• hjem
  •  > 
  • Grafik og design
  •  > 
  • Gennemgang af det russiske informationssikkerhedsmarked. Informationssikkerhed: en kilde til omkostninger eller en strategisk investering? Omkostninger til virksomhedens informationssikkerhed

Gennemgang af det russiske informationssikkerhedsmarked. Informationssikkerhed: en kilde til omkostninger eller en strategisk investering? Omkostninger til virksomhedens informationssikkerhed

Kaspersky Lab Global Corporate IT Security Risks Survey er en årlig analyse af tendenser inden for rundt omkring i verden. Vi ser på så vigtige aspekter af cybersikkerhed som omkostningerne ved informationssikkerhed, de nuværende typer af trusler for forskellige typer virksomheder og de økonomiske konsekvenser af at møde disse trusler. Derudover kan vi ved at lære fra ledere om inse, hvordan virksomheder i forskellige regioner i verden reagerer på ændringer i trusselslandskabet.

I 2017 søgte vi at forstå, om virksomheder ser informationssikkerhed som en omkostningsfaktor (et nødvendigt onde, som de er tvunget til at allokere penge til) eller begynder at betragte det som en strategisk investering (det vil sige et middel til at sikre forretningskontinuitet, giver betydelige fordele i en tid med hastigt udviklende cybertrusler).

Dette er et meget vigtigt spørgsmål, især da it-budgetterne har været faldende i de fleste regioner i verden.

I Rusland var der dog i 2017 en lille stigning i det gennemsnitlige budget, der var allokeret til sikkerhed – 2 %. Det gennemsnitlige informationssikkerhedsbudget i Rusland var omkring 15,4 millioner rubler.

Denne rapport ser nærmere på de typer trusler, som virksomheder af alle størrelser står over for, samt de typiske mønstre for it-forbrug.

Generel information og forskningsmetodologi

Den globale Kaspersky Lab Corporate IT Security Risks Survey er en undersøgelse af ledere, der administrerer deres organisationers it-tjenester, som er blevet gennemført årligt siden 2011.

De seneste data blev indsamlet i marts og april 2017. I alt 5.274 respondenter fra mere end 30 lande blev undersøgt, der dækker virksomheder af alle størrelser.

Rapporten bruger nogle gange følgende betegnelser: små virksomheder - mindre end 50 ansatte, SMB (mellemstore og små virksomheder - fra 50 til 250 ansatte) og store virksomheder (virksomheder med mere end 250 ansatte). Den aktuelle rapport præsenterer en analyse af de mest afslørende parametre fra undersøgelsen.

Hovedkonklusioner:

Det bliver sværere for virksomheder af alle størrelser at bekæmpe cybertrusler, og forsvarsomkostningerne stiger også. I Rusland, i segmentet mellemstore og små virksomheder, er de gennemsnitlige omkostninger ved at eliminere konsekvenserne af kun en cyberhændelse 1,6 millioner rubler, og for det store forretningssegment er omkostningerne 16,1 millioner rubler.

Andelen af ​​IT-budgettet, der er afsat til informationssikkerhed, vokser. Dette er typisk for virksomheder af enhver størrelse. Det samlede budget er fortsat lavt, og i Rusland var væksten kun 2%, så specialister er tvunget til at udføre deres opgaver med få ressourcer.

Skaderne fra en enkelt hændelse vokser, og virksomheder, der ikke prioriterer omkostninger til informationssikkerhed, kan hurtigt komme i alvorlige problemer. Undersøgelsen viste, at i SMB-segmentet bruger virksomheder omkring 300 tusind rubler for hver sikkerhedshændelse på yderligere betalinger til personalet, og store virksomheder kan bruge 2,7 millioner rubler for at reducere skader på mærket.

Skader fra sikkerhedshændelser

Antallet af cybersikkerhedshændelser er stigende, og virksomheder må håndtere en række forskellige konsekvenser, fra yderligere public relations til ansættelse af nye medarbejdere. I 2017 var der en yderligere stigning i økonomiske tab i tilfælde af krænkelser af dataintegritet. Dette burde ændre den måde, virksomheder griber dette spørgsmål an: Virksomheder vil holde op med at se cybersikkerhedsomkostninger som et nødvendigt onde og vil begynde at se dem som investeringer, der vil give dem mulighed for at undgå betydelige økonomiske tab i tilfælde af et angreb.

Alvorlige databrud er stadig dyrere

Den største bekymring for CTO'er er massive angreb, der resulterer i, at millioner af poster bliver lækket. Sådanne var angreb på National Health Service (NHS) i Storbritannien, Sony, eller hackingen af ​​HBO-tv-kanalen med frigivelse af fortrolige data relateret til serien "Game of Thrones". Men i virkeligheden er sådanne større hændelser undtagelsen snarere end reglen. Indtil sidste år nåede de fleste cyberangreb ikke nyhedsoverskrifterne og forblev provinsen for særlige rapporter for specialister. Selvfølgelig har ransomware-epidemier ændret situationen lidt, men stadigvæk forstår virksomhedens virksomhedssegment ikke hele billedet.

Det relativt lille antal kendte cyberangreb i stor skala betyder ikke, at skaderne fra de fleste angreb er ubetydelige. Så hvor meget bruger virksomheder i gennemsnit på at løse et "typisk" databrud? Vi bad deltagerne i undersøgelsen om at estimere, hvor meget deres virksomhed brugte/tabte som følge af enhver sikkerhedshændelse, der fandt sted inden for det sidste år.

Alle virksomheder med 50 eller flere ansatte skulle estimere omkostningerne i hver af følgende kategorier:

For hver af kategorierne beregnede vi de gennemsnitlige omkostninger afholdt af virksomheder, der står over for informationssikkerhedshændelser, og summen af ​​alle kategorier gjorde det muligt for os at estimere størrelsen af ​​den samlede skade forårsaget af en informationssikkerhedshændelse.

Nedenfor præsenterer vi separat resultaterne for SMB- og store forretningssegmenter, da statistikken for dem adskiller sig på mange måder. For eksempel er den gennemsnitlige skade for russiske SMB-virksomheder næsten 1,6 millioner rubler, og for store virksomheder er den næsten ti gange højere - 16,1 millioner rubler. Dette viser, at cyberangreb er dyre for virksomheder af alle størrelser.

Det faktum, at store virksomheder i gennemsnit lider flere tab, når dataintegriteten krænkes, er ikke overraskende, men det er interessant at analysere fordelingen af ​​skader efter kategori.

Sidste år var yderligere personalegoder den væsentligste udgiftspost for både SMB'er og store virksomheder. Men i år har billedet ændret sig, og virksomheder af forskellig størrelse har forskellige hovedudgiftsposter. Små og mellemstore virksomheder taber fortsat mest på personalegoder. Men store virksomheder begyndte at investere i yderligere PR for at reducere skader på mærkets omdømme. Derudover var en væsentlig omkostningspost for store virksomheder udgifter til forbedring af teknisk udstyr og indkøb af yderligere software.

For alle virksomheder er omkostningerne til medarbejderuddannelse steget. Sikkerhedshændelser får ofte virksomheder til at indse vigtigheden af ​​at øge cyberkendskab og forbedre trusselsintelligens.

De mere omfattende interne ressourcer i store virksomheder og de særlige forhold ved regulering af deres aktiviteter bestemmer en anden balance mellem omkostningerne ved at eliminere selve truslen og omkostningerne ved at kompensere for skader. En alvorlig udgiftspost var stigningen i forsikringspræmier, forringelsen af ​​kreditvurderinger og udhulingen af ​​tilliden til virksomheden: i gennemsnit taber store virksomheder omkring 2,3 millioner rubler efter hver hændelse.

Vores forskning viste, at en stor del af stigningen i virksomhedens omkostninger var drevet af behovet for at forhindre - eller i det mindste reducere - tab af omdømme i form af kreditvurderinger, varemærkeimage og kompensation.

Efterhånden som nye regler bliver mere udbredte, vil de gennemsnitlige omkostninger sandsynligvis fortsætte med at stige, hvilket kræver, at virksomheder offentligt rapporterer alle hændelser og øger datasikkerhedsgennemsigtigheden.

Sådanne tendenser er typiske for eksempel i Japan, hvor de gennemsnitlige omkostninger ved at eliminere konsekvenserne af et sikkerhedsbrud mere end fordobledes: fra $580 tusinde i 2016 til $1,3 millioner i 2017. Den japanske regering har flyttet for at stramme reglerne som reaktion på en stigning i cybersikkerhedstrusler. I 2017 trådte nye love i kraft, hvilket medførte en pludselig stigning i omkostningerne.

Det tager dog tid at udvikle og implementere love. Med den hurtige udvikling af virksomhedens IT-landskab og udviklingen af ​​cybertrusler er forsinkelsen i reguleringsforanstaltninger ved at blive et alvorligt problem. For eksempel blev der vedtaget nye japanske standarder tilbage i 2015, men deres ikrafttræden måtte udskydes i hele to år. For mange var denne forsinkelse meget dyr: I løbet af disse to år blev en række store japanske virksomheder ofre for kostbare angreb. Et eksempel er rejseselskabet JTB Corp., som led et stort læk i 2016. Data fra 8 millioner kunder blev stjålet, herunder navne, adresser og pasnumre.

Dette er et af symptomerne på et globalt problem: trusler udvikler sig hurtigt, og inerti hos regeringer og virksomheder er for høj. Et andet eksempel på at stramme skruerne er de generelle europæiske databeskyttelsesstandarder (GDPR), som træder i kraft i maj 2018 og i væsentlig grad begrænser de acceptable måder, hvorpå EU-borgeres data kan behandles og opbevares.

Lovene ændrer sig rundt om i verden, men de kan ikke følge med cybertrusler – tre bølger af ransomware i Rusland mindede os om dette i 2017. Derfor bør virksomheder være opmærksomme på lovens ufuldkommenheder og styrke beskyttelsen i overensstemmelse med de faktiske omstændigheder - eller acceptere skaden på omdømme og kunder på forhånd. Det er værd at forberede sig på nye lovkrav uden at vente på deadlines. Ved at ændre politikker, efter at de relevante love er udstedt, risikerer virksomheder ikke kun bøder, men også sikkerheden af ​​deres egne og klientdata.

Der er ikke sådan noget som andres sårbarheder: huller i partnerbeskyttelse er dyre

For at beskytte mod datalækager er det meget vigtigt at forstå, hvilke angrebsvektorer angribere bruger. Til gengæld vil disse oplysninger hjælpe dig med at forstå, hvilke typer angreb der er mest kostbare.

Undersøgelsen viste, at følgende hændelser havde de alvorligste økonomiske konsekvenser for mellemstore og små virksomheder:

  • Hændelser, der påvirker infrastruktur hostet på tredjepartsudstyr (17,2 mio. RUB)
  • Hændelser, der påvirker tredjeparts cloud-tjenester, der bruges af virksomheden (3,6 millioner RUB)
  • Upassende dataudveksling via mobile enheder (RUB 2,5 mio.)
  • Fysisk tab af mobile enheder, der udsætter organisationen for risici (RUB 2,1 mio.)
  • Hændelser relateret til ikke-computerenheder forbundet til internettet (f.eks. industrielle kontrolsystemer, Internet of Things) (1,7 mio. RUB)

Situationen med store virksomheder er noget anderledes:

  • Målrettede angreb (75 millioner RUB)
  • Hændelser, der påvirker cloud-tjenester fra tredjepartsleverandører (19 millioner RUB)
  • Virus og malware (9 millioner RUB)
  • Upassende dataudveksling via mobile enheder (7,3 millioner RUB)
  • Hændelser, der påvirker leverandører, som virksomheder udveksler data med (4,4 mio. RUB)

Disse data viser, at angreb forårsaget af sikkerhedsproblemer med forretningspartnere meget ofte er de mest omkostningskrævende for virksomheder af enhver størrelse. Det gælder både organisationer, der lejer cloud eller anden infrastruktur fra tredjepartsudbydere, og virksomheder, der deler deres data med partnere.

Når først du giver en anden virksomhed adgang til dine data eller infrastruktur, bliver deres svagheder dit problem. Vi har dog tidligere observeret, at de fleste organisationer ikke lægger tilstrækkelig vægt på dette. Det er derfor ikke overraskende, at hændelser af denne art forårsager de største omkostninger: enhver bokser vil fortælle dig, at det normalt er et uventet slag, der forårsager en knockout.

Også umiddelbart bemærkelsesværdig er en anden vektor, der uventet kom ind i top 5 trusler for mellemstore virksomheder: angreb relateret til tilsluttede enheder, der ikke er computere. I dag vokser trafikken på tingenes internet (IoT) meget hurtigere end trafik genereret af nogen anden teknologi. Dette er endnu et eksempel på, hvordan nye udviklinger øger antallet af potentielle sårbarheder i erhvervsinfrastruktur. Især har den udbredte brug af fabriksstandardadgangskoder og svage sikkerhedsfunktioner på Internet of Things-enheder gjort dem til en ideel fangst for botnets som Mirai - malware, der kan forbinde et stort antal sårbare enheder til et enkelt netværk for at udføre storskala DDoS-angreb på udvalgte mål.

Mængden af ​​tab fra målrettede angreb i det store erhvervssegment er bemærkelsesværdig - denne trussel er ekstremt svær at imødegå. I løbet af de seneste par år er der blevet kendt en række højtprofilerede målrettede angreb på banker, hvilket også forstærker denne skuffende statistik.

Investering i risikoreduktion

Som vores forskning har vist, bliver trusler mod informationssikkerheden mere alvorlige. Under disse forhold kan man ikke andet end at bekymre sig om tilstanden af ​​selvee. Ved at analysere deres ændringer kan vi afgøre, om organisationer ser deres sikkerhed som en omkostningsdriver, eller om balancen gradvist skifter til at blive set som et investeringsområde, der giver en reel konkurrencefordel.

Budgettets størrelse viser virksomhedens holdning til it-sikkerhed, vigtigheden af ​​beskyttelsessystemets rolle set fra ledelsens synspunkt og organisationens villighed til at tage risici.

Informationssikkerhedsbudget: andelen vokser, "kagen" skrumper

I år har vi set, at besparelser og outsourcing har ført til reduktioner i it-budgetter. På trods af dette (eller måske som følge heraf) er andelen af ​​informationssikkerhed i disse it-budgetter steget. I Rusland kan der ses en positiv tendens i virksomheder i alle størrelser. Selv blandt mikrovirksomheder, der opererer under forhold med utilstrækkelige ressourcer, er andelen af ​​it-budgetter, der er allokeret til informationssikkerhed, steget, omend med en brøkdel af en procent.

Det betyder, at virksomheder endelig begynder at forstå vigtigheden af ​​informationssikkerhed. Måske viser dette, at informationssikkerhed af mange er begyndt at blive opfattet som en potentielt nyttig investering, snarere end som en kilde til omkostninger.

Vi ser, at it-budgetter rundt om i verden bliver væsentligt reduceret. Mens informationssikkerheden får en større del af kagen, bliver kagen i sig selv mindre. Tendensen er alarmerende, især i betragtning af hvor høj indsatsen er i dette område, og hvor dyrt hvert angreb er.

I Rusland nåede det gennemsnitlige budget for informationssikkerhed for store virksomheder i 2017 400 millioner rubler, og for små og mellemstore virksomheder - 4,6 millioner rubler.

Stikprøve: 694 respondenter i Rusland, der er i stand til at vurdere budgettet

Det er ingen overraskelse, at offentlige serviceorganisationer (herunder forsvarssektoren) og finansielle institutioner rundt om i verden rapporterer de højeste omkostninger til informationssikkerhed i år. Virksomheder i begge disse sektorer brugte i gennemsnit mere end 5 millioner dollars på sikkerhed. Det er også værd at bemærke, at IT- og telekommunikationssektoren samt virksomheder i energibranchen også brugte mere end gennemsnittet på informationssikkerhed, selvom deres budgetter var tættere på 3 millioner dollars frem for 5 dollars.

Men hvis du dividerer de samlede omkostninger med antallet af ansatte, rykker offentlige organisationer mod bunden af ​​listen. I gennemsnit bruger IT- og telekommunikationssektoren 1.258 USD pr. indbygger på informationssikkerhed, mens energisektoren bruger 1.344 USD, og ​​finansielle servicevirksomheder bruger 1.436 USD. Til sammenligning tildeler offentlige myndigheder kun 959 USD pr. person til informationssikkerhed.

I både IT- og telekommunikationssegmentet og energiforsyningsindustrien er høje omkostninger pr. ansat højst sandsynligt forbundet med behovet for at beskytte intellektuel ejendomsret, hvilket er særligt relevant i disse sektorer af økonomien. I tilfælde af energiforsyningsorganisationer kan høje sikkerhedsomkostninger også skyldes, at disse virksomheder i stigende grad er sårbare over for målrettede angreb organiseret af grupper af angribere.

I denne branche bliver investering i informationssikkerhed afgørende for overlevelse, fordi det sikrer forretningskontinuitet, en kritisk faktor for energiforsyningen. Konsekvenserne af et vellykket cyberangreb i denne industri er særligt alvorlige, så investering i informationssikkerhed har meget håndgribelige fordele.

I Rusland investeres IT og telekommunikation såvel som industrielle virksomheder primært i informationssikkerhed - gennemsnitlige omkostninger for førstnævnte når 300 millioner rubler, for sidstnævnte - 80 millioner rubler. Industri- og produktionsvirksomheder er typisk afhængige af computerstøttede kontrolsystemer (ICS) for at sikre kontinuitet i produktionsprocesserne. Samtidig er antallet af angreb på ICS stigende: i løbet af de seneste 12 måneder er antallet af angreb steget med 5 %.

Grunde til at investere i informationssikkerhed

Spredningen af ​​investeringsbeløb i informationssikkerhed mellem sektorer er meget stor. Derfor er det især vigtigt at forstå de årsager, der motiverer virksomheder til at bruge begrænsede ressourcer på informationssikkerhed. Uden at kende motiverne er det umuligt at forstå, om en virksomhed anser de penge, der er brugt på sikkerheden af ​​sin it-infrastruktur, for at blive smidt væk eller ser det som en rentabel investering.

I 2017 indrømmede betydeligt flere virksomheder verden over, at de ville investere i cybersikkerhed uanset det forventede investeringsafkast: 63 % sammenlignet med 56 % i 2016. Det viser, at flere og flere virksomheder forstår vigtigheden af ​​informationssikkerhed.

Hovedårsager til at øge informationssikkerhedsbudgettet, Rusland

Ikke alle virksomheder forventer et hurtigt investeringsafkast, men mange globale virksomheder nævnte pres fra nøgleinteressenter, herunder virksomhedens øverste ledelse, som en grund til at øge i(32%). Dette viser, at virksomheder begynder at se deres strategiske fordele i væksten i udgifterne til informationssikkerhed: sikkerhedsforanstaltninger gør det ikke kun muligt at beskytte sig selv i tilfælde af et angreb, men også at demonstrere over for kunderne, at deres data er i gode hænder. som sikre forretningskontinuitet, som virksomhedens ledelse er interesseret i .

Den mest populære årsag til at øge udgifterne til informationssikkerhed blev nævnt af flertallet af indenlandske virksomheder som behovet for at beskytte en stadig mere kompleks it-infrastruktur (46 %), og behovet for at forbedre inkompetencer blev bemærket med 30 %. Disse tal understreger behovet for at øge den ekspertise, som er tilgængelig for en virksomhed ved at udvikle sine egne medarbejderes kompetencer. Faktisk investerer både SMV'er og store virksomheder i stigende grad i at støtte deres interne arbejdsstyrke i kampen mod cybertrusler.

Samtidig er behovet for at øge udgifterne til informationssikkerhed på grund af ny forretningsdrift eller virksomhedsudvidelse blandt russiske virksomheder faldet: fra 36 % sidste år til 30 % i 2017. Måske afspejler det de makroøkonomiske faktorer, som vores virksomheder har måttet forholde sig til på det seneste.

Konklusion

Kæmpe skader blev forårsaget i 2017 af massive angreb som WannaCry, exPetr og BadRabbit. Skaderne fra målrettede angreb, især på russiske banker, er også stor. Alt dette viser, at cybertrussellandskabet ændrer sig hurtigt og ubønhørligt. Virksomheder er tvunget til at tilpasse deres forsvar eller forblive ude af drift.

En stadig vigtigere faktor i forretningsbeslutninger er forskellen mellem omkostningerne ved at forberede sig på at håndtere cyberangreb og de omkostninger, offeret pådrager sig.

Rapporten viser, at selv relativt små databrud, som er af ringe interesse for offentligheden, kan være meget dyre for en virksomhed og alvorligt påvirke dens drift. En anden årsag til de stigende omkostninger ved sikkerhedshændelser er ændringer i reguleringer rundt om i verden. Virksomheder skal enten tilpasse sig eller risikere både manglende overholdelse og eventuel hacking.

Under disse omstændigheder bliver det særligt vigtigt at overveje alle konsekvenser og omkostninger. Måske er det derfor, flere og flere virksomheder fra forskellige lande øger andelen af ​​informationssikkerhed i deres it-budgetter. I 2017 indrømmede betydeligt flere virksomheder verden over, at de ville investere i cybersikkerhed uanset det forventede investeringsafkast: 63 % sammenlignet med 56 % i 2016.

Højst sandsynligt, efterhånden som skaderne fra cybersikkerhedshændelser stiger, vil de organisationer, der betragter it-omkostninger som investeringer i sikkerhed og er villige til at bruge betydelige mængder penge på dem, være bedre forberedt på mulige problemer. Hvordan er situationen i din virksomhed?

Afhængigt af konteksten bruges udtrykket "informationssikkerhed" i forskellige betydninger. I bredeste forstand indebærer begrebet beskyttelse af fortrolig information, produktionsprocessen og virksomhedens infrastruktur mod forsætlige eller utilsigtede handlinger, der fører til økonomisk skade eller tab af omdømme.

Informationssikkerhedsprincipper

I enhver branche grundlæggende princip for informationssikkerhed er at opretholde en balance mellem borgerens, samfundets og statens interesser. Vanskeligheden ved at holde balancen ligger i, at samfundets og borgerens interesser ofte er i konflikt. Borgeren stræber efter at hemmeligholde detaljerne i sit personlige liv, kilder og indkomstniveau og dårlige gerninger. Samfundet er tværtimod interesseret i at "afklassificere" oplysninger om ulovlig indkomst, fakta om korruption og kriminelle handlinger. Staten skaber og forvalter en afskrækkende mekanisme, der beskytter borgerens ret til ikke at videregive personoplysninger og samtidig regulerer juridiske forhold i forbindelse med at opklare forbrydelser og stille gerningsmændene for retten.

Betydning i moderne forhold princippet om juridisk støtte informationssikkerhedsgevinster, når regulatorisk støtte ikke følger udviklingen i. Huller i lovgivningen giver ikke kun folk mulighed for at unddrage sig ansvar for cyberkriminalitet, men hindrer også implementeringen af ​​avancerede databeskyttelsesteknologier.

Globaliseringsprincippet , eller integration af informationssikkerhedssystemer påvirker alle sektorer: politiske, økonomiske, kulturelle. Udviklingen af ​​internationale kommunikationssystemer kræver ensartet datasikkerhed.

Ifølge princippet om økonomisk gennemførlighed , skal effektiviteten af ​​informmatche eller overstige de anvendte ressourcer. Udækning af omkostningerne ved at vedligeholde et sikkerhedssystem skader kun fremskridtet.

Princippet om systemfleksibilitet informationsbeskyttelse betyder at eliminere alle regimerestriktioner, der forhindrer generering og implementering af nye teknologier.

Streng regulering af fortrolige snarere end åbne oplysninger indebærer princippet om tavshedspligt .

Jo flere forskellige hardware- og softwaresikkerhedsværktøjer, der bruges til at beskytte data, jo mere forskelligartet viden og færdigheder har angribere brug for for at opdage sårbarheder og omgå beskyttelse. Sigter på at styrke informationssikkerheden princippet om mangfoldighed beskyttelsesmekanismer i informationssystemer.

Princippet om nem kontrol sikkerhedssystemet er baseret på ideen om, at jo mere komplekst informationssikkerhedssystemet er, jo sværere er det at verificere sammenhængen af ​​de enkelte komponenter og implementere central administration.

Nøglen til en loyal holdning hos medarbejderne til informationssikkerhed er konstant uddannelse i informationssikkerhedsregler og klare forklaringer på konsekvenserne af manglende overholdelse af reglerne, frem til og med virksomhedens konkurs. Princippet om loyalitet Administratorer af datasikkerhedssystem og alt virksomhedens personale forbinder sikkerhed med medarbejdermotivation. Hvis medarbejdere, såvel som modparter og kunder, opfatter informationssikkerhed som et unødvendigt eller ligefrem fjendtligt fænomen, kan selv de mest kraftfulde systemer ikke garantere informationssikkerheden i virksomheden.

De anførte principper er grundlaget for at sikre informationssikkerhed i alle brancher, hvilket suppleres med elementer afhængigt af branchens særlige forhold. Lad os se på eksemplerne fra banksektoren, energi og medier.

Banker

Udviklingen af ​​cyberangrebsteknologier tvinger banker til at implementere nye og konstant forbedre grundlæggende sikkerhedssystemer. Målet med at udvikle informationssikkerheden i banksektoren er at udvikle teknologiske løsninger, der kan sikre informationsressourcer og sikre integrationen af ​​de nyeste it-produkter i finansielle institutioners centrale forretningsprocesser.

Mekanismer til sikring af informationssikkerheden for finansielle institutioner er bygget i overensstemmelse med ratificerede internationale konventioner og aftaler samt føderale love og standarder. Referencepunkterne inden for informationssikkerhed for russiske banker er:

  • Bank of Russia standard STO BR IBBS-1.0-2010 "Sikring af informationssikkerhed for organisationer i Den Russiske Føderations banksystem";
  • Føderal lov nr. 161 "om det nationale betalingssystem";
  • Føderal lov nr. 152 "om personlige data";
  • Payment Card Industry Data Security Standard PCI DSS og andre dokumenter.

Behovet for at følge forskellige love og standarder skyldes, at banker udfører mange forskellige operationer, opererer på forskellige områder, som kræver deres egne sikkerhedsværktøjer. For eksempel omfatter sikring af informationssikkerhed under fjernbanktjenester (RBS) oprettelsen af ​​en sikkerhedsinfrastruktur, som omfatter midler til at beskytte bankapplikationer og kontrollere datastrømme. overvågning af banktransaktioner og undersøgelse af hændelser. Flerkomponentbeskyttelse af informationsressourcer sikrer minimering af trusler forbundet med svindel ved brug af RBS-tjenester, samt beskyttelse af bankens omdømme.

Informationssikkerheden i banksektoren afhænger ligesom andre brancher af bemanding. En ejendommelighed ved informationssikkerhed i banker er den øgede opmærksomhed på sikkerhedsspecialister på regulatorniveau. I begyndelsen af ​​2017, Bank of Russia sammen med Ministeriet for Arbejde og Social Beskyttelse med deltagelse af FSTEC, Ministeriet for Undervisning og Videnskab for informationssikkerhed specialister.

Hvordan udfører man en informationssikkerhedsrevision i en bank korrekt?

Energi

Energikomplekset er en af ​​de strategiske industrier, der kræver særlige tiltag for at sikre informationssikkerheden. Hvis standard informationssikkerhedsværktøjer er tilstrækkelige på arbejdspladser i administrationer og afdelinger, så kræver beskyttelse på teknologiske områder af energiproduktion og levering til slutbrugere øget kontrol. Hovedformålet med beskyttelse i energisektoren er ikke information, men den teknologiske proces. I dette tilfælde skal sikkerhedssystemet sikre integriteten af ​​den teknologiske proces og automatiserede kontrolsystemer. Derfor, før de implementerer hos virksomheder i energisektoren, studerer eksperter:

  • beskyttelsesobjekt - teknologisk proces;
  • apparater, der anvendes i energisektoren (telemekanik);
  • tilknyttede faktorer (relæbeskyttelse, automatisering, energimåling).

Betydningen af ​​informationssikkerhed i energisektoren er bestemt af konsekvenserne af implementeringen af ​​informationscybertrusler. Dette er ikke kun materiel skade eller et slag mod omdømme, men frem for alt skade på borgernes sundhed, forstyrrelse af miljøet, forstyrrelse af en bys eller regions infrastruktur.

Design af et informationssikkerhedssystem i energisektoren begynder med at forudsige og vurdere sikkerhedsrisici. Den primære vurderingsmetode er modellering af mulige trusler, som hjælper med at fordele ressourcer rationelt ved organisering af et sikkerhedssystem og forhindre implementering af cybertrusler. Derudover er vurderingen af ​​sikkerhedsrisici i energisektoren præget af kontinuitet: audits under systemdrift udføres løbende for hurtigt at ændre indstillinger for at sikre den maksimale grad af beskyttelse og holde systemet opdateret.

Massemedier

Informationssikkerhedens hovedopgave i medierne er at beskytte nationale interesser, herunder borgernes, samfundets og statens interesser. Mediernes aktiviteter under moderne forhold kommer ned til skabelsen af ​​informationsstrømme i form af nyheder og journalistiske materialer, der modtages, behandles og distribueres til slutforbrugere: læsere, seere, besøgende på hjemmesiden.

Sikring og kontrol af sikkerhed på massemedieområdet er implementeret på flere områder og omfatter:

  • udvikling af anbefalinger om anti-kriseprocedurer i tilfælde af truslen om et informationsangreb;
  • uddannelsesprogrammer om informationssikkerhed for medarbejdere på medieredaktioner, pressetjenester og PR-afdelinger;
  • midlertidig ekstern administration af organisationer, der har været udsat for et informationsangreb.

Et andet problem med informationssikkerhed i medierne er bias. For at sikre objektiv dækning af begivenheder kræves der en beskyttelsesmekanisme, der beskytter journalister mod pres fra embedsmænd, ledelse og/eller ejeren af ​​medierne, og som samtidig sikrer bona fide forretningsstrukturer mod handlinger fra uærlige medierepræsentanter.

En anden hjørnesten i informationssikkerheden i mediesektoren er at begrænse adgangen til data. Problemet er, at begrænsning af adgangen til information for at forhindre informationstrusler ikke bliver en "dækning" for censur. En løsning, der vil gøre medierne mere gennemsigtige og hjælpe med at undgå skader på nationale sikkerhedsinteresser, er indeholdt i udkastet til konvention om adgang til informationsressourcer, som afventer afstemning i EU. Dokumentets normer forudsætter, at staten sikrer lige adgang til alle officielle dokumenter ved at oprette passende registre på internettet, og sætter adgangsbegrænsninger, der ikke kan ændres. Der er kun to undtagelser, der giver dig mulighed for at ophæve begrænsninger for adgang til informationsressourcer:

  • offentlig gavn, hvilket indebærer muligheden for at offentliggøre selv de data, der ikke er genstand for formidling under normale forhold;
  • national interesse hvis fortielse af oplysninger ville forårsage skade for staten.

Private sektor

Med udviklingen af ​​en markedsøkonomi, vækst og skærpelse af konkurrencen bliver virksomhedens omdømme en uadskillelig del af immaterielle aktiver. Dannelsen og bevarelsen af ​​et positivt billede afhænger direkte af informationssikkerhedsniveauet. Der er også et omvendt forhold, når virksomhedens etablerede image på markedet fungerer som en garanti for informationssikkerhed. Med denne tilgang skelnes der mellem tre typer forretningsomdømme:

1. Billede af en "ubrugelig" organisation, hvis informationsressourcer ikke er af interesse, da de ikke kan bruges til skade eller fordel for tredjemand.

2. Billede af en stærk modstander, hvis sikkerhed er "dyrere" at true. De slørede grænser for muligheder for at afvise et informationsangreb hjælper med at bevare en formidabel modstanders omdømme: Jo sværere det er at forstå potentialet i informationsbeskyttelse, jo mere uindtageligt fremstår virksomheden i angribernes øjne.

3. Billede af en "nyttig" organisation. Hvis en potentiel aggressor er interesseret i virksomhedens levedygtighed, er dialog og dannelse af en generel informationssikkerhedspolitik mulig i stedet for et informationsangreb.

Hver virksomhed organiserer sine aktiviteter i overensstemmelse med lovgivningen og stræber efter at nå sine mål. Lignende kriterier vil også gælde ved udvikling af en informationssikkerhedspolitik, implementering og drift af interne sikkerhedssystemer for fortrolige data og it-ressourcer. For at sikre det højest mulige niveau af informationssikkerhed i en organisation, bør sikkerhedskomponenter systematisk overvåges, omkonfigureres og opdateres efter behov, når sikkerhedssystemer er implementeret.

Informationsbeskyttelse af strategiske objekter

I begyndelsen af ​​2017 vedtog Den Russiske Føderations statsduma ved førstebehandlingen en pakke af lovforslag, der vedrører informationssikkerhed og landets kritiske informationsinfrastruktur.

De vigtigste kilder til informationstrusler i Den Russiske Føderations militære sfære.

Formand for det parlamentariske udvalg for informationspolitik, informationsteknologi og kommunikation Leonid Levin, der præsenterede lovforslagene, advarede om en stigning i antallet af cyberangreb på strategisk vigtige objekter. På et udvalgsmøde sagde FSB-repræsentant Nikolai Murashov, at der i løbet af året blev udført 70 millioner cyberangreb på genstande i Rusland. Samtidig med de voksende trusler om eksterne angreb øges omfanget, kompleksiteten og koordineringen af ​​informationsangreb i landet.

Lovforslag vedtaget af parlamentarikere skaber et retsgrundlag for at give information inden for national kritisk infrastruktur og individuelle industrier. Herudover foreskriver lovforslagene statslige organers beføjelser på informationssikkerhedsområdet og giver et skærpet strafferetligt ansvar for krænkelser af informationssikkerheden.

Hvordan retfærdiggøres omkostningerne til informationssikkerhed?

Genoptrykt med venlig tilladelse OJSC InfoTex Internet Trust
Kildeteksten er placeret Her.

Virksomhedens modenhedsniveauer

Gartner Group identificerer 4 niveauer af virksomhedens modenhed med hensyn til informationssikkerhed (IS):

  • niveau 0:
    • Ingen er involveret i informationssikkerhed i virksomheden; virksomhedens ledelse er ikke klar over vigtigheden af ​​informationssikkerhedsproblemer;
    • Der er ingen finansiering;
    • Informationssikkerhed implementeres ved hjælp af standardmidler af operativsystemer, DBMS og applikationer (adgangskodebeskyttelse, adgangskontrol til ressourcer og tjenester).
  • Niveau 1:
    • Informationssikkerhed betragtes af ledelsen som et rent "teknisk" problem; der er ikke noget samlet program (koncept, politik) til udvikling af virksomhedens informationssikkerhedssystem (ISMS);
    • Finansiering ydes inden for det samlede IT-budget;
    • Informationssikkerhed implementeres af værktøjer på nulniveau + sikkerhedskopieringsværktøjer, antivirusværktøjer, firewalls, VPN-værktøjer (traditionelle sikkerhedsværktøjer).
  • Niveau 2:
    • Informationssikkerhed betragtes af ledelsen som et kompleks af organisatoriske og tekniske tiltag, der er forståelse for vigtigheden af ​​informationssikkerhed for produktionsprocesser, der er et program for udvikling af virksomhedens ISMS godkendt af ledelsen;
    • Informationssikkerhed implementeres af værktøjer på første niveau + forbedrede autentificeringsværktøjer, værktøjer til at analysere e-mail-beskeder og webindhold, IDS (systemer til indtrængen), sikkerhedsanalyseværktøjer, SSO (engangsgodkendelsesværktøjer), PKI (public key infrastructure) og organisatoriske foranstaltninger (intern og ekstern revision, risikoanalyse, informationssikkerhedspolitik, regler, procedurer, regler og retningslinjer).
  • Niveau 3:
    • Informationssikkerhed er en del af virksomhedskulturen, en CISA (senior information security officer) er blevet udpeget;
    • Finansiering ydes inden for et separat budget;
    • Informationssikkerhed implementeres ved hjælp af andet niveau +stem, CSIRT (information security incident response team), SLA (service level agreement).

Ifølge Gartner Group (data leveret for 2001) er procentdelen af ​​virksomheder i forhold til de beskrevne 4 niveauer som følger:
Niveau 0 - 30 %,
Niveau 1 - 55 %,
Niveau 2 - 10 %,
Niveau 3 - 5%.

Gartner-koncernens prognose for 2005 er som følger:
Niveau 0 - 20 %,
Niveau 1 - 35 %,
Niveau 2 - 30 %,
Niveau 3 - 15%.

Statistikker viser, at størstedelen af ​​virksomhederne (55 %) i øjeblikket har implementeret det minimumskrævede sæt af traditionelle tekniske sikkerhedsforanstaltninger (niveau 1).

Ved implementering af forskellige teknologier og sikkerhedsforanstaltninger opstår der ofte spørgsmål. Hvad skal man implementere først, et indtrængningsdetektionssystem eller en PKI-infrastruktur? Hvilken vil være mere effektiv? Stephen Ross, direktør for Deloitte&Touche, foreslår følgende tilgang til vurdering af effektiviteten af ​​individuelle informog værktøjer.

Ud fra ovenstående graf kan det ses, at de dyreste og mindst effektive er specialiserede værktøjer (in-house eller specialfremstillede).

De dyreste, men samtidig mest effektive, er beskyttelsesprodukter i kategori 4 (niveau 2 og 3 ifølge Gartner Group). For at implementere værktøjer i denne kategori er det nødvendigt at bruge en risikoanalyseprocedure. Risikoanalyse i dette tilfælde vil sikre, at implementeringsomkostningerne er tilstrækkelige til eksisterende trusler om krænkelser af informationssikkerheden.

De billigste, men med et højt effektivitetsniveau, omfatter organisatoriske foranstaltninger (intern og ekstern revision, risikoanalyse, informationssikkerhedspolitik, forretningskontinuitetsplan, regler, procedurer, regler og manualer).

Indførelsen af ​​yderligere beskyttelsesmidler (overgang til niveau 2 og 3) kræver betydelige finansielle investeringer og følgelig begrundelse. Fraværet af et samlet ISMS-udviklingsprogram godkendt og underskrevet af ledelsen forværrer problemet med at retfærdiggøre investeringer i sikkerhed.

Risikoanalyse

En sådan begrundelse kan være resultaterne af risikoanalyse og akkumulerede statistikker om hændelser. Mekanismer for implementering af risikoanalyse og indsamling af statistik bør specificeres i virksomhedens informationssikkerhedspolitik.

Risikoanalyseprocessen består af 6 sekventielle faser:

1. Identifikation og klassificering af beskyttede objekter (virksomhedsressourcer, der skal beskyttes);

3. Opbygning af en model af en angriber;

4. Identifikation, klassificering og analyse af trusler og sårbarheder;

5. Risikovurdering;

6. Valg af organisatoriske foranstaltninger og tekniske beskyttelsesmidler.

På scenen identifikation og klassificering af beskyttelsesobjekter Det er nødvendigt at foretage en opgørelse over virksomhedens ressourcer på følgende områder:

  • Informationsressourcer (fortrolige og kritiske virksomhedsoplysninger);
  • Softwareressourcer (OS, DBMS, kritiske applikationer, såsom ERP);
  • Fysiske ressourcer (servere, arbejdsstationer, netværks- og telekommunikationsudstyr);
  • Serviceressourcer (e-mail, www osv.).

Kategorisering er at bestemme niveauet af fortrolighed og kritik af ressourcen. Fortrolighed refererer til niveauet af hemmeligholdelse af oplysninger, der lagres, behandles og transmitteres af en ressource. Kritisk refererer til graden af ​​en ressources indflydelse på effektiviteten af ​​virksomhedens produktionsprocesser (for eksempel kan udbydervirksomheden ved nedetid på teleressourcer gå konkurs). Ved at tildele visse kvalitative værdier til fortroligheds- og kritikalitetsparametrene kan du bestemme betydningsniveauet for hver ressource i forhold til dens deltagelse i virksomhedens produktionsprocesser.

For at bestemme vigtigheden af ​​virksomhedens ressourcer ud fra et informationssikkerhedssynspunkt kan du få følgende tabel:

For eksempel har filer med oplysninger om lønniveauet for virksomhedens ansatte værdien "strengt fortroligt" (fortrolighedsparameter) og værdien "ubetydeligt" (kritisk parameter). Ved at erstatte disse værdier i tabellen kan du få en integreret indikator for betydningen af ​​denne ressource. Forskellige muligheder for kategoriseringsmetoder er givet i den internationale standard ISO TR 13335.

Opbygning af en angribermodel er processen med at klassificere potentielle krænkere i henhold til følgende parametre:

  • Typen af ​​angriber (konkurrent, klient, udvikler, virksomhedsmedarbejder osv.);
  • Angriberens position i forhold til beskyttelsesobjekterne (internt, eksternt);
  • Niveau af viden om beskyttede objekter og miljøet (høj, medium, lav);
  • Niveau af evne til at få adgang til beskyttede objekter (maksimum, gennemsnit, minimum);
  • Virkningens varighed (konstant, med bestemte tidsintervaller);
  • Placering af handling (den forventede placering af angriberen under angrebet).

Ved at tildele kvalitative værdier til de anførte parametre i angriberens model, kan man bestemme angriberens potentiale (en integreret karakteristik af angriberens evner til at implementere trusler).

Identifikation, klassificering og analyse af trusler og sårbarheder giver dig mulighed for at bestemme måder at implementere angreb på beskyttede objekter. Sårbarheder er egenskaber ved en ressource eller dens miljø, som bruges af en angriber til at implementere trusler. En liste over sårbarheder i softwareressourcer kan findes på internettet.

Trusler er klassificeret efter følgende kriterier:

  • truslens navn;
  • type angriber;
  • midler til gennemførelse;
  • udnyttede sårbarheder;
  • truffet handlinger;
  • implementeringsfrekvens.

Hovedparameteren er hyppigheden af ​​trusselsimplementering. Det afhænger af værdierne af parametrene "angriberpotentiale" og "ressourcesikkerhed". Værdien af ​​parameteren "ressourcesikkerhed" bestemmes gennem ekspertvurderinger. Ved bestemmelse af værdien af ​​parameteren tages der hensyn til angriberens subjektive parametre: motivation for at implementere truslen og statistik fra forsøg på at implementere trusler af denne type (hvis nogen). Resultatet af trussels- og sårbarhedsanalysefasen er en vurdering af parameteren "implementeringsfrekvens" for hver trussel.

På scenen risikovurderinger den potentielle skade fra trusler om krænkelser af informationssikkerheden bestemmes for hver ressource eller gruppe af ressourcer.

Den kvalitative indikator for skade afhænger af to parametre:

  • Betydning af ressourcen;
  • Hyppighed af trusselsimplementering på denne ressource.

På baggrund af de opnåede skadesvurderinger vælges passende organisatoriske foranstaltninger og tekniske beskyttelsesmidler med rimelighed.

Akkumulering af statistik over hændelser

Det eneste svage punkt i den foreslåede metode til vurdering af risiko og følgelig begrundelse for behovet for at indføre nye eller ændre eksisterende beskyttelsesteknologier er bestemmelsen af ​​parameteren "hyppighed af trusselsforekomst." Den eneste måde at opnå objektive værdier af denne parameter på er at akkumulere statistik over hændelser. Akkumuleret statistik, for eksempel over et år, vil give dig mulighed for at bestemme antallet af implementeringer af trusler (af en bestemt type) pr. ressource (af en bestemt type). Det er tilrådeligt at udføre arbejde med at indsamle statistik som en del af hændelsesbehandlingsproceduren.

Anmærkning: Foredraget diskuterer opgaver og metoder til økonomisk analyse af gennemførligheden af ​​at implementere foranstaltninger til at sikre informationssikkerhed under visse betingelser.

Metodiske grundlag for informationssikkerhedens økonomi

Informationssikkerhedsstyring, såvel som ledelse på mange andre aktivitetsområder, involverer periodisk vedtagelse af forskellige ledelsesbeslutninger, som som regel består i udvælgelsen af ​​visse alternativer (valg af en af ​​de mulige organisatoriske ordninger eller en af ​​de tilgængelige tekniske løsninger ) eller bestemmelse af visse parametre for individuelle organisatoriske og/eller tekniske systemer og delsystemer. En af de mulige tilgange til valg af alternativer i en situation med at træffe en ledelsesbeslutning er den såkaldte. "viljemæssig" tilgang, når en beslutning af den ene eller anden grund er truffet intuitivt, og der ikke kan fastslås et formelt begrundet årsag-og-virkningsforhold mellem visse oprindelige præmisser og en bestemt beslutning. Det er indlysende, at et alternativ til den "viljestærke" tilgang er beslutningstagning baseret på visse formelle procedurer og sekventiel analyse.

Grundlaget for en sådan analyse og efterfølgende beslutningstagning er en økonomisk analyse, som involverer studiet af alle (eller i det mindste de vigtigste) faktorer under indflydelse af hvilke udviklingen af ​​de analyserede systemer finder sted, mønstrene for deres adfærd, forandringens dynamik samt brugen af ​​universelle monetær værdiansættelse. Det er på baggrund af tilstrækkeligt opbyggede økonomiske modeller og den økonomiske analyse, der er udført med deres hjælp, at der bør træffes beslutninger om såvel den overordnede udviklingsstrategi som individuelle organisatoriske og tekniske tiltag, både på stater, regioner og industrier og niveauet for de enkelte virksomheder, divisioner og informationssystemer.

På samme tid, ligesom økonomien i enhver aktivitetsgren har sine egne karakteristika, er økonomien for informationssikkerhed, betragtet som en relativt uafhængig disciplin, på den ene side baseret på nogle generelle økonomiske love og analysemetoder, og på den anden side kræver det individuel forståelse og udvikling af specifikke tilgange til analyse, akkumulering af statistiske data, der er specifikke for dette område, dannelse af stabile ideer om de faktorer, som fungerer under indflydelse af Informationssystemer Og informationssikkerhedsværktøjer.

Kompleksiteten af ​​problemer med økonomisk analyse på næsten alle aktivitetsområder skyldes som regel det faktum, at mange nøgleparametre i økonomiske modeller ikke kan vurderes pålideligt, og de er sandsynlige (såsom f.eks. indikatorer for forbrugernes efterspørgsel). Analysen er også kompliceret af det faktum, at selv små udsving (justering af estimater) af sådanne parametre alvorligt kan påvirke værdierne af den objektive funktion og følgelig de beslutninger, der er truffet baseret på analysens resultater. Således at sikre den størst mulige pålidelighed af beregninger i processen med at udføre økonomiske analyser og beslutningstagning det er nødvendigt at organisere et kompleks af værker for at indsamle indledende oplysninger, beregne prognoseværdier, interviewe eksperter på forskellige områder og behandle alle data. Samtidig er det i processen med at udføre en sådan analyse nødvendigt at være særlig opmærksom på mellemliggende beslutninger vedrørende vurderingen af ​​visse parametre, der indgår i den generelle model. Det er også nødvendigt at tage højde for, at en sådan analyse i sig selv kan vise sig at være en ret ressourcekrævende procedure og kræve inddragelse af yderligere specialister og tredjepartskonsulenter samt indsatsen fra forskellige specialister (eksperter) arbejder i virksomheden selv - alle disse omkostninger skal i sidste ende begrundes.

Den særlige kompleksitet af økonomisk analyse på et sådant område som Informationssikkerhed, bestemmes af sådanne specifikke faktorer som:

  • den hurtige udvikling af informationsteknologier og -teknikker, der anvendes på dette område (både forsvarsmidler og -metoder og angrebsmidler);
  • manglende evne til pålideligt at forudsige alle mulige angrebsscenarier på informationssystemer og angriberadfærdsmønstre;
  • umuligheden af ​​at give en pålidelig, tilstrækkelig præcis vurdering af omkostningerne ved informationsressourcer, samt vurdere konsekvenserne af forskellige overtrædelser i monetære termer.

Dette kræver en ekstra indsats for at organisere den økonomiske analyseproces og fører også ofte til, at mange beslutninger, der træffes i relation til informationssikkerhed, kan vise sig at være utilstrækkelige. Eksempler på situationer, hvor den utilstrækkelige udvikling af metoden til økonomisk analyse negativt påvirker, er tilfælde, hvor:

  • virksomhedsledelsen kan træffe utilstrækkelige beslutninger vedrørende investeringer i informationssikkerhedsværktøjer, hvilket igen kan føre til tab, der kunne have været undgået;
  • virksomhedsledelsen kan træffe visse beslutninger vedrørende organiseringen af ​​forretningsprocesser og i virksomheden, baseret på ønsket om at reducere de nuværende omkostninger og reducere byrden på personalet, uden at tage højde for de økonomiske konsekvenser af utilstrækkelig sikkerhed af informationsressourcer;
  • forsikringstageren og forsikringsselskabet må ikke indgå aftale om forsikring af informationsrisici eller etablere utilstrækkelige parametre for en sådan aftale, fordi der ikke findes modeller og metoder til vurdering af transaktionens økonomiske parametre.

Analyse af investeringer i informationssikkerhedsværktøjer

I løbet af deres nuværende aktiviteter er virksomheder konstant nødt til at håndtere visse ændringer: forretningsprocesser afklares, betingelserne for salgsmarkeder og markeder for forbrugte materielle ressourcer og tjenester ændrer sig, nye teknologier dukker op, konkurrenter og modparter ændrer deres adfærd, lovgivning og regeringspolitik ændrer sig osv. d. Under disse forhold skal ledere (inklusive dem, der er ansvarlige for at sikre informationssikkerhed) konstant analysere de ændringer, der finder sted, og tilpasse deres arbejde til den konstant skiftende situation. De specifikke former, som lederes reaktioner kommer til udtryk i, kan variere. Dette kan være en ændring i markedsføringspolitik, omlægning af forretningsprocesser, ændring i teknologi, ændring i det produkt, der fremstilles, fusion med konkurrenter eller deres opkøb mv. Men med alle de mange forskellige mulige adfærdsmodeller i et foranderligt miljø, er næsten alle af dem forenet af et vigtigt fælles metodologisk element: i de fleste tilfælde involverer virksomhedens reaktion på nye trusler og nye muligheder implementering af nye, mere eller mindre langsigtede og ressourcekrævende investeringer (investeringer) i visse organisatoriske og/eller tekniske tiltag, som på den ene side involverer ressourceforbrug (penge), og på den anden side giver mulighed for at opnå nye fordele , udtrykt i en stigning i indkomsten eller en reduktion i nogle løbende udgifter.

I en situation, hvor det er nødvendigt at udføre nogle nye organisatoriske eller tekniske aktiviteter (implementere et projekt), er hovedopgaven for de ansvarlige for den effektive organisering af informationssikkerhed klart at identificere de omkostninger, der skal afholdes i forbindelse med implementeringen af ​​denne aktivitet (både engangs- og og konstant løbende), og yderligere (nye) pengestrømme, der vil blive modtaget. I dette tilfælde kan cash flow forstås som omkostningsbesparelser, tabsforebyggelse samt yderligere indtægter for virksomheden.

I økonomisk praksis er det sædvanligt at bruge investeringsafkastfunktionen som hovedindikator, der afspejler dette forhold.

(14.1)

Diskonteringsfunktionen bruges, når man analyserer investeringer for at tage højde for indflydelsen af ​​tidsfaktoren og bringe omkostningerne på forskellige tidspunkter til ét punkt (normalt det øjeblik, projektet påbegyndes implementering). Diskonteringsrenten i dette tilfælde tager højde for ændringer i pengeværdien over tid.

Afkastmodellen (14.1) viser tydeligt, hvilke to hovedopgaver der skal løses, når man analyserer ethvert investeringsprojekt og i særdeleshed et projekt, der skal implementere tiltag inden for informationssikkerhed: beregning af omkostningerne forbundet med projektet og beregning af yderligere kontanter flyde. Hvis metoden til beregning af samlede omkostninger () over de seneste 10-15 år generelt har været ret fuldt udformet (i form af begrebet "Total Cost of Ownership", TCO - Total Cost of Ownership, TCO) og bruges aktivt i praksis i forhold til forskellige typer informationssystemer og elementer informationsinfrastruktur, derefter beregningen af ​​yderligere pengestrøm () modtaget som følge af investeringer i informationssikkerhedsværktøjer, som regel forårsager alvorlige vanskeligheder. En af de mest lovende tilgange til beregning af denne indikator er en metode, der er baseret på en kvantitativ (monetær) vurdering af risikoen for skade på informationsressourcer og en vurdering af reduktionen af ​​disse risici forbundet med implementeringen af ​​yderligere foranstaltninger til beskyttelse af information .

Generelt er sammensætningen af ​​metoden til at analysere gennemførligheden af ​​at investere i projekter, der sigter mod at sikre informationssikkerhed, skematisk præsenteret i fig. 14.1.

At analysere omkostningerne forbundet med et projekt, selv om det er en relativt enklere opgave, kan stadig forårsage nogle vanskeligheder. Som med mange andre projekter inden for informationsteknologi, er det tilrådeligt at analysere omkostningerne ved at gennemføre projekter inden for informationssikkerhed baseret på den velkendte grundlæggende metodik "Total Cost of Ownership" - TCO (Total Cost of Ownership - TCO), introduceret af konsulentfirmaet "Gartner Group" i 1987 i forhold til personlige computere. Generelt er denne metode rettet mod at sikre en fuldstændig analyse af omkostninger (både direkte og indirekte) forbundet med informationsteknologier og informationssystemer i situationer, hvor det er nødvendigt at vurdere de økonomiske konsekvenser af implementeringen og brugen af ​​sådanne systemer: ved vurdering af effektivitet af investeringer, sammenligning af alternative teknologier, udarbejdelse af kapital- og driftsbudgetter mv.

Generelt inkluderer den samlede TCO-værdi:

  • omkostninger ved at designe et informationssystem;
  • omkostninger til anskaffelse af hardware og software: computerudstyr, netværksudstyr, software (under hensyntagen til de anvendte licensmetoder) samt leasingbetalinger;
  • omkostninger til softwareudvikling og dens dokumentation, samt rettelse af fejl i den og ændringer i driftsperioden;
  • omkostninger til den løbende administration af informationssystemer (herunder betaling for tjenester fra tredjepartsorganisationer, hvortil disse funktioner er outsourcet);
  • teknisk support og serviceomkostninger;
  • omkostninger til forbrugsvarer;
  • omkostninger til telekommunikationstjenester (internetadgang, dedikerede og skiftede kommunikationskanaler osv.);
  • omkostninger til uddannelse af brugere, samt ansatte i IT-afdelinger og;
  • indirekte omkostninger er en virksomheds omkostninger forbundet med brugernes tab af tid i tilfælde af fejl i driften af ​​informationssystemer.

Ved beregning af omkostningerne ved at øge informationssikkerhedsniveauet er det også nødvendigt at inkludere omkostninger til omorganisering af forretningsprocesser og informationsarbejde med personale: betaling for tjenester fra forretningskonsulenter og konsulenter om informationssikkerhedsspørgsmål, omkostninger til udvikling af organisatorisk dokumentation, omkostninger til gennemførelse af revisioner af osv. .P. Derudover er det, når man analyserer omkostninger, også nødvendigt at tage højde for det faktum, at indførelsen af ​​informationssikkerhedsværktøjer i de fleste tilfælde indebærer fremkomsten af ​​yderligere ansvar for virksomhedens personale og behovet for at udføre yderligere operationer, når de arbejder med informationssystemer . Dette medfører et lille fald i produktiviteten hos virksomhedens ansatte og kan følgelig medføre yderligere omkostninger.

De investerer i forskellige computersikkerhedsteknologier – fra platforme til at betale bonusser for at opdage sårbarheder i programmer til diagnostik og automatiseret test af programmer. Men mest af alt er de tiltrukket af autentificerings- og identitet- omkring $900 millioner blev investeret i startups, der beskæftiger sig med disse teknologier i slutningen af ​​2019.

Investeringer i opstart af cybersikkerhedstræning nåede op på 418 millioner dollars i 2019, ledet af KnowBe4, som rejste 300 millioner dollars. Opstarten tilbyder en phishing-angrebssimuleringsplatform og en række træningsprogrammer.

I 2019 modtog virksomheder involveret i Internet of Things-sikkerhed omkring $412 millioner. Lederen i denne kategori med hensyn til investeringsvolumen er SentinelOne, som i 2019 modtog 120 millioner dollars til udvikling af endpoint-beskyttelsesteknologier.

Samtidig leverer Metacurity-analytikere andre data, der karakteriserer situationen på venturefinansieringsmarkedet i informationssikkerhedssektoren. I 2019 nåede omfanget af investeringer her 6,57 milliarder dollars, hvilket er steget fra 3,88 milliarder dollars i 2018. Antallet af transaktioner steg også - fra 133 til 219. Samtidig forblev det gennemsnitlige investeringsvolumen pr. transaktion stort set uændret og udgjorde 29,2 millioner ved udgangen af ​​2019, opgjort af Metacurity.

2018

Vækst med 9% til $37 milliarder - Canalys

I 2018 nåede salget af udstyr, software og tjenester beregnet til informationssikkerhed (IS) $37 milliarder, en stigning på 9% sammenlignet med for et år siden ($34 milliarder). Sådanne data blev offentliggjort af Canalys analytikere den 28. marts 2019.

På trods af, at mange virksomheder prioriterer at beskytte deres aktiver, data, endepunkter, netværk, medarbejdere og kunder, udgjorde cybersikkerhed kun 2 % af det samlede IT-forbrug i 2018, sagde de. Der dukker dog flere og flere nye trusler op, de bliver mere komplekse og hyppigere, hvilket giver producenter af informationssikkerhedsløsninger nye muligheder for vækst. De samlede udgifter til cybersikkerhed forventes at overstige 42 milliarder dollars i 2020.

Canalys-analytiker Matthew Ball mener, at overgangen til nye modeller for implementering af informationssikkerhed vil accelerere. Kunder ændrer karakteren af ​​deres it-budgetter ved at bruge offentlige cloud-tjenester og fleksible abonnementsbaserede tjenester.

Omkring 82 % af installationerne af informationssikkerhed i 2018 involverede brug af traditionel hardware og software. I de resterende 18 % af tilfældene blev virtualisering, offentlige skyer og informationssikkerhedstjenester brugt.

I 2020 vil andelen af ​​traditionelle modeller til implementering af informationssikkerhedssystemer falde til 70 %, efterhånden som nye løsninger på markedet vinder popularitet.

Leverandører bliver nødt til at skabe en bred vifte af forretningsmodeller for at understøtte denne overgang, da forskellige produkter passer til forskellige typer implementeringer. Den største udfordring for mange i dag er at gøre nye modeller mere fokuserede på partnerkanaler og integrere dem med eksisterende partnerprogrammer, især med kundetransaktioner gennem cloud-platforme. Nogle cloud-markedspladser har allerede reageret på dette ved at give partnere mulighed for at tilbyde skræddersyede tilbud og priser direkte til kunder ved at spore aftaleregistreringer og rabatter, rapporterede Matthew Ball i et indlæg den 29. marts 2019.

Ifølge Canalys-analytiker Ketaki Borade har førende leverandører af cybersikkerhedsteknologi introduceret nye produktdistributionsmodeller, der involverer virksomheder, der går over til en abonnementsmodel og øger driften i cloud-infrastrukturen.


Cybersikkerhedsmarkedet forblev meget dynamisk og oplevede rekordaktivitet og -volumen som reaktion på stigende regulatoriske og tekniske krav, samt den fortsatte udbredte risiko for databrud, sagde Eric McAlpine, medstifter og administrerende partner af Momentum Cyber. "Vi tror på, at dette momentum vil fortsætte med at skubbe sektoren ind på nyt territorium, da den søger at imødegå nye trusler og konsoliderer sig i lyset af leverandørtræthed og voksende mangel på kvalifikationer."

2017

Udgifterne til cybersikkerhed oversteg 100 milliarder dollars

I 2017 nåede de globale udgifter til informationssikkerhed (IS) - produkter og tjenester - op på 101,5 milliarder dollars, sagde Gartner-forskningsfirmaet i midten af ​​august 2018. I slutningen af ​​2017 anslog eksperter dette marked til 89,13 milliarder dollars. Det er ikke rapporteret, hvad der forårsagede den betydelige stigning i værdiansættelsen.

CISO'er søger at hjælpe deres organisationer med sikker brug af teknologiplatforme til at blive mere konkurrencedygtige og drive virksomhedsvækst, siger Siddharth Deshpande, forskningsdirektør hos Gartner. - Fortsat mangel på kvalifikationer og lovgivningsmæssige ændringer såsom den generelle databeskyttelsesforordning (GDPR) i Europa driver yderligere vækst på markedet for cybersikkerhedstjenester.

Eksperter mener, at en af ​​nøglefaktorerne, der bidrager til øgedeer, er introduktionen af ​​nye metoder til at opdage og reagere på trusler, som blev den højeste sikkerhedsprioritet for organisationer i 2018.

Ifølge Gartners estimater oversteg organisationer brugt på cyberbeskyttelsestjenester globalt 52,3 milliarder USD i 2017. I 2018 vil disse omkostninger stige til 58,9 milliarder USD.

I 2017 brugte virksomheder 2,4 milliarder USD på at beskytte applikationer, 2,6 milliarder USD på databeskyttelse og 185 millioner USD på at beskytte cloud-tjenester.

Det årlige salg af løsninger til identitets- og adgangsstyring (Identity And Access Management) viste sig at svare til 8,8 mia.. Salget af værktøjer til beskyttelse af it-infrastruktur steg til 12,6 mia.

Undersøgelsen peger også på 10,9 milliarder dollars i udgifter til udstyr, der bruges til at levere netværkssikkerhed. Deres producenter tjente 3,9 milliarder USD på risikostyringssystemer for informationssikkerhed.

Forbrugerudgifterne til cybersikkerhed for 2017 anslås af analytikere til 5,9 milliarder dollars ifølge en Gartner-undersøgelse.

Gartner estimerede markedsstørrelsen til 89,13 milliarder dollars

I december 2017 blev det kendt, at globale virksomheders udgifter til informationssikkerhed (IS) i 2017 ville beløbe sig til 89,13 milliarder dollars. Ifølge Gartner vil virksomhedernes udgifter til cybersikkerhed overstige 2016-beløbet på 82,2 milliarder dollars med næsten 7 milliarder dollars.

Eksperter anser informationssikkerhedstjenester for at være den største udgiftspost: I 2017 vil virksomheder allokere over 53 milliarder USD til disse formål sammenlignet med 48,8 milliarder USD i 2016. Det næststørste segment af informationssikkerhedsmarkedet er infrastrukturbeskyttelsesløsninger, hvis omkostninger i 2017 vil beløbe sig til 16,2 milliarder dollars i stedet for 15,2 milliarder dollars for et år siden. Netværkssikkerhedsudstyr er på tredjepladsen ($10,93 milliarder).

Strukturen af ​​informationssikkerhedsudgifter omfatter også forbrugersoftware til informationssikkerhed og identifikation og adgangsstyringssystemer (Identity and Access Management, IAM). Gartner anslår omkostningerne på disse områder i 2017 til 4,64 milliarder dollars og 4,3 milliarder dollars, mens tallene i 2016 var på henholdsvis 4,57 milliarder dollars og 3,9 milliarder dollars.

Analytikere forventer yderligere vækst på informationssikkerhedsmarkedet: I 2018 vil organisationer øge udgifterne til cyberbeskyttelse med yderligere 8 % og afsætte i alt 96,3 milliarder USD til disse formål. bevidsthed om nye trusler og virksomhedernes omdrejningspunkt til en digital forretningsstrategi.

Generelt er udgifter til cybersikkerhed i høj grad drevet af virksomheders reaktion på informationssikkerhedshændelser, da antallet af højprofilerede cyberangreb og informationslækager, der påvirker organisationer rundt om i verden, vokser, siger Ruggero Contu, forskningsdirektør hos Gartner, der kommenterer prognosen. .

Analytikerens ord bekræftes af data indhentet af Gartner i 2016 under en undersøgelse, der involverede 512 organisationer fra otte lande: Australien, Canada, Frankrig, Tyskland, Indien, Singapore og USA.

53 % af de adspurgte nævnte cybersikkerhedsrisici som den vigtigste drivkraft bag øgede cybersikkerhedsudgifter. Af dette antal sagde den højeste procentdel af de adspurgte, at truslen om cyberangreb mest påvirker beslutninger om informationssikkerhedsudgifter.

Gartners prognose for 2018 kalder på øgede udgifter på tværs af alle større områder. Således vil omkring $57,7 milliarder (+$4,65 milliarder) blive brugt på cyberbeskyttelsestjenester, omkring $17,5 milliarder (+$1,25 milliarder) vil blive brugt på at sikre infrastruktursikkerhed og $11,67 milliarder (+$735 millioner) til forbrugersoftware - $4,74 milliarder ( +$109 millioner) og for IAM-systemer - $4,69 milliarder (+$416 millioner).

Analytikere mener også, at i 2020 vil mere end 60 % af organisationer i verden investere samtidigt i flere databeskyttelsesværktøjer, herunder forebyggelse af informationstab, kryptering og revisionsværktøjer. Ved udgangen af ​​2017 var andelen af ​​virksomheder, der køber sådanne løsninger, anslået til 35 %.

En anden væsentlig del af virksomhedens udgifter til informationssikkerhed vil være inddragelse af tredjepartsspecialister. Det forventes, at på baggrund af en mangel på personale inden for cybersikkerhed, den stigende tekniske kompleksitet af informationssikkerhedssystemer og stigende cybertrusler, vil virksomhedens omkostninger til outsourcing af informationssikkerhed i 2018 stige med 11 % og beløbe sig til 18,5 mia. .

Gartner anslår, at i 2019 vil virksomhedernes udgifter til tredjeparts cybersikkerhedseksperter tegne sig for 75 % af de samlede udgifter til cybersikkerhedssoftware og hardware, op fra 63 % i 2016.

IDC forudser markedsstørrelse til 82 milliarder dollars

To tredjedele af omkostningerne vil komme fra virksomheder, der er klassificeret som store og meget store virksomheder. I 2019 vil omkostningerne for virksomheder med mere end 1.000 ansatte ifølge IDC-analytikere overstige 50 milliarder dollars.

2016: Markedsvolumen $73,7 milliarder, vækst 2 gange mere end IT-markedet

I oktober 2016 præsenterede analysevirksomheden IDC korte resultater af en undersøgelse af det globale informationssikkerhedsmarked. Dets vækst forventes at være det dobbelte af IT-markedet.

IDC beregnede, at det globale salg af udstyr, software og tjenester til cyberbeskyttelse vil nå op på omkring 73,7 milliarder dollars i 2016, og i 2020 vil tallet overstige 100 milliarder dollars, svarende til 101,6 milliarder dollars. I perioden fra 2016 til 2020 vil informationssikkerhedsmarkedet – teknologi vil vokse med en gennemsnitlig hastighed på 8,3% årligt, hvilket er dobbelt så stor som IT-branchens forventede vækstrate.


De største udgifter til informationssikkerhed (8,6 milliarder USD) ved udgangen af ​​2016 forventes i bankerne. På anden-, tredje- og fjerdepladsen med hensyn til størrelsen af ​​sådanne investeringer vil være diskrete produktionsvirksomheder, offentlige myndigheder og kontinuerlige produktionsvirksomheder, som vil stå for omkring 37 % af udgifterne.

Analytikere giver lederskab i dynamikken i at øge inftil sundhedspleje (en gennemsnitlig årlig vækst på 10,3% forventes i 2016-2020). Omkostningerne til cyberbeskyttelse i tele-, boligsektoren, offentlige myndigheder og på investerings- og værdipapirmarkedet vil stige med cirka 9 % om året.

Forskere kalder det amerikanske marked for det største informationssikkerhedsmarked, hvis volumen vil nå op på 31,5 milliarder dollars i 2016. Top tre vil også omfatte Vesteuropa og Asien-Stillehavsområdet (eksklusive Japan). Der er ingen oplysninger om det russiske marked i den korte version af IDC-undersøgelsen.

Generaldirektør for det russiske selskab Security Monitor Dmitry Gvozdev forudsiger en stigning i andelen af ​​tjenester i det samlede russiske sikkerhedsudgifter fra 30-35% til 40-45% og forudsiger også udviklingen af ​​markedets klientstruktur - fra det samlede overvægt af den offentlige sektor, finans- og energisektorer over for mellemstore virksomheder fra en bredere vifte af brancher.

En af tendenserne bør være udviklingen i andelen af ​​indenlandske softwareprodukter i forbindelse med spørgsmål om importsubstitution og den udenrigspolitiske situation. I hvilket omfang dette vil afspejle sig i finansielle indikatorer, vil dog i høj grad afhænge af rubelkursen og prispolitikken for udenlandske leverandører, som stadig optager mindst halvdelen af ​​hjemmemarkedet for softwareløsninger og op til to tredjedele i udstyrssegment. Det endelige årlige økonomiske resultat af hele det russiske marked for informationssikkerhedsløsninger kan også være knyttet til eksterne økonomiske faktorer, sagde Gvozdev i en samtale med TAdviser.

2015

MARKEDSSTØRRELSE

FORBUNDSUDGIFTER

CYBERKRIMINALITET

COST-PER-BREACH

FINANSIELLE TJENESTEYDELSER

International

SIKKERHEDSANALYTIK

2013: EMEA-markedet voksede til 2,5 milliarder dollars.

Omfanget af markedet for sikkerhedsudstyr i EMEA-regionen (Europa, Mellemøsten og Afrika) voksede med 2,4 % i forhold til 2012 og beløb sig til 2,5 milliarder USD. Analytikere kaldte multifunktionelle software- og hardwaresystemer til beskyttelse af computere for det største og hurtigst voksende segment af markedet under overvejelse netværk – UTM-løsninger (Unified trusselhåndtering). Samtidig forudsagde IDC, at markedet for informationssikkerhedshardware i 2018 vil nå 4,2 milliarder dollars i værdi med en gennemsnitlig årlig vækst på 5,4 %.

I slutningen af ​​2013 indtog Check Point den førende position blandt leverandører med hensyn til omsætning fra salg af informationssikkerhedsudstyr i EMEA-regionen. Ifølge IDC voksede leverandørens omsætning i dette segment for 2013 med 3,8% og beløb sig til $374,64 millioner, hvilket svarer til en markedsandel på 19,3%.

2012: Forecast PAC: Informationssikkerhedsmarkedet vil vokse med 8% om året

Det globale informationssikkerhedsmarked vil vokse med 8% årligt indtil 2016, hvor det kan nå op på 36 milliarder euro, rapporterede undersøgelsen.