• hjem
  •  > 
  • Grafikk og design
  •  > 
  • Gjennomgang av det russiske informasjonssikkerhetsmarkedet. Informasjonssikkerhet: en kostnadskilde eller en strategisk investering? Kostnader for bedriftens informasjonssikkerhet

Gjennomgang av det russiske informasjonssikkerhetsmarkedet. Informasjonssikkerhet: en kostnadskilde eller en strategisk investering? Kostnader for bedriftens informasjonssikkerhet

Kaspersky Lab Global Corporate IT Security Risks Survey er en årlig analyse av trender innen bedriftsinformasjonssikkerhet rundt om i verden. Vi ser på så viktige aspekter ved cybersikkerhet som størrelsen på informasjonssikkerhetskostnader, aktuelle typer trusler for ulike typer selskaper, og de økonomiske konsekvensene av å møte disse truslene. I tillegg, ved å lære av ledere om budsjetteringsprinsipper for informasjonssikkerhet, kan vi se hvordan selskaper i forskjellige regioner i verden reagerer på endringer i trussellandskapet.

I 2017 søkte vi å forstå om selskaper ser på informasjonssikkerhet som en kostnadsfaktor (et nødvendig onde som de blir tvunget til å allokere penger til) eller begynner å se det som en strategisk investering (det vil si et middel for å sikre kontinuitet i virksomheten) som gir betydelige fordeler i en tid med raskt utviklende cybertrusler).

Dette er et veldig viktig spørsmål, spesielt siden IT-budsjettene har gått ned i de fleste regioner i verden.

I Russland var det imidlertid i 2017 en liten økning i det gjennomsnittlige budsjettet til sikkerhet – 2 %. Det gjennomsnittlige i Russland var omtrent 15,4 millioner rubler.

Denne rapporten tar en nærmere titt på typene trusler som står overfor selskaper av alle størrelser, samt de typiske mønstrene for IT-forbruk.

Generell informasjon og forskningsmetodikk

Kaspersky Labs globale studie av informasjonssikkerhetsrisikoer for bedrifter (Kaspersky Lab Corporate IT Security Risks Survey) er en undersøkelse av ledere som administrerer IT-tjenestene til deres organisasjoner, som har blitt utført årlig siden 2011.

De siste dataene ble samlet inn i mars og april 2017. Totalt 5 274 respondenter fra mer enn 30 land ble undersøkt, som dekker selskaper i alle størrelser.

Rapporten bruker noen ganger følgende betegnelser: småbedrifter - mindre enn 50 ansatte, SMB (mellomstore og små bedrifter - fra 50 til 250 ansatte) og store bedrifter (bedrifter med mer enn 250 ansatte). Den nåværende rapporten presenterer en analyse av de mest avslørende parameterne fra undersøkelsen.

Hovedkonklusjoner:

Det blir vanskeligere for selskaper av alle størrelser å bekjempe cybertrusler, og forsvarskostnadene øker også. I Russland, i segmentet mellomstore og små bedrifter, er den gjennomsnittlige kostnaden for å eliminere konsekvensene av bare en cyberhendelse 1,6 millioner rubler, og for det store forretningssegmentet er kostnadene 16,1 millioner rubler.

Andelen av IT-budsjettet som avsettes til informasjonssikkerhet vokser. Dette er typisk for selskaper av alle størrelser. Det totale budsjettet er fortsatt lavt, og i Russland var veksten bare 2%, så spesialister er tvunget til å utføre oppgavene sine med få ressurser.

Skadene fra en enkelt hendelse vokser, og selskaper som ikke prioriterer informasjonssikkerhetskostnader kan fort havne i alvorlige problemer. Studien viste at i SMB-segmentet bruker selskaper rundt 300 tusen rubler for hver sikkerhetshendelse på ytterligere betalinger til ansatte, og store selskaper kan bruke 2,7 millioner rubler for å redusere skade på merkevaren.

Skader fra sikkerhetshendelser

Antallet cybersikkerhetshendelser øker, med selskaper som må håndtere en rekke konsekvenser, fra ytterligere PR til å ansette nye medarbeidere. I 2017 var det en ytterligere økning i økonomiske tap ved brudd på dataintegriteten. Dette bør endre måten selskaper nærmer seg dette problemet på: selskaper vil slutte å se cybersikkerhetskostnader som et nødvendig onde og vil begynne å se dem som investeringer som vil tillate dem å unngå betydelige økonomiske tap i tilfelle et angrep.

Alvorlige datainnbrudd er stadig dyrere

Den største bekymringen for CTOer er massive angrep som resulterer i at millioner av poster blir lekket. Slike var angrep på National Health Service (NHS) i Storbritannia, Sony, eller hackingen av TV-kanalen HBO med utgivelse av konfidensielle data relatert til serien «Game of Thrones». Men i realiteten er slike store hendelser unntaket snarere enn regelen. Inntil i fjor skapte de fleste nettangrep ikke nyhetsoverskriftene og forble provinsen for spesialrapporter for spesialister. Selvfølgelig har ransomware-epidemier endret situasjonen litt, men fortsatt forstår ikke bedriftssegmentet hele bildet.

Det relativt lave antallet kjente cyberangrep i stor skala betyr ikke at skaden fra de fleste angrep er ubetydelig. Så hvor mye bruker bedrifter i gjennomsnitt for å løse et "typisk" databrudd? Vi ba studiedeltakerne estimere hvor mye selskapet deres brukte/tapt som følge av en sikkerhetshendelse som skjedde det siste året.

Alle selskaper med 50 eller flere ansatte ble pålagt å estimere kostnadene som ble påløpt i hver av følgende kategorier:

For hver av kategoriene beregnet vi de gjennomsnittlige kostnadene som påløper for selskaper som står overfor informasjonssikkerhetshendelser, og summen av alle kategoriene tillot oss å estimere mengden av total skade forårsaket av en informasjonssikkerhetshendelse.

Nedenfor presenterer vi hver for seg resultatene for SMB- og store virksomhetssegmenter, siden statistikken for disse er forskjellig på mange måter. For eksempel er den gjennomsnittlige skaden for russiske SMB-selskaper nesten 1,6 millioner rubler, og for store bedrifter er den nesten ti ganger høyere - 16,1 millioner rubler. Dette viser at cyberangrep er kostbare for selskaper i alle størrelser.

Det faktum at store virksomheter i gjennomsnitt lider mer tap når dataintegriteten blir krenket er ikke overraskende, men det er interessant å analysere fordelingen av skader etter kategori.

I fjor var tilleggsytelser til ansatte den viktigste utgiftsposten for både små og mellomstore bedrifter og store bedrifter. Men i år har bildet endret seg, og selskaper av ulik størrelse har ulike hovedutgiftsposter. Små og mellomstore bedrifter taper fortsatt mest på ansattegoder. Men store bedrifter begynte å investere i ytterligere PR for å redusere skade på merkevarens omdømme. I tillegg var en betydelig kostnadspost for store virksomheter kostnadene ved forbedring av teknisk utstyr og innkjøp av tilleggsprogramvare.

For alle bedrifter har kostnadene for opplæring av ansatte økt. Sikkerhetshendelser får ofte selskaper til å innse viktigheten av å øke cyberkompetanse og forbedre trusselintelligens.

De mer omfattende interne ressursene til store selskaper og særegenhetene ved regulering av deres virksomhet bestemmer en annen balanse mellom kostnadene ved å eliminere trusselen i seg selv og kostnadene ved å kompensere for skade. En alvorlig utgiftspost var økningen i forsikringspremier, forverring av kredittvurderinger og erosjon av tillit til selskapet: i gjennomsnitt taper store selskaper rundt 2,3 millioner rubler etter hver hendelse.

Vår forskning viste at mye av økningen i selskapets kostnader var drevet av behovet for å forhindre – eller i det minste redusere – tap av omdømme i form av kredittvurderinger, merkevareimage og kompensasjon.

Etter hvert som nye forskrifter blir mer utbredt, vil den gjennomsnittlige kostnaden sannsynligvis fortsette å stige, noe som krever at selskaper offentlig rapporterer alle hendelser og øker datasikkerheten.

Slike trender er typiske, for eksempel i Japan, hvor gjennomsnittskostnaden for å eliminere konsekvensene av et sikkerhetsbrudd mer enn doblet seg: fra 580 tusen dollar i 2016 til 1,3 millioner dollar i 2017. Den japanske regjeringen har beveget seg for å stramme inn regelverket som svar på en økning i cybersikkerhetstrusler. I 2017 trådte nye lover i kraft, noe som førte til en plutselig økning i kostnadene.

Det tar imidlertid tid å utvikle og implementere lover. Med den raske utviklingen av bedriftens IT-landskap og utviklingen av cybertrusler, blir etterslepet i regulatoriske tiltak et alvorlig problem. For eksempel ble nye japanske standarder avtalt tilbake i 2015, men deres ikrafttredelse måtte utsettes i to hele år. For mange ble denne forsinkelsen svært kostbar: I løpet av disse to årene ble en rekke store japanske selskaper ofre for kostbare angrep. Et eksempel er reiseselskapet JTB Corp., som fikk en enorm lekkasje i 2016. Dataene til 8 millioner kunder ble stjålet, inkludert navn, adresser og passnummer.

Dette er et av symptomene på et globalt problem: truslene utvikler seg raskt, og tregheten til myndigheter og selskaper er for høy. Et annet eksempel på å stramme skruene er de generelle europeiske databeskyttelsesstandardene (GDPR), som trer i kraft i mai 2018 og begrenser de akseptable måtene EU-borgernes data kan behandles og lagres betydelig på.

Lover endrer seg rundt om i verden, men de kan ikke holde tritt med cybertrusler – tre bølger av løsepengevare i Russland minnet oss om dette i 2017. Derfor bør virksomheter være klar over lovens mangler og styrke beskyttelsen i samsvar med de faktiske omstendighetene – eller akseptere skaden på omdømme og kunder på forhånd. Det er verdt å forberede seg på nye forskriftskrav uten å vente på frister. Ved å endre policyer etter at de relevante lovene er utstedt, risikerer selskaper ikke bare bøter, men også sikkerheten til egne og klientdata.

Det finnes ikke slike ting som andres sårbarheter: hull i partnerbeskyttelsen er kostbare

For å beskytte mot datalekkasjer er det svært viktig å forstå hvilke angrepsvektorer angripere bruker. På sin side vil denne informasjonen hjelpe deg å forstå hvilke typer angrep som er mest kostbare.

Undersøkelsen viste at følgende hendelser hadde de alvorligste økonomiske konsekvensene for mellomstore og små bedrifter:

  • Hendelser som påvirker infrastruktur som er vert på tredjepartsutstyr (RUB 17,2 millioner)
  • Hendelser som påvirker tredjeparts skytjenester brukt av selskapet (RUB 3,6 millioner)
  • Upassende datautveksling via mobile enheter (RUB 2,5 millioner)
  • Fysisk tap av mobile enheter, som utsetter organisasjonen for risiko (RUB 2,1 millioner)
  • Hendelser knyttet til ikke-databehandlingsenheter koblet til Internett (for eksempel industrielle kontrollsystemer, tingenes internett) (1,7 millioner RUB)

Situasjonen med store bedrifter er noe annerledes:

  • Målrettede angrep (75 millioner RUB)
  • Hendelser som påvirker skytjenester til tredjepartsleverandører (RUB 19 millioner)
  • Virus og skadelig programvare (RUB 9 millioner)
  • Upassende datautveksling via mobile enheter (7,3 millioner RUB)
  • Hendelser som påvirker leverandører som selskaper utveksler data med (RUB 4,4 millioner)

Disse dataene viser at svært ofte er angrep forårsaket av sikkerhetsproblemer med forretningspartnere nesten de mest kostbare for selskaper uansett størrelse. Dette gjelder både organisasjoner som leier sky eller annen infrastruktur fra tredjepartsleverandører, og selskaper som deler sine data med partnere.

Når du gir et annet selskap tilgang til dine data eller infrastruktur, blir deres svakheter ditt problem. Vi har imidlertid tidligere observert at de fleste organisasjoner ikke legger tilstrekkelig vekt på dette. Det er derfor ikke overraskende at hendelser av denne typen forårsaker de største kostnadene: enhver bokser vil fortelle deg at det vanligvis er et uventet slag som forårsaker en knockout.

Også umiddelbart bemerkelsesverdig er en annen vektor som uventet kom inn i topp 5 truslene for mellomstore bedrifter: angrep relatert til tilkoblede enheter som ikke er datamaskiner. I dag vokser trafikken på tingenes internett (IoT) mye raskere enn trafikk generert av noen annen teknologi. Dette er nok et eksempel på hvordan nye utviklinger øker antallet potensielle sårbarheter i forretningsinfrastruktur. Spesielt har den utbredte bruken av fabrikkstandardpassord og svake sikkerhetsfunksjoner på Internet of Things-enheter gjort dem til en ideell fangst for botnett som Mirai - skadevare som kan koble et stort antall sårbare enheter til et enkelt nettverk for å utføre storskala DDoS-angrep på utvalgte mål.

Mengden tap fra målrettede angrep i det store forretningssegmentet er bemerkelsesverdig - denne trusselen er ekstremt vanskelig å motvirke. I løpet av de siste par årene har en rekke høyprofilerte målrettede angrep på banker blitt kjent, noe som også forsterker denne skuffende statistikken.

Investering i risikoreduksjon

Som vår forskning har vist, blir trusler mot informasjonssikkerheten mer alvorlige. Under disse forholdene kan man ikke annet enn å bekymre seg for tilstanden til selvee. Ved å analysere endringene deres kan vi avgjøre om organisasjoner ser på sikkerheten deres som en kostnadsdriver, eller om balansen gradvis går over til å bli sett på som et investeringsområde som gir et reelt konkurransefortrinn.

Størrelsen på budsjettet viser selskapets holdning til IT-sikkerhet, betydningen av beskyttelsessystemets rolle fra ledelsens ståsted, og organisasjonens vilje til å ta risiko.

Informasjonssikkerhetsbudsjett: andelen vokser, "kaken" krymper

I år har vi sett at innsparinger og outsourcing har ført til reduksjoner i IT-budsjettene. Til tross for dette (eller kanskje som et resultat av dette) har andelen informasjonssikkerhet i disse IT-budsjettene økt. I Russland kan man se en positiv trend i selskaper i alle størrelser. Selv blant mikrobedrifter som opererer under forhold med utilstrekkelige ressurser, har andelen IT-budsjetter som er allokert til informasjonssikkerhet økt, om enn med en brøkdel av en prosent.

Det betyr at bedrifter endelig begynner å forstå viktigheten av informasjonssikkerhet. Kanskje viser dette at informasjonssikkerhet har begynt å bli oppfattet av mange som en potensielt nyttig investering, snarere enn som en kostnadskilde.

Vi ser at IT-budsjettene rundt om i verden reduseres betydelig. Mens informasjonssikkerheten får en større del av kaken, blir selve kaken mindre. Trenden er alarmerende, spesielt gitt hvor høy innsatsen er i dette området og hvor kostbart hvert angrep er.

I Russland nådde gjennomsnittsbudsjettet for informasjonssikkerhet for store bedrifter i 2017 400 millioner rubler, og for små og mellomstore bedrifter - 4,6 millioner rubler.

Utvalg: 694 respondenter i Russland i stand til å vurdere budsjettet

Det er ingen overraskelse at offentlige tjenesteorganisasjoner (inkludert forsvarssektoren) og finansinstitusjoner rundt om i verden rapporterer de høyeste kostnadene for informasjonssikkerhet i år. Bedrifter i begge disse sektorene brukte i gjennomsnitt mer enn 5 millioner dollar på sikkerhet. Det er også verdt å merke seg at IT- og telekommunikasjonssektoren, samt selskaper i energibransjen, også brukte mer enn gjennomsnittet på informasjonssikkerhet, selv om budsjettene deres var nærmere 3 millioner dollar i stedet for 5 dollar.

Men hvis du deler totale kostnader på antall ansatte, beveger offentlige organisasjoner seg mot bunnen av listen. I gjennomsnitt bruker IT- og telekommunikasjonssektoren 1 258 dollar per innbygger på informasjonssikkerhet, mens energisektoren bruker 1 344 dollar og finansselskaper bruker 1 436 dollar. Til sammenligning bevilger offentlige etater kun $959 per person til informasjonssikkerhet.

Både innen IT- og telekommunikasjonssegmentet og energiforsyningsindustrien er høye kostnader per ansatt mest sannsynlig forbundet med behovet for å beskytte åndsverk, noe som er spesielt relevant i disse sektorene av økonomien. Når det gjelder energiforsyningsorganisasjoner, kan høye sikkerhetskostnader også skyldes at disse selskapene i økende grad er sårbare for målrettede angrep organisert av grupper av angripere.

I denne bransjen blir investering i informasjonssikkerhet avgjørende for å overleve fordi det sikrer forretningskontinuitet, en kritisk faktor for energiforsyning. Konsekvensene av et vellykket cyberangrep i denne bransjen er spesielt alvorlige, så investering i informasjonssikkerhet har svært håndgripelige fordeler.

I Russland investeres IT og telekommunikasjon, så vel som industribedrifter, først og fremst i informasjonssikkerhet - gjennomsnittskostnadene for førstnevnte når 300 millioner rubler, for sistnevnte - 80 millioner rubler. Industri- og produksjonsbedrifter er vanligvis avhengige av datastøttede kontrollsystemer (ICS) for å sikre kontinuitet i produksjonsprosessene. Samtidig øker antallet angrep på ICS: I løpet av de siste 12 månedene har antallet økt med 5 %.

Grunner for å investere i informasjonssikkerhet

Spredningen av investeringsbeløp i informasjonssikkerhet mellom sektorer er svært stor. Derfor er det spesielt viktig å forstå årsakene som motiverer bedrifter til å bruke begrensede ressurser på informasjonssikkerhet. Uten å kjenne til motivene er det umulig å forstå om et selskap anser pengene som brukes på sikkerheten til IT-infrastrukturen som kastes eller ser på det som en lønnsom investering.

I 2017 innrømmet betydelig flere selskaper over hele verden at de ville investere i cybersikkerhet uavhengig av forventet avkastning på investeringen: 63 % sammenlignet med 56 % i 2016. Dette viser at stadig flere bedrifter forstår viktigheten av informasjonssikkerhet.

Hovedårsaker til å øke, Russland

Ikke alle selskaper forventer rask avkastning på investeringen, men mange globale selskaper oppga press fra sentrale interessenter, inkludert selskapets toppledelse, som en grunn til å øke budsjettene for informasjonssikkerhet (32 %). Dette viser at bedrifter begynner å se sine strategiske fordeler i veksten av utgifter til informasjonssikkerhet: sikkerhetstiltak lar ikke bare beskytte seg selv i tilfelle et angrep, men også demonstrere for kundene at dataene deres er i gode hender, også som sikre forretningskontinuitet, som selskapets ledelse er interessert i.

Den mest populære grunnen til å øke utgiftene til informasjonssikkerhet ble sitert av flertallet av innenlandske selskaper som behovet for å beskytte en stadig mer kompleks IT-infrastruktur (46%), og behovet for å forbedre kompetansen til informasjonssikkerhetseksperter ble notert av 30%. Disse tallene understreker behovet for å øke kompetansen som er tilgjengelig for en bedrift ved å utvikle kompetansen til egne ansatte. Faktisk investerer både små og mellomstore bedrifter og store bedrifter i økende grad i å støtte sin interne arbeidsstyrke i kampen mot cybertrusler.

Samtidig har behovet for å øke utgiftene til informasjonssikkerhet på grunn av ny virksomhet eller utvidelse av selskapet blant russiske virksomheter redusert: fra 36 % i fjor til 30 % i 2017. Kanskje reflekterer det de makroøkonomiske faktorene som våre selskaper har måttet forholde seg til den siste tiden.

Konklusjon

Stor skade ble forårsaket i 2017 av massive angrep som WannaCry, exPetr og BadRabbit. Skadene fra målrettede angrep, spesielt på russiske banker, er også stor. Alt dette viser at cybertrussellandskapet endrer seg raskt og ubønnhørlig. Bedrifter er tvunget til å tilpasse forsvaret eller forbli ute av virksomhet.

En stadig viktigere faktor i forretningsbeslutninger er forskjellen mellom kostnadene ved å forberede seg på å håndtere nettangrep og kostnadene offeret pådrar seg.

Rapporten viser at selv relativt små datainnbrudd som er av liten interesse for allmennheten kan være svært kostbare for et selskap og alvorlig påvirke virksomheten. En annen årsak til de økende kostnadene ved sikkerhetshendelser er endringer i regelverk over hele verden. Bedrifter må enten tilpasse seg eller risikere både manglende overholdelse og mulig hacking.

Under disse omstendighetene blir det spesielt viktig å vurdere alle konsekvenser og kostnader. Kanskje er det derfor stadig flere selskaper fra ulike land øker andelen informasjonssikkerhet i IT-budsjettene sine. I 2017 innrømmet betydelig flere selskaper over hele verden at de ville investere i cybersikkerhet uavhengig av forventet avkastning på investeringen: 63 % sammenlignet med 56 % i 2016.

Mest sannsynlig, ettersom skadene fra cybersikkerhetshendelser øker, vil de organisasjonene som anser IT-kostnader som investeringer i sikkerhet og er villige til å bruke betydelige mengder penger på dem, være bedre forberedt på mulige problemer. Hvordan er situasjonen i din bedrift?

Avhengig av konteksten brukes begrepet "informasjonssikkerhet" i forskjellige betydninger. I videste forstand innebærer konseptet beskyttelse av konfidensiell informasjon, produksjonsprosessen og selskapets infrastruktur fra tilsiktede eller utilsiktede handlinger som fører til økonomisk skade eller tap av omdømme.

Informasjonssikkerhetsprinsipper

I enhver bransje grunnleggende informasjonssikkerhetsprinsipp er å opprettholde en balanse mellom borgerens, samfunnets og statens interesser. Vanskeligheten med å holde balansen ligger i at samfunnets og borgerens interesser ofte er i konflikt. Innbyggeren streber etter å hemmeligholde detaljene i hans personlige liv, kilder og inntektsnivå og dårlige gjerninger. Samfunnet er tvert imot interessert i å "avklassifisere" informasjon om ulovlig inntekt, fakta om korrupsjon og kriminelle handlinger. Staten oppretter og forvalter en avskrekkende mekanisme som beskytter borgernes rettigheter til ikke-utlevering av personopplysninger og som samtidig regulerer rettsforhold knyttet til å løse forbrytelser og stille gjerningsmenn for retten.

Viktig under moderne forhold prinsippet om rettslig støtte informasjonssikkerhetsgevinster når regulatorisk støtte ikke holder tritt med utviklingen av. Huller i lovgivningen tillater ikke bare folk å unngå ansvar for nettkriminalitet, men hindrer også implementeringen av avanserte databeskyttelsesteknologier.

Prinsippet om globalisering , eller integrering av informasjonssikkerhetssystemer påvirker alle sektorer: politiske, økonomiske, kulturelle. Utviklingen av internasjonale kommunikasjonssystemer krever konsekvent datasikkerhet.

I følge prinsippet om økonomisk gjennomførbarhet , må effektiviteten til informasjonssikkerhetstiltak samsvare med eller overstige ressursene som brukes. Unrecoupment av kostnadene ved å opprettholde et sikkerhetssystem skader bare fremdriften.

Prinsippet om systemfleksibilitet informasjonsbeskyttelse betyr å eliminere alle regimebegrensninger som hindrer generering og implementering av ny teknologi.

Streng regulering av konfidensiell snarere enn åpen informasjon innebærer prinsippet om ikke-hemmelighold .

Jo flere forskjellige maskinvare- og programvaresikkerhetsverktøy som brukes for å beskytte data, jo mer mangfoldig kunnskap og ferdigheter trenger angripere for å oppdage sårbarheter og omgå beskyttelse. Har som mål å styrke informasjonssikkerheten prinsippet om mangfold beskyttelsesmekanismer for informasjonssystemer.

Prinsippet om enkel kontroll sikkerhetssystemet er basert på ideen om at jo mer komplekst informasjonssikkerhetssystemet er, desto vanskeligere er det å verifisere konsistensen av de enkelte komponentene og implementere sentraladministrasjon.

Nøkkelen til en lojal holdning hos personalet til informasjonssikkerhet er konstant opplæring i informasjonssikkerhetsregler og klare forklaringer på konsekvensene av manglende overholdelse av reglene, til og med konkurs i selskapet. Prinsippet om lojalitet Systemadministratorer for datasikkerhet og alt selskapets personell forbinder sikkerhet med ansattes motivasjon. Hvis ansatte, så vel som motparter og kunder, oppfatter informasjonssikkerhet som et unødvendig eller til og med fiendtlig fenomen, kan ikke selv de kraftigste systemene garantere informasjonssikkerheten i bedriften.

De listede prinsippene er grunnlaget for å sikre informasjonssikkerhet i alle bransjer, som er supplert med elementer avhengig av bransjens spesifikasjoner. La oss se på eksemplene fra banksektoren, energi og media.

Banker

Utviklingen av cyberangrepsteknologier tvinger bankene til å implementere nye og stadig forbedre grunnleggende sikkerhetssystemer. Målet med å utvikle informasjonssikkerhet i banksektoren er å utvikle teknologiske løsninger som kan sikre informasjonsressurser og sikre integrering av de nyeste IT-produktene i sentrale forretningsprosesser til finansinstitusjoner.

Mekanismer for å sikre informasjonssikkerheten til finansinstitusjoner er bygget i samsvar med ratifiserte internasjonale konvensjoner og avtaler, samt føderale lover og standarder. Referansepunktene innen informasjonssikkerhet for russiske banker er:

  • Bank of Russia standard STO BR IBBS-1.0-2010 "Sikre informasjonssikkerhet for organisasjoner i banksystemet i Den russiske føderasjonen";
  • føderal lov nr. 161 "om det nasjonale betalingssystemet";
  • føderal lov nr. 152 "om personopplysninger";
  • Payment Card Industry Data Security Standard PCI DSS og andre dokumenter.

Behovet for å følge ulike lover og standarder skyldes at bankene utfører mange ulike operasjoner, opererer på ulike områder, som krever egne sikkerhetsverktøy. For eksempel inkluderer sikring av informasjonssikkerhet under eksterne banktjenester (RBS) opprettelsen av en sikkerhetsinfrastruktur, som inkluderer midler for å beskytte bankapplikasjoner og kontrollere dataflyter. overvåke banktransaksjoner og undersøke hendelser. Flerkomponentbeskyttelse av informasjonsressurser sikrer minimering av trusler knyttet til svindel ved bruk av RBS-tjenester, samt beskyttelse av bankens omdømme.

Informasjonssikkerhet i banksektoren er i likhet med andre bransjer avhengig av bemanning. En særegenhet ved informasjonssikkerhet i banker er den økte oppmerksomheten til sikkerhetsspesialister på regulatornivå. I begynnelsen av 2017, Bank of Russia sammen med departementet for arbeidskraft og sosial beskyttelse med deltakelse av FSTEC, departementet for utdanning og vitenskap forer.

Hvordan gjennomføre en informasjonssikkerhetsrevisjon i en bank riktig?

Energi

Energikomplekset er en av de strategiske næringene som krever spesielle tiltak for å sikre informasjonssikkerhet. Hvis standard informasjonssikkerhetsverktøy er tilstrekkelig på arbeidsplasser i administrasjoner og avdelinger, krever beskyttelse på teknologiske områder energiproduksjon og levering til sluttbrukere økt kontroll. Hovedobjektet for beskyttelse i energisektoren er ikke informasjon, men den teknologiske prosessen. I dette tilfellet må sikkerhetssystemet sikre integriteten til den teknologiske prosessen og automatiserte kontrollsystemer. Derfor, før de implementerer i virksomheter i energisektoren, studerer eksperter:

  • gjenstand for beskyttelse - teknologisk prosess;
  • enheter som brukes i energisektoren (telemekanikk);
  • tilhørende faktorer (relébeskyttelse, automasjon, energimåling).

Betydningen av informasjonssikkerhet i energisektoren bestemmes av konsekvensene av implementering av informasjonscybertrusler. Dette er ikke bare materiell skade eller et slag for omdømmet, men fremfor alt skade på helsen til innbyggerne, forstyrrelse av miljøet, forstyrrelse av infrastrukturen til en by eller region.

Utforming av et informasjonssikkerhetssystem i energisektoren begynner med å forutsi og vurdere sikkerhetsrisikoer. Hovedvurderingsmetoden er modellering av mulige trusler, som bidrar til rasjonell fordeling av ressurser ved organisering av et sikkerhetssystem og forhindre implementering av cybertrusler. I tillegg er vurderingen av sikkerhetsrisikoer i energisektoren preget av kontinuitet: revisjoner under systemdrift utføres fortløpende for raskt å endre innstillinger for å sikre maksimal grad av beskyttelse og holde systemet oppdatert.

Massemedia

Hovedoppgaven til informasjonssikkerhet i mediene er å beskytte nasjonale interesser, herunder innbyggernes, samfunnets og statens interesser. Medias aktiviteter under moderne forhold kommer ned til å skape informasjonsstrømmer i form av nyheter og journalistisk materiale som mottas, behandles og distribueres til sluttforbrukere: lesere, seere, besøkende på nettstedet.

Sikring og kontroll av sikkerhet innen massemedier er implementert på flere områder og inkluderer:

  • utvikling av anbefalinger om anti-kriseprosedyrer i tilfelle trussel om et informasjonsangrep;
  • opplæringsprogrammer om informasjonssikkerhet for ansatte i medieredaksjoner, pressetjenester og PR-avdelinger;
  • midlertidig ekstern administrasjon av organisasjoner som har gjennomgått et informasjonsangrep.

Et annet problem med informasjonssikkerhet i media er skjevhet. For å sikre objektiv dekning av hendelser kreves det en beskyttelsesmekanisme som vil beskytte journalister mot press fra myndighetspersoner, ledelse og/eller eieren av mediene, og samtidig sikre bona fide forretningsstrukturer mot handlinger fra uærlige medierepresentanter.

En annen hjørnestein i informasjonssikkerheten i mediesektoren er å begrense tilgangen til data. Problemet er at det å begrense tilgangen til informasjon for å forhindre informasjonstrusler ikke blir et «deksel» for sensur. En løsning som vil gjøre mediene mer transparente og bidra til å unngå skade på nasjonale sikkerhetsinteresser er inneholdt i utkastet til konvensjon om tilgang til informasjonsressurser, som venter på avstemning i EU. Normene i dokumentet forutsetter at staten sikrer lik tilgang til alle offisielle dokumenter ved å opprette hensiktsmessige registre på Internett, og setter tilgangsbegrensninger som ikke kan endres. Det er bare to unntak som lar deg oppheve restriksjoner på tilgang til informasjonsressurser:

  • offentlig nytte, som innebærer muligheten til å offentliggjøre selv de data som ikke er gjenstand for spredning under normale forhold;
  • nasjonal interesse dersom fortielse av informasjon vil skade staten.

Privat sektor

Med utviklingen av en markedsøkonomi, vekst og skjerping av konkurransen, blir selskapets omdømme en uatskillelig del av immaterielle eiendeler. Dannelsen og bevaringen av et positivt bilde avhenger direkte av informasjonssikkerhetsnivået. Det er også et omvendt forhold når selskapets etablerte image på markedet fungerer som en garanti for informasjonssikkerhet. Med denne tilnærmingen skilles tre typer forretningsomdømme ut:

1. Bilde av en «ubrukelig» organisasjon, hvis informasjonsressurser ikke er av interesse, siden de ikke kan brukes til skade eller fordel for en tredjepart.

2. Bilde av en sterk motstander, hvis sikkerhet er "dyrere" å true. De uskarpe grensene for muligheter for å avvise et informasjonsangrep bidrar til å opprettholde ryktet til en formidabel motstander: jo vanskeligere det er å forstå potensialet til informasjonsbeskyttelse, desto mer ugjennomtrengelig fremstår selskapet i angripernes øyne.

3. Bilde av en "nyttig" organisasjon. Hvis en potensiell aggressor er interessert i selskapets levedyktighet, i stedet for et informasjonsangrep, er dialog og dannelse av en generell informasjonssikkerhetspolicy mulig.

Hvert selskap organiserer sin virksomhet i samsvar med loven og streber etter å nå sine mål. Lignende kriterier vil også gjelde ved utvikling av en informasjonssikkerhetspolicy, implementering og drift av interne sikkerhetssystemer for konfidensielle data og IT-ressurser. For å sikre høyest mulig informasjonssikkerhetsnivå i en organisasjon, bør sikkerhetskomponenter systematisk overvåkes, rekonfigureres og oppdateres etter behov når sikkerhetssystemer er implementert.

Informasjonsbeskyttelse av strategiske objekter

I begynnelsen av 2017 vedtok den russiske føderasjonens statsduma i første lesning en pakke med lovforslag som er knyttet til informasjonssikkerhet og landets kritiske informasjonsinfrastruktur.

De viktigste kildene til informasjonstrusler i den russiske føderasjonens militære sfære.

Leder av den parlamentariske komiteen for informasjonspolitikk, informasjonsteknologi og kommunikasjon Leonid Levin, som presenterte regningene, advarte om en økning i antall cyberangrep på strategisk viktige objekter. På et komitémøte sa FSB-representant Nikolai Murashov at det i løpet av året ble utført 70 millioner cyberangrep mot gjenstander i Russland. Samtidig med de økende truslene om eksterne angrep øker omfanget, kompleksiteten og koordineringen av informasjonsangrep i landet.

Lovforslag vedtatt av parlamentarikere skaper et rettslig grunnlag for å gi informasjon innen nasjonal kritisk infrastruktur og enkeltnæringer. I tillegg foreskriver lovforslagene hvilke fullmakter statlige organer har på informasjonssikkerhetsområdet og legger opp til et skjerpet straffeansvar for brudd på informasjonssikkerheten.

Hvordan rettferdiggjøre kostnadene ved informasjonssikkerhet?

Gjengitt med vennlig tillatelse OJSC InfoTex Internet Trust
Kildeteksten er lokalisert Her.

Bedriftens modenhetsnivåer

Gartner Group identifiserer 4 nivåer av bedriftens modenhet når det gjelder informasjonssikkerhet (IS):

  • nivå 0:
    • Ingen er involvert i informasjonssikkerhet i selskapet; selskapets ledelse innser ikke viktigheten av informasjonssikkerhetsproblemer;
    • Det er ingen finansiering;
    • Informasjonssikkerhet implementeres ved hjelp av standardmidler for operativsystemer, DBMS og applikasjoner (passordbeskyttelse, tilgangskontroll til ressurser og tjenester).
  • Nivå 1:
    • Informasjonssikkerhet betraktes av ledelsen som et rent "teknisk" problem; det er ikke noe enhetlig program (konsept, policy) for utvikling av selskapets informasjonssikkerhetssystem (ISMS);
    • Finansiering gis innenfor det samlede IT-budsjettet;
    • Informasjonssikkerhet implementeres av nullnivåverktøy + sikkerhetskopieringsverktøy, antivirusverktøy, brannmurer, VPN-verktøy (tradisjonelle sikkerhetsverktøy).
  • Nivå 2:
    • Informasjonssikkerhet betraktes av ledelsen som et kompleks av organisatoriske og tekniske tiltak, det er forståelse for viktigheten av informasjonssikkerhet for produksjonsprosesser, det er et program for utvikling av selskapets ISMS godkjent av ledelsen;
    • Informasjonssikkerhet implementeres av førstenivåverktøy + forbedrede autentiseringsverktøy, verktøy for å analysere e-postmeldinger og nettinnhold, IDS (inntrengningsdeteksjonssystemer), sikkerhetsanalyseverktøy, SSO (engangsautentiseringsverktøy), PKI (public key infrastructure) og organisatoriske tiltak (intern og ekstern revisjon, risikoanalyse, informasjonssikkerhetspolicy, forskrifter, prosedyrer, forskrifter og retningslinjer).
  • Nivå 3:
    • Informasjonssikkerhet er en del av bedriftskulturen, en CISA (senior information security officer) er utnevnt;
    • Finansiering gis innenfor et eget budsjett;
    • Informasjonssikkerhet implementeres ved hjelp av andre nivå +stem, CSIRT (informasjonssikkerhet hendelsesresponsteam), SLA (tjenestenivåavtale).

I følge Gartner Group (data gitt for 2001), er prosentandelen av selskaper i forhold til de beskrevne 4 nivåene som følger:
Nivå 0 - 30 %,
Nivå 1 - 55 %,
Nivå 2 - 10 %,
Nivå 3 - 5%.

Gartner Groups prognose for 2005 er som følger:
Nivå 0 - 20 %,
Nivå 1 - 35 %,
Nivå 2 - 30 %,
Nivå 3 - 15%.

Statistikk viser at flertallet av bedriftene (55 %) i dag har implementert minimumskravet med tradisjonelle tekniske sikkerhetstiltak (nivå 1).

Ved implementering av ulike teknologier og sikkerhetstiltak dukker det ofte opp spørsmål. Hva skal implementeres først, et inntrengningsdeteksjonssystem eller en PKI-infrastruktur? Hvilken vil være mer effektiv? Stephen Ross, direktør for Deloitte&Touche, foreslår følgende tilnærming for å vurdere effektiviteten til individuelle informasjonssikkerhetstiltak og verktøy.

Basert på grafen ovenfor kan det ses at de dyreste og minst effektive er spesialiserte verktøy (in-house eller spesiallaget).

De dyreste, men samtidig mest effektive, er beskyttelsesprodukter i kategori 4 (nivå 2 og 3 ifølge Gartner Group). For å implementere verktøy i denne kategorien er det nødvendig å bruke en risikoanalyseprosedyre. Risikoanalyse i dette tilfellet vil sikre at implementeringskostnadene er tilstrekkelige til eksisterende trusler om brudd på informasjonssikkerheten.

De billigste, men med høy effektivitet, inkluderer organisatoriske tiltak (intern og ekstern revisjon, risikoanalyse, informasjonssikkerhetspolicy, forretningskontinuitetsplan, forskrifter, prosedyrer, forskrifter og manualer).

Innføringen av ytterligere beskyttelsesmidler (overgang til nivå 2 og 3) krever betydelige økonomiske investeringer og følgelig begrunnelse. Fraværet av et enhetlig ISMS-utviklingsprogram godkjent og signert av ledelsen forverrer problemet med å rettferdiggjøre investeringer i sikkerhet.

Risikoanalyse

Slik begrunnelse kan være resultater av risikoanalyser og statistikk akkumulert over hendelser. Mekanismer for implementering av risikoanalyse og innsamling av statistikk bør spesifiseres i virksomhetens informasjonssikkerhetspolicy.

Risikoanalyseprosessen består av 6 sekvensielle stadier:

1. Identifikasjon og klassifisering av beskyttede objekter (selskapsressurser som skal beskyttes);

3. Bygge en modell av en angriper;

4. Identifisering, klassifisering og analyse av trusler og sårbarheter;

5. Risikovurdering;

6. Valg av organisatoriske tiltak og tekniske beskyttelsesmidler.

På scenen identifikasjon og klassifisering av beskyttelsesobjekter Det er nødvendig å foreta en oversikt over selskapets ressurser på følgende områder:

  • Informasjonsressurser (konfidensiell og kritisk bedriftsinformasjon);
  • Programvareressurser (OS, DBMS, kritiske applikasjoner, for eksempel ERP);
  • Fysiske ressurser (servere, arbeidsstasjoner, nettverk og telekommunikasjonsutstyr);
  • Tjenesteressurser (e-post, www, etc.).

Kategorisering er å bestemme nivået av konfidensialitet og kritikk av ressursen. Konfidensialitet refererer til nivået av hemmelighold av informasjon som lagres, behandles og overføres av en ressurs. Kritikk refererer til graden av påvirkning av en ressurs på effektiviteten av virksomhetens produksjonsprosesser (for eksempel ved nedetid på teleressurser kan tilbyderselskapet gå konkurs). Ved å tildele visse kvalitative verdier til konfidensialitets- og kritikalitetsparameterne, kan du bestemme betydningsnivået til hver ressurs når det gjelder deltakelse i selskapets produksjonsprosesser.

For å bestemme viktigheten av selskapets ressurser fra et informasjonssikkerhetssynspunkt, kan du få tak i følgende tabell:

For eksempel har filer med informasjon om lønnsnivået til bedriftsansatte verdien «strengt konfidensielt» (konfidensialitetsparameter) og verdien «ubetydelig» (kritiskhetsparameter). Ved å erstatte disse verdiene i tabellen, kan du få en integrert indikator på betydningen av denne ressursen. Ulike alternativer for kategoriseringsmetoder er gitt i den internasjonale standarden ISO TR 13335.

Bygge en angripermodell er prosessen med å klassifisere potensielle overtredere i henhold til følgende parametere:

  • Type angriper (konkurrent, klient, utvikler, bedriftsansatt, etc.);
  • Angriperens posisjon i forhold til beskyttelsesobjektene (internt, eksternt);
  • Nivå av kunnskap om beskyttede objekter og miljø (høy, middels, lav);
  • Nivå av evne til å få tilgang til beskyttede objekter (maksimum, gjennomsnitt, minimum);
  • Virkningens varighet (konstant, med visse tidsintervaller);
  • Handlingssted (den forventede plasseringen til angriperen under angrepet).

Ved å tilordne kvalitative verdier til de listede parameterne til angriperens modell, kan man bestemme angriperens potensial (en integrert karakteristikk av angriperens evner til å implementere trusler).

Identifisering, klassifisering og analyse av trusler og sårbarheter lar deg bestemme måter å implementere angrep på beskyttede objekter. Sårbarheter er egenskaper til en ressurs eller miljøet som brukes av en angriper for å implementere trusler. En liste over sårbarheter i programvareressurser finnes på Internett.

Trusler er klassifisert etter følgende kriterier:

  • navnet på trusselen;
  • type angriper;
  • midler for gjennomføring;
  • utnyttede sårbarheter;
  • handlinger tatt;
  • implementeringsfrekvens.

Hovedparameteren er hyppigheten av trusselimplementering. Det avhenger av verdiene til parameterne "angriperpotensial" og "ressurssikkerhet". Verdien av «ressurssikkerhet»-parameteren bestemmes gjennom ekspertvurderinger. Når verdien av parameteren bestemmes, tas de subjektive parametrene til angriperen i betraktning: motivasjon for å implementere trusselen og statistikk fra forsøk på å implementere trusler av denne typen (hvis noen). Resultatet av trussel- og sårbarhetsanalysefasen er en vurdering av parameteren «implementeringsfrekvens» for hver trussel.

På scenen risikovurdering den potensielle skaden fra trusler om brudd på informasjonssikkerheten bestemmes for hver ressurs eller gruppe av ressurser.

Den kvalitative indikatoren for skade avhenger av to parametere:

  • Betydningen av ressursen;
  • Frekvens for trusselimplementering på denne ressursen.

Basert på innhentede skadevurderinger, velges tilstrekkelige organisatoriske tiltak og tekniske beskyttelsesmidler med rimelighet.

Akkumulering av statistikk over hendelser

Det eneste svake punktet i den foreslåtte metodikken for å vurdere risiko og følgelig rettferdiggjøre behovet for å introdusere nye eller endre eksisterende beskyttelsesteknologier er bestemmelsen av parameteren "hyppighet av trusselforekomst." Den eneste måten å oppnå objektive verdier for denne parameteren på er å samle statistikk over hendelser. Akkumulert statistikk, for eksempel over et år, vil tillate deg å bestemme antall implementeringer av trusler (av en bestemt type) per ressurs (av en bestemt type). Det er tilrådelig å utføre arbeid med innsamling av statistikk som en del av hendelsesbehandlingsprosedyren.

Merknad: Forelesningen diskuterer oppgavene og metodene for økonomisk analyse av gjennomførbarheten av å iverksette tiltak for å sikre informasjonssikkerhet under visse forutsetninger.

Metodisk grunnlag for økonomien til informasjonssikkerhet

Informasjonssikkerhetsstyring, så vel som ledelse på mange andre aktivitetsområder, innebærer periodisk vedtak av ulike ledelsesbeslutninger, som som regel består i valg av visse alternativer (valg av en av de mulige organisatoriske ordningene eller en av de tilgjengelige tekniske løsningene ) eller bestemmelse av visse parametere for individuelle organisatoriske og/eller tekniske systemer og delsystemer. En av de mulige tilnærmingene til valg av alternativer i en situasjon med å ta en ledelsesbeslutning er den såkalte. "frivillig" tilnærming, når en beslutning av en eller annen grunn tas intuitivt og en formelt begrunnet årsak-virkning-relasjon mellom visse opprinnelige premisser og en bestemt beslutning som er tatt, ikke kan fastslås. Det er åpenbart at et alternativ til "viljesterk" tilnærming er beslutningstaking basert på visse formelle prosedyrer og sekvensiell analyse.

Grunnlaget for slik analyse og påfølgende beslutningstaking er en økonomisk analyse, som involverer studiet av alle (eller i det minste de viktigste) faktorene under påvirkning av hvilke utviklingen av de analyserte systemene skjer, mønstrene i deres oppførsel, endringsdynamikken, samt bruken av universelle monetær verdsettelse. Det er på grunnlag av tilstrekkelig konstruerte økonomiske modeller og den økonomiske analysen som er utført med deres hjelp, at beslutninger bør tas både når det gjelder den overordnede utviklingsstrategien og individuelle organisatoriske og tekniske tiltak, både på stat-, region- og industrinivå, og kl. nivået på enkeltforetak, divisjoner og informasjonssystemer.

På samme tid, akkurat som økonomien til enhver aktivitetsgren har sine egne egenskaper, er økonomien for informasjonssikkerhet, betraktet som en relativt uavhengig disiplin, på den ene siden basert på noen generelle økonomiske lover og analysemetoder, og på den annen side krever det individuell forståelse og utvikling av spesifikke tilnærminger til analyse, akkumulering av statistiske data spesifikke for dette området, dannelse av stabile ideer om faktorene under påvirkning av hvilke funksjoner Informasjonssystemer Og informasjonssikkerhetsverktøy.

Kompleksiteten til problemer med økonomisk analyse på nesten alle aktivitetsområder skyldes som regel det faktum at mange nøkkelparametere i økonomiske modeller ikke kan vurderes pålitelig, og de er sannsynlige av natur (som for eksempel indikatorer på Forbrukerkrav). Analysen er også komplisert av det faktum at selv små svingninger (justering av estimater) av slike parametere kan alvorlig påvirke verdiene til den objektive funksjonen og følgelig beslutningene som er tatt basert på resultatene av analysen. Dermed for å sikre størst mulig pålitelighet av beregninger i prosessen med å gjennomføre økonomisk analyse og beslutningstaking det er nødvendig å organisere et kompleks av arbeider for å samle inn første informasjon, beregne prognoseverdier, intervjue eksperter på forskjellige felt og behandle alle data. Samtidig, i prosessen med å gjennomføre en slik analyse, er det nødvendig å være spesielt oppmerksom på mellomvedtak angående vurdering av visse parametere inkludert i den generelle modellen. Det er også nødvendig å ta hensyn til det faktum at en slik analyse i seg selv kan vise seg å være en ganske ressurskrevende prosedyre og kreve involvering av ytterligere spesialister og tredjepartskonsulenter, samt innsatsen til forskjellige spesialister (eksperter) arbeider på selve bedriften - alle disse kostnadene til syvende og sist, må begrunnes.

Den spesielle kompleksiteten til økonomisk analyse i et slikt område som Informasjonssikkerhet, bestemmes av slike spesifikke faktorer som:

  • den raske utviklingen av informasjonsteknologier og -teknikker som brukes på dette området (både forsvarsmidler og metoder og angrepsmidler);
  • manglende evne til pålitelig å forutsi alle mulige angrepsscenarier på informasjonssystemer og angripers atferdsmønstre;
  • umuligheten av å gi en pålitelig, tilstrekkelig nøyaktig vurdering av kostnadene for informasjonsressurser, samt vurdere konsekvensene av ulike brudd i økonomiske termer.

Dette krever ekstra innsats for å organisere den økonomiske analyseprosessen, og fører også ofte til at mange beslutninger som tas knyttet til informasjonssikkerhet kan vise seg å være utilstrekkelige. Eksempler på situasjoner der utilstrekkelig utvikling av metodikken for økonomisk analyse påvirker negativt, er tilfeller der:

  • bedriftsledelsen kan ta utilstrekkelige beslutninger angående investeringer i informasjonssikkerhetsverktøy, som igjen kan føre til tap som kunne vært unngått;
  • bedriftsledelse kan ta visse beslutninger angående organisering av forretningsprosesser og i bedriften, basert på ønsket om å redusere dagens kostnader og redusere belastningen på personell, uten å ta hensyn til de økonomiske konsekvensene av utilstrekkelig sikkerhet for informasjonsressurser;
  • Forsikringstakeren og forsikringsgiveren kan ikke inngå en avtale om forsikring av informasjonsrisiko eller etablere utilstrekkelige parametere for en slik avtale på grunn av at det ikke finnes modeller og metoder for å vurdere transaksjonens økonomiske parametere.

Analyse av investeringer i informasjonssikkerhetsverktøy

I løpet av deres nåværende aktiviteter må bedrifter hele tiden forholde seg til visse endringer: forretningsprosesser avklares, betingelsene for salgsmarkeder og markeder for forbrukte materielle ressurser og tjenester endres, nye teknologier dukker opp, konkurrenter og motparter endrer deres atferd, lovverk og regjeringens politikk er i endring osv. d. Under disse forholdene må ledere (inkludert de som er ansvarlige for å sikre informasjonssikkerhet) hele tiden analysere endringene som finner sted og tilpasse arbeidet til den stadig skiftende situasjonen. De spesifikke formene ledernes reaksjoner viser seg i kan variere. Dette kan være en endring i markedsføringspolitikk, omorganisering av forretningsprosesser, endring i teknologi, endring i produktet som produseres, fusjon med konkurrenter eller oppkjøp av dem, etc. Men med all mangfoldet av mulige atferdsmodeller i et miljø i endring, er nesten alle forent av ett viktig felles metodologisk element: i de fleste tilfeller innebærer virksomhetens respons på nye trusler og nye muligheter implementering av nye, mer eller mindre langsiktige og ressurskrevende investeringer (investeringer) i visse organisatoriske og/eller tekniske tiltak, som på den ene siden innebærer forbruk av ressurser (penger), og på den andre gir mulighet til å oppnå nye fordeler , uttrykt i økning i inntekt eller reduksjon i enkelte løpende utgifter.

I en situasjon hvor det er nødvendig å gjennomføre noen nye organisatoriske eller tekniske aktiviteter (implementere et prosjekt), er hovedoppgaven til de ansvarlige for effektiv organisering av informasjonssikkerhet å tydelig identifisere kostnadene som må påløpe i forbindelse med gjennomføringen av denne aktiviteten (både engangs- og og konstant løpende), og ytterligere (nye) kontantstrømmer som vil bli mottatt. I dette tilfellet kan kontantstrøm forstås som kostnadsbesparelser, tapsforebygging, samt tilleggsinntekter for bedriften.

I økonomisk praksis er det vanlig å bruke avkastningsfunksjonen som hovedindikator som gjenspeiler dette forholdet.

(14.1)

Diskonteringsfunksjonen brukes når man analyserer investeringer for å ta hensyn til påvirkningen av tidsfaktoren og bringe kostnadene på ulike tidspunkt til ett punkt (vanligvis i det øyeblikket prosjektet starter implementeringen). Diskonteringsrenten tar i dette tilfellet hensyn til endringer i pengenes verdi over tid.

Avkastningsmodellen (14.1) viser tydelig hvilke to hovedoppgaver som må løses når man analyserer ethvert investeringsprosjekt og spesielt et prosjekt for å gjennomføre tiltak innen informasjonssikkerhet: å beregne kostnadene knyttet til prosjektet og å beregne ekstra kontanter strømme. Dersom metodikken for å beregne totale kostnader () de siste 10-15 årene generelt har vært ganske fullt utformet (i form av begrepet "Total Cost of Ownership", TCO - Total Cost of Ownership, TCO) og brukes aktivt i praksis i forhold til ulike typer informasjonssystemer og elementer informasjonsinfrastruktur, deretter beregning av ytterligere kontantstrøm () mottatt som følge av investeringer i informasjonssikkerhetsverktøy, som regel forårsaker alvorlige vanskeligheter. En av de mest lovende tilnærmingene til å beregne denne indikatoren er en metodikk som er basert på en kvantitativ (monetær) vurdering av risikoen for skade på informasjonsressurser og en vurdering av reduksjonen av disse risikoene forbundet med implementering av ytterligere tiltak for å beskytte informasjon .

Generelt er derfor sammensetningen av metodikken for å analysere muligheten for å investere i prosjekter rettet mot å sikre informasjonssikkerhet skjematisk presentert i fig. 14.1.

Å analysere kostnadene forbundet med et prosjekt, selv om det er en relativt enklere oppgave, kan likevel forårsake noen vanskeligheter. Som med mange andre prosjekter innen informasjonsteknologi, er det tilrådelig å analysere kostnadene ved å implementere prosjekter innen informasjonssikkerhet basert på den velkjente grunnleggende metodikken "Total Cost of Ownership" - TCO (Total Cost of Ownership - TCO), introdusert av konsulentselskapet "Gartner Group" i 1987 i forhold til personlige datamaskiner. Generelt er denne metodikken rettet mot å sikre en fullstendig analyse av kostnader (både direkte og indirekte) knyttet til informasjonsteknologier og informasjonssystemer i situasjoner der det er nødvendig å vurdere de økonomiske konsekvensene av implementering og bruk av slike systemer: ved vurdering av effektivitet av investeringer, sammenligne alternative teknologier, utarbeide kapital og driftsbudsjetter, etc.

Generelt inkluderer den totale TCO-verdien:

  • kostnader ved å designe et informasjonssystem;
  • kostnader for anskaffelse av maskinvare og programvare: datautstyr, nettverksutstyr, programvare (med hensyn til lisensieringsmetodene som brukes), samt leasingbetalinger;
  • kostnader for programvareutvikling og dokumentasjon, samt korrigering av feil i den og modifikasjoner i løpet av driftsperioden;
  • kostnader for den løpende administrasjonen av informasjonssystemer (inkludert betaling for tjenestene til tredjepartsorganisasjoner som disse funksjonene er outsourcet til);
  • teknisk støtte og servicekostnader;
  • kostnader til forbruksvarer;
  • kostnader for telekommunikasjonstjenester (internetttilgang, dedikerte og byttede kommunikasjonskanaler, etc.);
  • kostnader for opplæring av brukere, samt ansatte i IT-avdelinger og;
  • indirekte kostnader er kostnadene til en virksomhet knyttet til tap av tid for brukere ved svikt i driften av informasjonssystemer.

I beregningen av kostnadene ved å øke informasjonssikkerhetsnivået er det også nødvendig å inkludere kostnader for omorganisering av forretningsprosesser og informasjonsarbeid med personell: betaling for tjenestene til forretningskonsulenter og konsulenter i informasjonssikkerhetsspørsmål, kostnader for utvikling av organisasjonsdokumentasjon, kostnader for gjennomføring av revisjoner av tilstanden for informasjonssikkerhet, etc. .P. I tillegg, når man analyserer kostnader, er det også nødvendig å ta hensyn til det faktum at innføringen av informasjonssikkerhetsverktøy i de fleste tilfeller innebærer fremveksten av ytterligere ansvar for bedriftspersonell og behovet for å utføre ytterligere operasjoner når man arbeider med informasjonssystemer. . Dette fører til en liten reduksjon i produktiviteten til selskapets ansatte og kan følgelig forårsake ekstra kostnader.

De investerer i ulike datasikkerhetsteknologier – fra plattformer for å betale bonuser for å oppdage sårbarheter i programmer til diagnostikk og automatisert testing av programmer. Men mest av alt er de tiltrukket av autentiserings- og identitetsinformasjonshåndteringsteknologier - rundt 900 millioner dollar ble investert i oppstartsbedrifter som arbeider med disse teknologiene på slutten av 2019.

Investeringer i oppstart av nettsikkerhetstrening nådde 418 millioner dollar i 2019, ledet av KnowBe4, som samlet inn 300 millioner dollar. Oppstarten tilbyr en simuleringsplattform for phishing-angrep og en rekke treningsprogrammer.

I 2019 mottok selskaper involvert i Internet of Things-sikkerhet rundt 412 millioner dollar. Lederen i denne kategorien når det gjelder investeringsvolum er SentinelOne, som i 2019 mottok 120 millioner dollar for utvikling av.

Samtidig gir Metacurity-analytikere andre data som karakteriserer situasjonen på venturefinansieringsmarkedet i informasjonssikkerhetssektoren. I 2019 nådde investeringsvolumet her 6,57 milliarder dollar, en økning fra 3,88 milliarder dollar i 2018. Antall transaksjoner økte også – fra 133 til 219. Samtidig forble gjennomsnittlig investeringsvolumet per transaksjon tilnærmet uendret og utgjorde 29,2 millioner ved utgangen av 2019, beregnet av Metacurity.

2018

Vekst med 9 % til 37 milliarder dollar - Canalys

I 2018 nådde salget av utstyr, programvare og tjenester beregnet for informasjonssikkerhet (IS) 37 milliarder dollar, en økning på 9 % sammenlignet med for ett år siden (34 milliarder dollar). Slike data ble publisert av Canalys-analytikere 28. mars 2019.

Til tross for at mange selskaper prioriterer å beskytte sine eiendeler, data, endepunkter, nettverk, ansatte og kunder, utgjorde cybersikkerhet bare 2 % av totale IT-utgifter i 2018, sa de. Imidlertid dukker det opp flere og flere nye trusler, de blir mer komplekse og hyppigere, noe som gir produsenter av informasjonssikkerhetsløsninger nye muligheter for vekst. Totale cybersikkerhetsutgifter forventes å overstige 42 milliarder dollar i 2020.

Canalys-analytiker Matthew Ball tror at overgangen til nye modeller for implementering av informasjonssikkerhet vil akselerere. Kunder endrer karakteren til IT-budsjettene sine ved å bruke offentlige skytjenester og fleksible abonnementsbaserte tjenester.

Omtrent 82 % av distribusjonene av informasjonssikkerhet i 2018 involverte bruk av tradisjonell maskinvare og programvare. I de resterende 18 % av tilfellene ble virtualisering, offentlige skyer og informasjonssikkerhetstjenester brukt.

Innen 2020 vil andelen tradisjonelle modeller for distribusjon av informasjonssikkerhetssystemer synke til 70 %, ettersom nye løsninger på markedet øker i popularitet.

Leverandører må lage et bredt spekter av forretningsmodeller for å støtte denne overgangen, ettersom ulike produkter passer til ulike typer distribusjoner. Hovedutfordringen for mange i dag er å gjøre nye modeller mer fokusert på partnerkanaler og integrere dem med eksisterende partnerprogrammer, spesielt med kundetransaksjoner gjennom skyplattformer. Noen skymarkedsplasser har allerede svart på dette ved å la partnere tilby skreddersydde tilbud og priser direkte til kunder ved å spore avtaleregistreringer og rabatter, rapporterte Matthew Ball i et innlegg 29. mars 2019.

I følge Canalys-analytiker Ketaki Borade har ledende leverandører av cybersikkerhetsteknologi introdusert nye produktdistribusjonsmodeller som involverer selskaper som går over til en abonnementsmodell og øker driften i skyinfrastrukturen.


Nettsikkerhetsmarkedet forble svært dynamisk og så rekordaktivitet og volum som svar på økende regulatoriske og tekniske krav, samt den fortsatte utbredte risikoen for datainnbrudd, sa Eric McAlpine, medgründer og administrerende partner i Momentum Cyber. "Vi tror at dette momentumet vil fortsette å presse sektoren inn på nytt territorium ettersom den søker å møte nye trusler og konsoliderer seg i møte med leverandørtretthet og økende kompetansemangel."

2017

Cybersikkerhetsutgiftene oversteg 100 milliarder dollar

I 2017 nådde de globale utgiftene til informasjonssikkerhet (IS) - produkter og tjenester - 101,5 milliarder dollar, sa Gartner-forskningsselskapet i midten av august 2018. På slutten av 2017 estimerte eksperter dette markedet til 89,13 milliarder dollar. Det er ikke rapportert hva som forårsaket den betydelige økningen i verdsettelsen.

CISOer ønsker å hjelpe organisasjonene deres med å bruke teknologiplattformer på en sikker måte for å bli mer konkurransedyktige og drive forretningsvekst, sier Siddharth Deshpande, forskningsdirektør i Gartner. – Fortsatt kompetansemangel og regulatoriske endringer som General Data Protection Regulation (GDPR) i Europa driver videre vekst i markedet for cybersikkerhetstjenester.

Eksperter mener at en av nøkkelfaktorene som bidrar til økte informasjonssikkerhetskostnader er introduksjonen av nye metoder for å oppdage og svare på trusler, som ble den høyeste sikkerhetsprioriteten for organisasjoner i 2018.

Ifølge Gartners estimater oversteg organisasjoner brukt på cyberbeskyttelsestjenester globalt 52,3 milliarder dollar i 2017. I 2018 vil disse kostnadene stige til 58,9 milliarder dollar.

I 2017 brukte selskaper 2,4 milliarder dollar på å beskytte applikasjoner, 2,6 milliarder dollar på databeskyttelse og 185 millioner dollar på å beskytte skytjenester.

Årlig salg av løsninger for identitets- og tilgangsstyring (Identity And Access Management) viste seg å være lik 8,8 mrd. Salget av beskyttelsesverktøy for IT-infrastruktur økte til 12,6 mrd. dollar.

Studien peker også på 10,9 milliarder dollar i utgifter til utstyr som brukes til å gi nettverkssikkerhet. Produsentene deres tjente 3,9 milliarder dollar på risikostyringssystemer for informasjonssikkerhet.

Forbrukerutgifter for cybersikkerhet for 2017 er estimert av analytikere til 5,9 milliarder dollar, ifølge en Gartner-studie.

Gartner estimerte markedsstørrelsen til 89,13 milliarder dollar

I desember 2017 ble det kjent at globale selskapsutgifter til informasjonssikkerhet (IS) i 2017 vil beløpe seg til 89,13 milliarder dollar.I følge Gartner vil bedrifters utgifter til cybersikkerhet overstige 2016-beløpet på 82,2 milliarder dollar med nesten 7 milliarder dollar.

Eksperter anser informasjonssikkerhetstjenester som den største utgiftsposten: i 2017 vil selskaper bevilge over 53 milliarder dollar til disse formålene sammenlignet med 48,8 milliarder dollar i 2016. Det nest største segmentet av informasjonssikkerhetsmarkedet er infrastrukturbeskyttelsesløsninger, hvor kostnadene i 2017 vil beløpe seg til 16,2 milliarder dollar i stedet for 15,2 milliarder dollar for ett år siden. Nettverkssikkerhetsutstyr er på tredjeplass (10,93 milliarder dollar).

Strukturen av informasjonssikkerhetsutgifter inkluderer også forbrukerprogramvare for informasjonssikkerhet og identifiserings- og tilgangsstyringssystemer (Identity and Access Management, IAM). Gartner anslår kostnadene i disse områdene i 2017 til 4,64 milliarder dollar og 4,3 milliarder dollar, mens tallene i 2016 var på henholdsvis 4,57 milliarder dollar og 3,9 milliarder dollar.

Analytikere forventer ytterligere vekst i informasjonssikkerhetsmarkedet: I 2018 vil organisasjoner øke utgiftene til cyberbeskyttelse med ytterligere 8 % og bevilge totalt 96,3 milliarder dollar til disse formålene. bevissthet om nye trusler og selskapenes pivot til en digital forretningsstrategi.

Generelt er utgifter til cybersikkerhet i stor grad drevet av selskapers respons på informasjonssikkerhetshendelser, ettersom antallet høyprofilerte cyberangrep og informasjonslekkasjer som påvirker organisasjoner rundt om i verden vokser, sier Ruggero Contu, forskningsdirektør i Gartner, kommenterer prognosen. .

Analytikerens ord bekreftes av data innhentet av Gartner i 2016 under en undersøkelse som involverte 512 organisasjoner fra åtte land: Australia, Canada, Frankrike, Tyskland, India, Singapore og USA.

53 % av respondentene nevnte cybersikkerhetsrisikoer som den viktigste drivkraften bak økte cybersikkerhetsutgifter. Av dette tallet sa den høyeste prosentandelen av respondentene at trusselen om nettangrep mest påvirker beslutninger om informasjonssikkerhet.

Gartners prognose for 2018 krever økte utgifter på tvers av alle hovedområder. Dermed vil rundt 57,7 milliarder dollar (+4,65 milliarder dollar) bli brukt på cyberbeskyttelsestjenester, rundt 17,5 milliarder dollar (+1,25 milliarder dollar) vil bli brukt på å sikre infrastruktursikkerhet, og 11,67 milliarder dollar (+ 735 millioner dollar), for forbrukerprogramvare – 4,74 milliarder dollar ( +$109 millioner) og for IAM-systemer - $4,69 milliarder (+$416 millioner).

Analytikere mener også at innen 2020 vil mer enn 60 % av organisasjoner i verden investere samtidig i flere databeskyttelsesverktøy, inkludert forebygging av informasjonstap, kryptering og revisjonsverktøy. Ved utgangen av 2017 var andelen selskaper som kjøper slike løsninger beregnet til 35 %.

En annen betydelig post av bedriftens utgifter til informasjonssikkerhet vil være involvering av tredjepartsspesialister. Det forventes at, på bakgrunn av mangel på personell innen cybersikkerhet, den økende tekniske kompleksiteten til informasjonssikkerhetssystemer og økende cybertrusler, vil selskapets kostnader for outsourcing av informasjonssikkerhet i 2018 øke med 11 % og beløpe seg til 18,5 milliarder dollar .

Gartner anslår at innen 2019 vil bedriftens utgifter til tredjeparts cybersikkerhetseksperter utgjøre 75 % av de totale cybersikkerhetsutgiftene til programvare og maskinvare, opp fra 63 % i 2016.

IDC spår markedsstørrelsen til å være 82 milliarder dollar

To tredjedeler av kostnadene vil komme fra selskaper klassifisert som store og svært store virksomheter. Innen 2019, ifølge IDC-analytikere, vil kostnadene for selskaper med mer enn 1000 ansatte overstige 50 milliarder dollar.

2016: Markedsvolum 73,7 milliarder dollar, vekst 2 ganger mer enn IT-markedet

I oktober 2016 presenterte analyseselskapet IDC korte resultater av en studie av det globale informasjonssikkerhetsmarkedet. Veksten forventes å være det dobbelte av IT-markedet.

IDC beregnet at det globale salget av utstyr, programvare og tjenester for cyberbeskyttelse vil nå rundt 73,7 milliarder dollar i 2016, og i 2020 vil tallet overstige 100 milliarder dollar, som utgjør 101,6 milliarder dollar. I perioden fra 2016 til 2020 vil informasjonssikkerhetsmarkedet – teknologi vil vokse med en gjennomsnittlig vekst på 8,3 % årlig, som er dobbelt så høy som forventet vekst i IT-bransjen.


De største utgiftene til informasjonssikkerhet (8,6 milliarder dollar) ved utgangen av 2016 forventes i bankene. På andre, tredje og fjerde plass når det gjelder størrelsen på slike investeringer kommer henholdsvis diskrete produksjonsbedrifter, statlige etater og kontinuerlige produksjonsbedrifter som vil utgjøre om lag 37 % av utgiftene.

Analytikere gir lederskap i dynamikken ved å øke inftil helsevesenet (en gjennomsnittlig årlig vekst på 10,3 % forventes i 2016-2020). Kostnadene for cyberbeskyttelse i telekom, boligsektoren, offentlige etater og i investerings- og verdipapirmarkedet vil stige med ca. 9 % per år.

Forskere kaller det amerikanske markedet det største markedet for informasjonssikkerhet, hvis volum vil nå 31,5 milliarder dollar i 2016. De tre beste vil også inkludere Vest-Europa og Asia-Stillehavsregionen (utenom Japan). Det er ingen informasjon om det russiske markedet i kortversjonen av IDC-studien.

Generaldirektør for det russiske selskapet Security Monitor Dmitry Gvozdev spår en økning i andelen tjenester i totale russiske sikkerhetsutgifter fra 30-35% til 40-45%, og spår også utviklingen av kundestrukturen i markedet - fra totalen overvekt av offentlig sektor, finans og energi til mellomstore bedrifter fra et bredere spekter av bransjer.

En av trendene bør være utviklingen av andelen innenlandske programvareprodukter i forbindelse med spørsmål om importsubstitusjon og den utenrikspolitiske situasjonen. I hvilken grad dette vil gjenspeiles i finansielle indikatorer vil imidlertid i stor grad avhenge av rubelkursen og prispolitikken til utenlandske leverandører, som fortsatt okkuperer minst halvparten av det innenlandske markedet for programvareløsninger og opptil to tredjedeler i markedet. utstyrssegmentet. Det endelige årlige økonomiske resultatet av hele det russiske markedet for informasjonssikkerhetsløsninger kan også knyttes til eksterne økonomiske faktorer, sa Gvozdev i en samtale med TAdviser.

2015

MARKEDSSTØRRELSE

FØDERALE SPUNKTER

CYBERKRIMINALITET

KOSTNAD PER BRUDD

FINANSIELLE TJENESTER

Internasjonal

SIKKERHETSANALYTIKK

2013: EMEA-markedet vokste til 2,5 milliarder dollar.

Volumet av markedet for sikkerhetsutstyr i EMEA-regionen (Europa, Midtøsten og Afrika) vokste med 2,4 % sammenlignet med 2012 og utgjorde 2,5 milliarder dollar. Analytikere kalte multifunksjonelle programvare- og maskinvaresystemer for å beskytte datamaskiner det største og raskest voksende segmentet av markedet under vurdering nettverk – UTM-løsninger (Unified trusselhåndtering). Samtidig spådde IDC at markedet for innen 2018 vil nå 4,2 milliarder dollar i verdi med en gjennomsnittlig årlig vekst på 5,4 %.

På slutten av 2013 ble den ledende posisjonen blant leverandører når det gjelder inntekter fra salg av informasjonssikkerhetsutstyr i EMEA-regionen tatt av Check Point. I følge IDC vokste leverandørens omsetning i dette segmentet for 2013 med 3,8 % og beløp seg til 374,64 millioner dollar, som tilsvarer en markedsandel på 19,3 %.

2012: Prognose PAC: Informasjonssikkerhetsmarkedet vil vokse med 8 % per år

Det globale informasjonssikkerhetsmarkedet vil vokse med 8 % årlig frem til 2016, da det kan nå 36 milliarder euro, rapporterte studien.