают это достаточно успешно.

Для корпоративного сегмента существуют профильные платформы для обучения сотрудников, на мой взгляд, они успешно справляются со своими задачами, это функция как самого обучения, так и проверки обучающихся. В определенном смысле, это можно сравнить с обычным обучением человека в любом учебном заведении, человеку предлагается нужный инструментарий, закладываются фундаментальные основы касаемо темы, но успех здесь зависит в первую очередь от того, насколько сотрудник и работодатель вовлечен в процесс и заинтересован в конечном результате».