• dom
  •  > 
  • Grafika i projekt
  •  > 
  • Przegląd rosyjskiego rynku bezpieczeństwa informacji. Bezpieczeństwo informacji: źródło kosztów czy inwestycja strategiczna? Koszty bezpieczeństwa informacji w firmie

Przegląd rosyjskiego rynku bezpieczeństwa informacji. Bezpieczeństwo informacji: źródło kosztów czy inwestycja strategiczna? Koszty bezpieczeństwa informacji w firmie

Globalne badanie zagrożeń bezpieczeństwa IT dla przedsiębiorstw firmy Kaspersky Lab to coroczna analiza trendów w zakresie bezpieczeństwa informacji korporacyjnych na całym świecie. Przyglądamy się tak istotnym aspektom cyberbezpieczeństwa jak wielkość kosztów bezpieczeństwa informacji, aktualne rodzaje zagrożeń dla różnych typów firm oraz finansowe konsekwencje napotkania tych zagrożeń. Ponadto, ucząc się od kadry kierowniczej zasad budżetowania bezpieczeństwa informacji, możemy zobaczyć, jak firmy w różnych regionach świata reagują na zmiany w krajobrazie zagrożeń.

W 2017 roku staraliśmy się zrozumieć, czy firmy postrzegają bezpieczeństwo informacji jako czynnik kosztowy (zło konieczne, na które są zmuszone przeznaczyć pieniądze), czy też zaczynają postrzegać je jako inwestycję strategiczną (czyli sposób na zapewnienie ciągłości działania co zapewnia istotne korzyści w dobie szybko ewoluujących zagrożeń cybernetycznych).

To bardzo ważne pytanie, zwłaszcza że w większości regionów świata budżety IT spadają.

Natomiast w Rosji w 2017 roku nastąpił nieznaczny wzrost średniego budżetu przeznaczonego na bezpieczeństwo – o 2%. Średni budżet na bezpieczeństwo informacji w Rosji wynosił około 15,4 miliona rubli.

W tym raporcie przyjrzymy się bliżej rodzajom zagrożeń, przed którymi stoją firmy każdej wielkości, a także typowym wzorcom wydatków na IT.

Informacje ogólne i metodyka badań

Globalne badanie Kaspersky Lab dotyczące zagrożeń bezpieczeństwa informacji dla biznesu (Kaspersky Lab Corporate IT Security Risks Survey) to ankieta przeprowadzona wśród kadry kierowniczej zarządzającej usługami IT w ich organizacjach, przeprowadzana corocznie od 2011 roku.

Najnowsze dane zebrano w marcu i kwietniu 2017 r. W badaniu wzięło udział łącznie 5274 respondentów z ponad 30 krajów, obejmujących firmy każdej wielkości.

W raporcie czasami używa się określeń: mała firma – poniżej 50 pracowników, SMB (średnia i mała firma – od 50 do 250 pracowników) oraz duża firma (firmy zatrudniające powyżej 250 pracowników). Bieżący raport przedstawia analizę najbardziej odkrywczych parametrów z badania.

Główne wnioski:

Firmom każdej wielkości coraz trudniej jest zwalczać zagrożenia cybernetyczne, a koszty obrony również rosną. W Rosji w segmencie średnich i małych przedsiębiorstw średni koszt usunięcia skutków tylko jednego incydentu cybernetycznego wynosi 1,6 mln rubli, a w segmencie dużych przedsiębiorstw koszty wynoszą 16,1 mln rubli.

Rośnie udział budżetu IT przeznaczanego na bezpieczeństwo informacji. Jest to typowe dla firm każdej wielkości. Całkowity budżet pozostaje niski, a w Rosji wzrost wyniósł zaledwie 2%, więc specjaliści zmuszeni są wykonywać swoje zadania przy niewielkich zasobach.

Szkody spowodowane pojedynczym incydentem rosną, a firmy, które nie traktują priorytetowo kosztów bezpieczeństwa informacji, mogą wkrótce znaleźć się w poważnych tarapatach. Badanie wykazało, że w segmencie małych i średnich firm firmy wydają około 300 tys. rubli za każde zdarzenie związane z bezpieczeństwem na dopłaty dla pracowników, a duże korporacje mogą wydać 2,7 mln rubli na zmniejszenie szkód dla marki.

Uszkodzenia spowodowane incydentami związanymi z bezpieczeństwem

Rośnie liczba incydentów związanych z cyberbezpieczeństwem, a firmy muszą stawić czoła różnym konsekwencjom, od dodatkowego public relations po zatrudnianie nowych pracowników. W 2017 roku nastąpił dalszy wzrost strat finansowych w przypadku naruszenia integralności danych. Powinno to zmienić sposób, w jaki firmy podchodzą do tego zagadnienia: firmy przestaną postrzegać koszty cyberbezpieczeństwa jako zło konieczne, a zaczną postrzegać je jako inwestycję, która pozwoli im uniknąć znacznych strat finansowych w przypadku ataku.

Poważne naruszenia bezpieczeństwa danych są coraz bardziej kosztowne

Największą obawą dyrektorów ds. technologii są masowe ataki, w wyniku których wyciekają miliony rekordów. Takimi były ataki na Narodową Służbę Zdrowia (NHS) Wielkiej Brytanii, Sony, czy włamanie do kanału telewizyjnego HBO wraz z ujawnieniem poufnych danych związanych z serialem „Gra o tron”. Jednak w rzeczywistości tego typu poważne incydenty stanowią raczej wyjątek niż regułę. Do ubiegłego roku większość cyberataków nie trafiała na pierwsze strony gazet i pozostawała przedmiotem specjalnych raportów dla specjalistów. Oczywiście epidemie oprogramowania ransomware nieco zmieniły sytuację, ale nadal korporacyjny segment biznesu nie rozumie całego obrazu.

Stosunkowo niewielka liczba znanych cyberataków na dużą skalę nie oznacza, że ​​szkody spowodowane większością ataków są nieznaczne. Ile zatem firmy wydają średnio na rozwiązanie „typowego” naruszenia bezpieczeństwa danych? Poprosiliśmy uczestników badania o oszacowanie, ile ich firma wydała/straciła w wyniku incydentu bezpieczeństwa, który miał miejsce w ciągu ostatniego roku.

Wszystkie firmy zatrudniające 50 i więcej pracowników miały obowiązek oszacowania poniesionych kosztów w każdej z poniższych kategorii:

Dla każdej kategorii obliczyliśmy średnie koszty ponoszone przez firmy w obliczu incydentów związanych z bezpieczeństwem informacji, a suma wszystkich kategorii pozwoliła oszacować wysokość całkowitych szkód spowodowanych incydentem bezpieczeństwa informacji.

Poniżej prezentujemy osobno wyniki dla segmentu małych i średnich firm oraz dużego biznesu, gdyż statystyki dla nich różnią się pod wieloma względami. Na przykład średnie szkody dla rosyjskich firm MŚP wynoszą prawie 1,6 miliona rubli, a dla dużych przedsiębiorstw są prawie dziesięciokrotnie wyższe - 16,1 miliona rubli. To pokazuje, że cyberataki są kosztowne dla firm każdej wielkości.

Fakt, że duże firmy średnio ponoszą więcej strat w przypadku naruszenia integralności danych, nie jest zaskakujący, ale interesująca jest analiza rozkładu szkód według kategorii.

W ubiegłym roku najważniejszą pozycją wydatków zarówno małych i średnich firm, jak i dużych przedsiębiorstw były dodatkowe świadczenia pracownicze. Jednak w tym roku obraz się zmienił i firmy różnej wielkości mają inne główne pozycje wydatków. Nadal najwięcej na świadczeniach pracowniczych tracą małe i średnie przedsiębiorstwa. Jednak duże firmy zaczęły inwestować w dodatkowy PR, aby zmniejszyć szkody dla reputacji marki. Ponadto istotną pozycją kosztową dla dużych przedsiębiorstw były koszty udoskonalenia sprzętu technicznego i zakupu dodatkowego oprogramowania.

We wszystkich firmach wzrosły koszty szkoleń pracowników. Incydenty związane z bezpieczeństwem często uświadamiają firmom znaczenie zwiększania wiedzy o cyberbezpieczeństwie i ulepszania informacji o zagrożeniach.

Większe zasoby wewnętrzne dużych przedsiębiorstw i specyfika regulacji ich działalności determinują odmienną równowagę pomiędzy kosztami usunięcia samego zagrożenia a kosztami naprawienia szkody. Poważną pozycją wydatków był wzrost składek ubezpieczeniowych, pogorszenie zdolności kredytowej i erozja zaufania do firmy: średnio po każdym zdarzeniu duże firmy tracą z tego powodu około 2,3 miliona rubli.

Nasze badanie wykazało, że znaczna część wzrostu kosztów firmy wynikała z potrzeby zapobiegania – lub przynajmniej ograniczania – strat w reputacji w postaci ratingów kredytowych, wizerunku marki i wynagrodzeń.

W miarę upowszechniania się nowych przepisów średni koszt prawdopodobnie będzie nadal rósł, co będzie wymagało od firm publicznego zgłaszania wszystkich incydentów i zwiększania przejrzystości bezpieczeństwa danych.

Takie trendy są typowe np. w Japonii, gdzie średni koszt usunięcia skutków naruszenia bezpieczeństwa wzrósł ponad dwukrotnie: z 580 tys. dolarów w 2016 roku do 1,3 mln dolarów w 2017 roku. Japoński rząd podjął decyzję o zaostrzeniu przepisów w odpowiedzi na wzrost zagrożeń cyberbezpieczeństwa. W 2017 roku weszły w życie nowe przepisy, które spowodowały gwałtowny wzrost kosztów.

Jednakże opracowanie i wdrożenie przepisów wymaga czasu. Wraz z szybkim rozwojem korporacyjnego krajobrazu IT i ewolucją zagrożeń cybernetycznych, opóźnienia w działaniach regulacyjnych stają się poważnym problemem. Na przykład nowe japońskie standardy zostały uzgodnione już w 2015 roku, ale ich wejście w życie musiało zostać opóźnione o całe dwa lata. Dla wielu to opóźnienie było bardzo kosztowne: w ciągu tych dwóch lat wiele dużych japońskich firm stało się ofiarami kosztownych ataków. Jednym z przykładów jest biuro podróży JTB Corp., do którego w 2016 r. doszło z powodu ogromnego wycieku danych. Skradziono dane 8 milionów klientów, w tym nazwiska, adresy i numery paszportów.

To jeden z symptomów problemu globalnego: zagrożenia rozwijają się błyskawicznie, a inercja rządów i firm jest zbyt duża. Kolejnym przykładem dokręcania śrub są Ogólne Europejskie Standardy Ochrony Danych (RODO), które wchodzą w życie w maju 2018 roku i znacząco ograniczają dopuszczalne sposoby przetwarzania i przechowywania danych obywateli UE.

Przepisy zmieniają się na całym świecie, ale nie nadążają za cyberzagrożeniami – przypomniały nam o tym trzy fale oprogramowania ransomware w Rosji w 2017 roku. Dlatego przedsiębiorcy powinni zdawać sobie sprawę z niedoskonałości prawa i wzmacniać ochronę zgodnie ze stanem faktycznym – lub z góry akceptować szkodę dla reputacji i klientów. Warto przygotować się na nowe wymogi regulacyjne, nie czekając na terminy. Zmieniając zasady po wejściu w życie odpowiednich przepisów, firmy ryzykują nie tylko karami finansowymi, ale także bezpieczeństwem danych własnych i klientów.

Nie ma czegoś takiego jak czyjeś słabe punkty: luki w ochronie partnera są kosztowne

Aby chronić się przed wyciekami danych, bardzo ważne jest zrozumienie, jakich wektorów ataku używają napastnicy. Z kolei informacje te pomogą Ci zrozumieć, które rodzaje ataków są najbardziej kosztowne.

Badanie wykazało, że najpoważniejsze konsekwencje finansowe dla średnich i małych przedsiębiorstw miały następujące zdarzenia:

  • Incydenty wpływające na infrastrukturę hostowaną na sprzęcie stron trzecich (17,2 mln RUB)
  • Incydenty mające wpływ na usługi chmurowe stron trzecich, z których korzysta spółka (3,6 mln RUB)
  • Niewłaściwa wymiana danych za pośrednictwem urządzeń mobilnych (2,5 mln RUB)
  • Fizyczna utrata urządzeń mobilnych narażająca organizację na ryzyko (2,1 mln RUB)
  • Incydenty związane z urządzeniami niekomputerowymi podłączonymi do Internetu (np. przemysłowe systemy sterowania, Internet Rzeczy) (1,7 mln RUB)

Nieco inaczej wygląda sytuacja w przypadku dużych przedsiębiorstw:

  • Ukierunkowane ataki (75 mln RUB)
  • Incydenty mające wpływ na usługi w chmurze dostawców zewnętrznych (19 mln RUB)
  • Wirusy i złośliwe oprogramowanie (9 mln RUB)
  • Niewłaściwa wymiana danych za pośrednictwem urządzeń mobilnych (7,3 mln RUB)
  • Incydenty dotykające dostawców, z którymi firmy wymieniają dane (4,4 mln RUB)

Dane te pokazują, że bardzo często ataki spowodowane problemami bezpieczeństwa z partnerami biznesowymi są niemal najbardziej kosztowne dla firm dowolnej wielkości. Dotyczy to zarówno organizacji wynajmujących chmurę lub inną infrastrukturę od zewnętrznych dostawców, jak i firm udostępniających swoje dane partnerom.

Gdy dasz innej firmie dostęp do swoich danych lub infrastruktury, jej słabości staną się Twoim problemem. Jednak już wcześniej zaobserwowaliśmy, że większość organizacji nie przywiązuje do tego wystarczającej wagi. Nic więc dziwnego, że tego typu zdarzenia wiążą się z największymi kosztami: każdy bokser powie Ci, że zwykle niespodziewany cios powoduje nokaut.

Od razu godny uwagi jest inny wektor, który nieoczekiwanie znalazł się na liście 5 największych zagrożeń dla średnich firm: ataki związane z podłączonymi urządzeniami, które nie są komputerami. Obecnie ruch w Internecie rzeczy (IoT) rośnie znacznie szybciej niż ruch generowany przez jakąkolwiek inną technologię. To kolejny przykład tego, jak nowe rozwiązania zwiększają liczbę potencjalnych luk w zabezpieczeniach infrastruktury biznesowej. W szczególności powszechne stosowanie fabrycznych domyślnych haseł i słabe funkcje zabezpieczeń w urządzeniach Internetu rzeczy sprawiło, że są one idealnym narzędziem do łapania botnetów takich jak Mirai – złośliwego oprogramowania, które może połączyć ogromną liczbę wrażliwych urządzeń w jedną sieć w celu przeprowadzania działań na dużą skalę. Ataki DDoS na wybrane cele.

Na uwagę zasługuje wielkość strat z ataków ukierunkowanych w segmencie dużych przedsiębiorstw – temu zagrożeniu niezwykle trudno jest przeciwdziałać. W ciągu ostatnich kilku lat ujawniono szereg głośnych ataków ukierunkowanych na banki, co również potwierdza te rozczarowujące statystyki.

Inwestowanie w redukcję ryzyka

Jak wykazały nasze badania, zagrożenia dla bezpieczeństwa informacji stają się coraz poważniejsze. W tych warunkach nie można nie martwić się o stan samych budżetów na bezpieczeństwo informacji. Analizując zachodzące w nich zmiany, możemy zdecydować, czy organizacje postrzegają swoje bezpieczeństwo jako czynnik generujący koszty, czy też równowaga stopniowo przesuwa się w stronę postrzegania ich jako obszaru inwestycji zapewniającego realną przewagę konkurencyjną.

Wielkość budżetu pokazuje podejście firmy do bezpieczeństwa IT, wagę roli systemu ochronnego z punktu widzenia kadry zarządzającej oraz gotowość organizacji do podejmowania ryzyka.

Budżet bezpieczeństwa informacji: udział rośnie, „ciasto” maleje

W tym roku zaobserwowaliśmy, że oszczędności i outsourcing doprowadziły do ​​redukcji budżetów IT. Pomimo tego (a może w wyniku tego) wzrósł udział bezpieczeństwa informacji w budżetach IT. W Rosji pozytywną tendencję można zaobserwować w firmach każdej wielkości. Nawet wśród mikroprzedsiębiorstw działających w warunkach niedostatecznych zasobów, choć o ułamek procenta, wzrósł udział budżetów IT przeznaczonych na bezpieczeństwo informacji.

Oznacza to, że firmy w końcu zaczynają rozumieć znaczenie bezpieczeństwa informacji. Być może pokazuje to, że bezpieczeństwo informacji zaczęło być przez wielu postrzegane jako potencjalnie użyteczna inwestycja, a nie jako źródło kosztów.

Widzimy, że budżety IT na całym świecie ulegają znacznemu zmniejszeniu. Podczas gdy bezpieczeństwo informacji zajmuje coraz większy kawałek tortu, sam tort staje się coraz mniejszy. Tendencja jest niepokojąca, zwłaszcza biorąc pod uwagę, jak wysoka jest stawka w tym obszarze i jak kosztowny jest każdy atak.

W Rosji średni budżet na bezpieczeństwo informacji dla dużych przedsiębiorstw w 2017 roku wyniósł 400 mln rubli, a dla małych i średnich przedsiębiorstw – 4,6 mln rubli.

Próba: 694 respondentów w Rosji zdolnych do oceny budżetu

Nic dziwnego, że organizacje świadczące usługi rządowe (w tym sektor obronny) i instytucje finansowe na całym świecie odnotowują w tym roku najwyższe koszty bezpieczeństwa informacji. Firmy z obu tych sektorów wydały na bezpieczeństwo średnio ponad 5 milionów dolarów. Warto także zauważyć, że sektor IT i telekomunikacja, a także firmy z branży energetycznej, również wydawały więcej niż przeciętnie na bezpieczeństwo informacji, choć ich budżety były bliższe 3 mln dolarów, a nie 5 dolarów.

Jeśli jednak podzielisz koszty całkowite przez liczbę pracowników, organizacje rządowe przesuną się na dół listy. Sektor IT i telekomunikacja wydają średnio 1258 dolarów na mieszkańca na bezpieczeństwo informacji, sektor energetyczny – 1344 dolarów, a firmy świadczące usługi finansowe – 1436 dolarów. Dla porównania agencje rządowe przeznaczają jedynie 959 dolarów na osobę na bezpieczeństwo informacji.

Zarówno w segmencie IT i telekomunikacji, jak i branży zaopatrzenia w energię, wysokie koszty w przeliczeniu na pracownika najprawdopodobniej wiążą się z koniecznością ochrony własności intelektualnej, co jest szczególnie istotne w tych sektorach gospodarki. W przypadku organizacji dostarczających energię wysokie koszty bezpieczeństwa mogą wynikać także z faktu, że przedsiębiorstwa te są coraz bardziej narażone na ataki ukierunkowane organizowane przez grupy napastników.

W tej branży inwestowanie w bezpieczeństwo informacji ma kluczowe znaczenie dla przetrwania, ponieważ zapewnia ciągłość działania, co jest czynnikiem krytycznym dla dostaw energii. Konsekwencje udanego cyberataku w tej branży są szczególnie dotkliwe, dlatego inwestycja w bezpieczeństwo informacji przynosi bardzo wymierne korzyści.

W Rosji przedsiębiorstwa informatyczne i telekomunikacyjne, a także przedsiębiorstwa przemysłowe inwestują przede wszystkim w bezpieczeństwo informacji - średnie koszty dla tych pierwszych sięgają 300 milionów rubli, dla tych drugich - 80 milionów rubli. Przedsiębiorstwa przemysłowe i produkcyjne zazwyczaj polegają na komputerowych systemach sterowania (ICS), aby zapewnić ciągłość procesów produkcyjnych. Jednocześnie rośnie liczba ataków na ICS: w ciągu ostatnich 12 miesięcy ich liczba wzrosła o 5%.

Powody inwestowania w bezpieczeństwo informacji

Rozproszenie kwot inwestycji w bezpieczeństwo informacji pomiędzy sektorami jest bardzo duże. Dlatego szczególnie ważne jest zrozumienie powodów, które motywują firmy do wydawania ograniczonych zasobów na bezpieczeństwo informacji. Nie znając motywów nie da się zrozumieć, czy firma uważa pieniądze wydane na bezpieczeństwo swojej infrastruktury IT za wyrzucone w błoto, czy też traktuje je jako opłacalną inwestycję.

W 2017 roku znacznie więcej firm na całym świecie przyznało, że zainwestuje w cyberbezpieczeństwo niezależnie od oczekiwanego zwrotu z inwestycji: 63% w porównaniu do 56% w 2016 roku. Pokazuje to, że coraz więcej firm rozumie znaczenie bezpieczeństwa informacji.

Główne powody zwiększenia budżetu na bezpieczeństwo informacji, Rosja

Nie wszystkie firmy spodziewają się szybkiego zwrotu inwestycji, ale wiele globalnych firm jako powód zwiększenia budżetów na bezpieczeństwo informacji (32%) podało presję ze strony kluczowych interesariuszy, w tym najwyższego kierownictwa firmy. Pokazuje to, że firmy zaczynają widzieć swoją strategiczną przewagę we wzroście wydatków na bezpieczeństwo informacji: środki bezpieczeństwa pozwalają nie tylko zabezpieczyć się na wypadek ataku, ale także pokazać klientom, że ich dane są w dobrych rękach jak zapewnić ciągłość działania, czym interesuje się zarząd firmy.

Najpopularniejszym powodem zwiększania wydatków na bezpieczeństwo informacji większość krajowych firm wskazywała potrzebę ochrony coraz bardziej złożonej infrastruktury informatycznej (46%), a potrzebę podnoszenia kwalifikacji ekspertów ds. bezpieczeństwa informacji – 30%. Liczby te podkreślają potrzebę podniesienia poziomu wiedzy specjalistycznej dostępnej dla firmy poprzez rozwijanie umiejętności własnych pracowników. Rzeczywiście zarówno MŚP, jak i duże przedsiębiorstwa coraz częściej inwestują we wspieranie swoich wewnętrznych pracowników w walce z zagrożeniami cybernetycznymi.

Jednocześnie spadła potrzeba zwiększania wydatków na bezpieczeństwo informacji w związku z nową działalnością gospodarczą lub ekspansją firmy wśród rosyjskich przedsiębiorców: z 36% w ubiegłym roku do 30% w 2017 roku. Być może odzwierciedla to czynniki makroekonomiczne, z jakimi borykały się ostatnio nasze firmy.

Wniosek

Ogromne szkody wyrządziły w 2017 r. masowe ataki, takie jak WannaCry, exPetr i BadRabbit. Ogromne są również szkody spowodowane atakami ukierunkowanymi, w szczególności na rosyjskie banki. Wszystko to pokazuje, że krajobraz zagrożeń cybernetycznych zmienia się szybko i nieubłaganie. Firmy zmuszone są dostosować swoje mechanizmy obronne, w przeciwnym razie wypadną z działalności.

Coraz większym czynnikiem wpływającym na decyzje biznesowe jest różnica pomiędzy kosztem przygotowania do radzenia sobie z cyberatakami a kosztami ponoszonymi przez ofiarę.

Z raportu wynika, że ​​nawet stosunkowo niewielkie naruszenia bezpieczeństwa danych, które nie cieszą się dużym zainteresowaniem ogółu społeczeństwa, mogą być bardzo kosztowne dla firmy i poważnie wpłynąć na jej działalność. Kolejną przyczyną rosnących kosztów incydentów bezpieczeństwa są zmiany przepisów na całym świecie. Firmy muszą albo się dostosować, albo ryzykować zarówno nieprzestrzeganiem przepisów, jak i możliwym włamaniem.

W takich okolicznościach szczególnie ważne staje się rozważenie wszystkich konsekwencji i kosztów. Być może dlatego coraz więcej firm z różnych krajów zwiększa udział bezpieczeństwa informacji w swoich budżetach IT. W 2017 roku znacznie więcej firm na całym świecie przyznało, że zainwestuje w cyberbezpieczeństwo niezależnie od oczekiwanego zwrotu z inwestycji: 63% w porównaniu do 56% w 2016 roku.

Najprawdopodobniej w miarę wzrostu szkód spowodowanych incydentami cyberbezpieczeństwa te organizacje, które traktują koszty IT jako inwestycję w bezpieczeństwo i są skłonne wydać na nie znaczne kwoty, będą lepiej przygotowane na możliwe problemy. Jaka jest sytuacja w Twojej firmie?

W zależności od kontekstu termin „bezpieczeństwo informacji” jest używany w różnych znaczeniach. W najszerszym znaczeniu koncepcja zakłada ochronę informacji poufnych, procesu produkcyjnego i infrastruktury firmy przed zamierzonymi lub przypadkowymi działaniami, które prowadzą do szkód finansowych lub utraty reputacji.

Zasady bezpieczeństwa informacji

W dowolnej branży podstawowa zasada bezpieczeństwa informacji jest utrzymanie równowagi interesów obywatela, społeczeństwa i państwa. Trudność w utrzymaniu równowagi polega na tym, że interesy społeczeństwa i obywatela często są ze sobą sprzeczne. Obywatel stara się zachować w tajemnicy szczegóły swojego życia osobistego, źródeł i poziomu dochodów oraz złych uczynków. Przeciwnie, społeczeństwo jest zainteresowane „odtajnianiem” informacji o nielegalnych dochodach, faktach dotyczących korupcji i czynach przestępczych. Państwo tworzy i zarządza mechanizmem odstraszającym, który chroni prawa obywateli do nieujawniania danych osobowych, a jednocześnie reguluje stosunki prawne związane z wykrywaniem przestępstw i pociąganiem sprawców przed wymiar sprawiedliwości.

Znaczenie we współczesnych warunkach zasada pomocy prawnej korzyści w zakresie bezpieczeństwa informacji, gdy wsparcie regulacyjne nie nadąża za rozwojem branży bezpieczeństwa informacji. Luki w przepisach nie tylko pozwalają ludziom unikać odpowiedzialności za cyberprzestępstwa, ale także utrudniają wdrażanie zaawansowanych technologii ochrony danych.

Zasada globalizacji , czyli integracja systemów bezpieczeństwa informacji wpływa na wszystkie sektory: polityczny, gospodarczy, kulturalny. Rozwój międzynarodowych systemów komunikacji wymaga spójnego bezpieczeństwa danych.

Według zasada wykonalności ekonomicznej , skuteczność środków bezpieczeństwa informacji musi odpowiadać zużytym zasobom lub przekraczać je. Brak zwrotu kosztów utrzymania systemu bezpieczeństwa szkodzi jedynie postępowi.

Zasada elastyczności systemu ochrona informacji oznacza eliminację wszelkich ograniczeń reżimowych, które uniemożliwiają tworzenie i wdrażanie nowych technologii.

Sugeruje to ścisłe uregulowanie informacji poufnych, a nie jawnych zasada zachowania tajemnicy .

Im więcej różnych narzędzi zabezpieczających sprzęt i oprogramowanie wykorzystuje się do ochrony danych, tym bardziej zróżnicowana jest wiedza i umiejętności atakujących, potrzebne do wykrycia luk w zabezpieczeniach i obejścia zabezpieczeń. Ma na celu wzmocnienie bezpieczeństwa informacji zasada różnorodności mechanizmy ochronne systemów informatycznych.

Zasada łatwości sterowania System bezpieczeństwa opiera się na założeniu, że im bardziej złożony jest system bezpieczeństwa informacji, tym trudniej jest zweryfikować spójność poszczególnych elementów i wdrożyć administrację centralną.

Kluczem do lojalnej postawy pracowników wobec bezpieczeństwa informacji jest ciągłe szkolenie w zakresie zasad bezpieczeństwa informacji i jasne wyjaśnianie konsekwencji nieprzestrzegania zasad, aż do upadłości firmy włącznie. Zasada lojalności Administratorzy systemów bezpieczeństwa danych oraz cały personel firmy kojarzą bezpieczeństwo z motywacją pracowników. Jeśli zarówno pracownicy, jak i kontrahenci i klienci postrzegają bezpieczeństwo informacji jako zjawisko niepotrzebne, a nawet wrogie, nawet najpotężniejsze systemy nie są w stanie zagwarantować bezpieczeństwa informacji w firmie.

Wymienione zasady stanowią podstawę zapewnienia bezpieczeństwa informacji we wszystkich branżach, która jest uzupełniana o elementy zależne od specyfiki branży. Spójrzmy na przykłady sektora bankowego, energetyki i mediów.

Banki

Rozwój technologii cyberataków wymusza na bankach wdrażanie nowych i ciągłe doskonalenie podstawowych systemów bezpieczeństwa. Celem rozwoju bezpieczeństwa informacji w sektorze bankowym jest opracowanie rozwiązań technologicznych, które mogą zabezpieczyć zasoby informacyjne i zapewnić integrację najnowszych produktów informatycznych z kluczowymi procesami biznesowymi instytucji finansowych.

Mechanizmy zapewniające bezpieczeństwo informacji instytucji finansowych budowane są zgodnie z ratyfikowanymi konwencjami i porozumieniami międzynarodowymi oraz przepisami i standardami federalnymi. Punktami odniesienia w zakresie bezpieczeństwa informacji dla rosyjskich banków są:

  • Standard Banku Rosji STO BR IBBS-1.0-2010 „Zapewnienie bezpieczeństwa informacji organizacji systemu bankowego Federacji Rosyjskiej”;
  • Ustawa federalna nr 161 „O krajowym systemie płatniczym”;
  • Ustawa federalna nr 152 „O danych osobowych”;
  • Standard bezpieczeństwa danych kart płatniczych PCI DSS i inne dokumenty.

Konieczność stosowania się do różnych przepisów i standardów wynika z faktu, że banki prowadzą wiele różnych operacji, działają w różnych obszarach, co wymaga własnych narzędzi bezpieczeństwa. Na przykład zapewnienie bezpieczeństwa informacji podczas zdalnych usług bankowych (RBS) obejmuje utworzenie infrastruktury bezpieczeństwa, która obejmuje środki ochrony aplikacji bankowych i kontrolę przepływu danych. monitorowanie transakcji bankowych i badanie incydentów. Wieloelementowa ochrona zasobów informacyjnych zapewnia minimalizację zagrożeń związanych z oszustwami podczas korzystania z usług RBS, a także ochronę reputacji banku.

Bezpieczeństwo informacji w sektorze bankowym, podobnie jak w innych branżach, zależy od zasobów kadrowych. Specyfiką bezpieczeństwa informacji w bankach jest zwiększone zainteresowanie specjalistami ds. bezpieczeństwa na poziomie regulacyjnym. Na początku 2017 roku Bank Rosji wraz z Ministerstwem Pracy i Ochrony Socjalnej przy udziale FSTEC, Ministerstwa Edukacji i Nauki dla specjalistów ds. bezpieczeństwa informacji.

Jak prawidłowo przeprowadzić audyt bezpieczeństwa informacji w banku?

Energia

Kompleks energetyczny to jedna ze strategicznych branż, która wymaga szczególnych działań zapewniających bezpieczeństwo informacji. Jeżeli standardowe narzędzia bezpieczeństwa informacji wystarczą na stanowiskach pracy w administracji i wydziałach, to ochrona obszarów technologicznych wytwarzania i dostarczania energii do odbiorców końcowych wymaga zwiększonej kontroli. Głównym przedmiotem ochrony w energetyce nie jest informacja, ale proces technologiczny. W takim przypadku system bezpieczeństwa musi zapewniać integralność procesu technologicznego i zautomatyzowanych systemów sterowania. Dlatego przed wdrożeniem mechanizmów bezpieczeństwa informacji w przedsiębiorstwach z branży energetycznej eksperci badają:

  • przedmiot ochrony – proces technologiczny;
  • urządzenia stosowane w energetyce (telemechanika);
  • powiązane czynniki (zabezpieczenie przekaźników, automatyka, pomiar energii).

Znaczenie bezpieczeństwa informacji w energetyce zdeterminowane jest konsekwencjami realizacji cyberzagrożeń informacyjnych. To nie tylko szkoda materialna czy cios w reputację, ale przede wszystkim uszczerbek na zdrowiu obywateli, zakłócenie środowiska, zakłócenie infrastruktury miasta lub regionu.

Projektowanie systemu bezpieczeństwa informacji w energetyce rozpoczyna się od przewidywania i oceny zagrożeń bezpieczeństwa. Główną metodą oceny jest modelowanie możliwych zagrożeń, co pomaga w racjonalnym rozdysponowaniu zasobów przy organizacji systemu bezpieczeństwa i zapobieganiu realizacji cyberzagrożeń. Ponadto ocenę zagrożeń bezpieczeństwa w energetyce cechuje ciągłość: audyty w trakcie pracy systemu prowadzone są w sposób ciągły, aby na bieżąco zmieniać ustawienia, aby zapewnić maksymalny stopień ochrony i aktualizować system.

Środki masowego przekazu

Głównym zadaniem bezpieczeństwa informacji w mediach jest ochrona interesów narodowych, w tym interesów obywateli, społeczeństwa i państwa. Działalność mediów we współczesnych warunkach sprowadza się do kreowania przepływów informacji w postaci wiadomości i materiałów dziennikarskich, które są odbierane, przetwarzane i dystrybuowane do odbiorców końcowych: czytelników, widzów, odwiedzających strony internetowe.

Zapewnienie i kontrola bezpieczeństwa w mediach masowych realizowana jest w kilku obszarach i obejmuje:

  • opracowanie zaleceń dotyczących postępowania antykryzysowego na wypadek zagrożenia atakiem informacyjnym;
  • programy szkoleniowe z zakresu bezpieczeństwa informacji dla pracowników redakcji medialnych, służb prasowych i działów public relations;
  • tymczasowa administracja zewnętrzna organizacji, które uległy atakowi informacyjnemu.

Kolejnym problemem bezpieczeństwa informacji w mediach jest stronniczość. Aby zapewnić obiektywną relację z wydarzeń, niezbędny jest mechanizm ochronny, który chroniłby dziennikarzy przed naciskami ze strony urzędników państwowych, kierownictwa i/lub właściciela mediów, a jednocześnie zabezpieczał działające w dobrej wierze struktury biznesowe przed działaniami nieuczciwych przedstawicieli mediów.

Kolejnym kamieniem węgielnym bezpieczeństwa informacji w sektorze medialnym jest ograniczanie dostępu do danych. Problem w tym, że ograniczanie dostępu do informacji w celu zapobiegania zagrożeniom informacyjnym nie staje się „przykrywką” dla cenzury. Rozwiązanie, które zwiększy przejrzystość mediów i pozwoli uniknąć szkody dla interesów bezpieczeństwa narodowego, zawarte jest w projekcie Konwencji o dostępie do zasobów informacyjnych, który oczekuje na głosowanie w Unii Europejskiej. Normy dokumentu zakładają, że państwo zapewnia równy dostęp do wszystkich dokumentów urzędowych poprzez tworzenie odpowiednich rejestrów w Internecie oraz ustala ograniczenia dostępu, których nie można zmienić. Istnieją tylko dwa wyjątki, które pozwolą znieść ograniczenia w dostępie do zasobów informacyjnych:

  • pożytek publiczny co oznacza możliwość upublicznienia nawet tych danych, które nie podlegają rozpowszechnianiu w normalnych warunkach;
  • Narodowy interes jeżeli zatajenie informacji spowodowałoby szkodę dla państwa.

Sektor prywatny

Wraz z rozwojem gospodarki rynkowej, wzrostem i zaostrzeniem konkurencji, reputacja firmy staje się nieodłączną częścią wartości niematerialnych i prawnych. Tworzenie i utrwalanie pozytywnego wizerunku zależy bezpośrednio od poziomu bezpieczeństwa informacji. Istnieje również zależność odwrotna, gdy ugruntowany wizerunek firmy na rynku jest gwarancją bezpieczeństwa informacji. Przy takim podejściu wyróżnia się trzy rodzaje reputacji biznesowej:

1. Obraz „bezużytecznej” organizacji, których zasoby informacyjne nie są interesujące, ponieważ nie można ich wykorzystać na szkodę lub korzyść osoby trzeciej.

2. Wizerunek silnego przeciwnika, których bezpieczeństwu zagrażanie jest „droższe”. Niewyraźne granice możliwości odparcia ataku informacyjnego pomagają utrzymać reputację groźnego przeciwnika: im trudniej jest zrozumieć potencjał ochrony informacji, tym bardziej firma wydaje się nie do zdobycia w oczach atakujących.

3. Wizerunek „użytecznej” organizacji. Jeśli potencjalnemu agresorowi zależy na rentowności firmy, zamiast ataku informacyjnego możliwy jest dialog i stworzenie ogólnej polityki bezpieczeństwa informacji.

Każda firma organizuje swoją działalność zgodnie z prawem i dąży do osiągnięcia swoich celów. Podobne kryteria będą obowiązywać także przy opracowywaniu polityki bezpieczeństwa informacji, wdrażaniu i obsłudze wewnętrznych systemów bezpieczeństwa poufnych danych i zasobów IT. Aby zapewnić najwyższy możliwy poziom bezpieczeństwa informacji w organizacji, po wdrożeniu systemów bezpieczeństwa elementy bezpieczeństwa powinny być systematycznie monitorowane, rekonfigurowane i aktualizowane w miarę potrzeb.

Ochrona informacji obiektów strategicznych

Na początku 2017 roku Duma Państwowa Federacji Rosyjskiej przyjęła w pierwszym czytaniu pakiet ustaw dotyczących bezpieczeństwa informacji i krytycznej infrastruktury informatycznej państwa.

Główne źródła zagrożeń informacyjnych w sferze militarnej Federacji Rosyjskiej.

Przewodniczący Sejmowej Komisji ds. Polityki Informacyjnej, Technologii Informacyjnych i Komunikacji Leonid Levin, przedstawiając projekty ustaw, przestrzegł przed wzrostem liczby cyberataków na obiekty o znaczeniu strategicznym. Na posiedzeniu komisji przedstawiciel FSB Nikołaj Muraszow powiedział, że w ciągu roku przeprowadzono 70 milionów cyberataków na obiekty w Rosji. Równolegle z rosnącymi zagrożeniami atakami zewnętrznymi zwiększa się skala, złożoność i koordynacja ataków informacyjnych na terenie kraju.

Przyjęte przez parlamentarzystów projekty ustaw tworzą podstawę prawną do udostępniania informacji w zakresie krajowej infrastruktury krytycznej i poszczególnych branż. Ponadto projekty ustaw precyzują uprawnienia organów rządowych w zakresie bezpieczeństwa informacji i przewidują zaostrzoną odpowiedzialność karną za naruszenia bezpieczeństwa informacji.

Jak uzasadnić koszty bezpieczeństwa informacji?

Przedrukowano za uprzejmą zgodą OJSC InfoTex Internet Trust
Znajduje się tekst źródłowy Tutaj.

Poziomy dojrzałości firmy

Grupa Gartner identyfikuje 4 poziomy dojrzałości firmy w zakresie bezpieczeństwa informacji (IS):

  • Poziom 0:
    • Nikt nie zajmuje się bezpieczeństwem informacji w firmie, kierownictwo firmy nie zdaje sobie sprawy ze wagi problemów związanych z bezpieczeństwem informacji;
    • Nie ma funduszy;
    • Bezpieczeństwo informacji realizowane jest za pomocą standardowych systemów operacyjnych, DBMS i aplikacji (ochrona haseł, kontrola dostępu do zasobów i usług).
  • Poziom 1:
    • Bezpieczeństwo informacji jest postrzegane przez kierownictwo jako problem czysto „techniczny”, nie ma jednolitego programu (koncepcji, polityki) rozwoju systemu bezpieczeństwa informacji firmy (ISMS);
    • Finansowanie zapewniane jest w ramach ogólnego budżetu IT;
    • Bezpieczeństwo informacji realizowane jest poprzez narzędzia poziomu zerowego + narzędzia do tworzenia kopii zapasowych, narzędzia antywirusowe, zapory ogniowe, narzędzia VPN (tradycyjne narzędzia bezpieczeństwa).
  • Poziom 2:
    • Bezpieczeństwo informacji jest postrzegane przez kierownictwo jako zespół środków organizacyjnych i technicznych, istnieje zrozumienie znaczenia bezpieczeństwa informacji dla procesów produkcyjnych, istnieje zatwierdzony przez kierownictwo program rozwoju SZBI firmy;
    • Bezpieczeństwo informacji realizowane jest poprzez narzędzia pierwszego poziomu + ulepszone narzędzia uwierzytelniające, narzędzia do analizy wiadomości e-mail i treści internetowych, IDS (systemy wykrywania włamań), narzędzia analizy bezpieczeństwa, SSO (narzędzia jednorazowego uwierzytelniania), PKI (infrastruktura klucza publicznego) oraz środki organizacyjne (audyt wewnętrzny i zewnętrzny, analiza ryzyka, polityka bezpieczeństwa informacji, regulaminy, procedury, regulaminy i wytyczne).
  • Poziom 3:
    • Bezpieczeństwo informacji jest częścią kultury korporacyjnej, powołano CISA (starszy specjalista ds. bezpieczeństwa informacji);
    • Dofinansowanie zapewnia odrębny budżet;
    • Bezpieczeństwo informacji realizowane jest poprzez system zarządzania bezpieczeństwem informacji drugiego poziomu +, CSIRT (zespół reagowania na incydenty związane z bezpieczeństwem informacji), SLA (umowa dotycząca poziomu usług).

Według Grupy Gartner (dane za rok 2001) odsetek firm w odniesieniu do opisanych 4 poziomów kształtuje się następująco:
Poziom 0 - 30%,
Poziom 1 – 55%,
Poziom 2 – 10%,
Poziom 3 - 5%.

Prognoza Grupy Gartner na rok 2005 przedstawia się następująco:
Poziom 0 - 20%,
Poziom 1 – 35%,
Poziom 2 – 30%,
Poziom 3 - 15%.

Statystyki pokazują, że większość firm (55%) posiada obecnie wdrożony minimalny wymagany zestaw tradycyjnych technicznych zabezpieczeń (poziom 1).

Podczas wdrażania różnych technologii i środków bezpieczeństwa często pojawiają się pytania. Co wdrożyć najpierw, system wykrywania włamań czy infrastrukturę PKI? Które będą skuteczniejsze? Stephen Ross, dyrektor Deloitte&Touche, proponuje następujące podejście do oceny efektywności poszczególnych środków i narzędzi bezpieczeństwa informacji.

Na podstawie powyższego wykresu widać, że najdroższe i najmniej skuteczne są narzędzia specjalistyczne (własne lub robione na zamówienie).

Najdroższe, ale jednocześnie najskuteczniejsze, to środki ochronne kategorii 4 (poziom 2 i 3 według Grupy Gartner). Aby wdrożyć narzędzia tej kategorii, konieczne jest zastosowanie procedury analizy ryzyka. Analiza ryzyka w tym przypadku zapewni, że koszty wdrożenia będą adekwatne do istniejących zagrożeń naruszenia bezpieczeństwa informacji.

Do najtańszych, ale o dużej efektywności zaliczają się środki organizacyjne (audyt wewnętrzny i zewnętrzny, analiza ryzyka, polityka bezpieczeństwa informacji, plan ciągłości działania, regulaminy, procedury, regulaminy i podręczniki).

Wprowadzenie dodatkowych środków ochrony (przejście na poziom 2 i 3) wymaga znacznych nakładów finansowych i co za tym idzie uzasadnienia. Brak jednolitego programu rozwoju ISMS zatwierdzonego i podpisanego przez kierownictwo pogłębia problem uzasadnienia inwestycji w bezpieczeństwo.

Ocena ryzyka

Takim uzasadnieniem mogą być wyniki analizy ryzyka oraz statystyki zgromadzone na temat incydentów.Mechanizmy wdrażania analizy ryzyka i gromadzenia statystyk powinny zostać określone w polityce bezpieczeństwa informacji firmy.

Proces analizy ryzyka składa się z 6 kolejnych etapów:

1. Identyfikacja i klasyfikacja obiektów chronionych (zasobów firmy podlegających ochronie);

3. Budowa modelu napastnika;

4. Identyfikacja, klasyfikacja i analiza zagrożeń i podatności;

5. Ocena ryzyka;

6. Dobór środków organizacyjnych i technicznych środków ochrony.

Na scenie identyfikacja i klasyfikacja przedmiotów ochrony Konieczne jest przeprowadzenie inwentaryzacji zasobów przedsiębiorstwa w następujących obszarach:

  • Zasoby informacyjne (poufne i krytyczne informacje o firmie);
  • Zasoby oprogramowania (OS, DBMS, aplikacje krytyczne, takie jak ERP);
  • Zasoby fizyczne (serwery, stacje robocze, sprzęt sieciowy i telekomunikacyjny);
  • Zasoby serwisu (e-mail, www itp.).

Kategoryzacja jest określenie poziomu poufności i krytyczności zasobu. Poufność odnosi się do poziomu tajności informacji przechowywanych, przetwarzanych i przesyłanych przez zasób. Krytyczność rozumiana jest jako stopień wpływu zasobu na efektywność procesów produkcyjnych przedsiębiorstwa (np. w przypadku przestoju zasobów telekomunikacyjnych firma dostawcy może zbankrutować). Przypisując określone wartości jakościowe parametrom poufności i krytyczności, można określić poziom znaczenia każdego zasobu z punktu widzenia jego udziału w procesach produkcyjnych przedsiębiorstwa.

Aby określić znaczenie zasobów firmy z punktu widzenia bezpieczeństwa informacji, możesz uzyskać poniższą tabelę:

Przykładowo pliki zawierające informacje o poziomie wynagrodzeń pracowników firmy mają wartość „ściśle poufne” (parametr poufności) i wartość „nieistotne” (parametr krytyczności). Zastępując te wartości w tabeli, można uzyskać integralny wskaźnik znaczenia tego zasobu. Różne opcje metod kategoryzacji podano w międzynarodowej normie ISO TR 13335.

Budowa modelu atakującego to proces klasyfikacji potencjalnych sprawców naruszenia według następujących parametrów:

  • Rodzaj atakującego (konkurencja, klient, programista, pracownik firmy itp.);
  • Pozycja atakującego w stosunku do obiektów ochrony (wewnętrzna, zewnętrzna);
  • Poziom wiedzy o obiektach chronionych i środowisku (wysoki, średni, niski);
  • Poziom możliwości dostępu do chronionych obiektów (maksymalny, średni, minimalny);
  • Czas trwania działania (stale, w określonych odstępach czasu);
  • Miejsce akcji (oczekiwana lokalizacja atakującego podczas ataku).

Przypisując wartości jakościowe wymienionym parametrom modelu atakującego, można określić potencjał atakującego (integralna charakterystyka zdolności atakującego do wdrażania zagrożeń).

Identyfikacja, klasyfikacja i analiza zagrożeń i podatności pozwalają określić sposoby realizacji ataków na chronione obiekty. Luki to właściwości zasobu lub jego środowiska wykorzystywane przez osobę atakującą do wdrażania zagrożeń. Listę luk w zabezpieczeniach oprogramowania można znaleźć w Internecie.

Zagrożenia są klasyfikowane według następujących kryteriów:

  • nazwa zagrożenia;
  • rodzaj atakującego;
  • środki realizacji;
  • wykorzystywane luki;
  • podjęte działania;
  • częstotliwość realizacji.

Głównym parametrem jest częstotliwość realizacji zagrożeń. Zależy to od wartości parametrów „potencjał atakującego” i „bezpieczeństwo zasobów”. Wartość parametru „bezpieczeństwo zasobów” ustalana jest na podstawie ocen eksperckich. Przy ustalaniu wartości parametru brane są pod uwagę subiektywne parametry atakującego: motywacja wdrożenia zagrożenia oraz statystyki z prób wdrożenia tego typu zagrożeń (jeśli występują). Wynikiem etapu analizy zagrożeń i podatności jest ocena parametru „częstotliwości implementacji” dla każdego zagrożenia.

Na scenie ocena ryzyka dla każdego zasobu lub grupy zasobów określa się potencjalne szkody wynikające z zagrożeń związanych z naruszeniem bezpieczeństwa informacji.

Jakościowy wskaźnik uszkodzeń zależy od dwóch parametrów:

  • Znaczenie zasobu;
  • Częstotliwość wdrażania zagrożeń dla tego zasobu.

Na podstawie uzyskanej oceny szkód racjonalnie dobiera się odpowiednie środki organizacyjne i techniczne środki ochrony.

Gromadzenie statystyk dotyczących incydentów

Jedynym słabym punktem proponowanej metodologii oceny ryzyka i tym samym uzasadniającym potrzebę wprowadzenia nowych lub zmiany istniejących technologii zabezpieczeń jest określenie parametru „częstotliwość występowania zagrożeń”. Jedynym sposobem na uzyskanie obiektywnych wartości tego parametru jest gromadzenie statystyk dotyczących incydentów. Zgromadzone statystyki np. za rok pozwolą określić liczbę wdrożeń zagrożeń (określonego typu) na zasób (określonego typu). W ramach procedury przetwarzania incydentów wskazane jest prowadzenie prac nad gromadzeniem statystyk.

Adnotacja: Na wykładzie omówione są zadania i metody analizy ekonomicznej możliwości wdrożenia środków zapewniających bezpieczeństwo informacji w określonych warunkach.

Podstawy metodologiczne ekonomiki bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji, jak również zarządzanie w wielu innych obszarach działalności, wiąże się z okresowym podejmowaniem różnorodnych decyzji zarządczych, które z reguły polegają na wyborze określonych alternatyw (wybór jednego z możliwych schematów organizacyjnych lub jednego z dostępnych rozwiązań technicznych ) lub określenie określonych parametrów poszczególnych systemów i podsystemów organizacyjnych i/lub technicznych. Jednym z możliwych podejść do wyboru alternatyw w sytuacji podjęcia decyzji zarządczej jest tzw. podejście „wolicjonalne”, gdy decyzja z tego czy innego powodu jest podejmowana intuicyjnie i nie można ustalić formalnie uzasadnionego związku przyczynowo-skutkowego pomiędzy pewnymi przesłankami wyjściowymi a podjętą konkretną decyzją. Jest oczywiste, że alternatywą dla podejścia „silnej woli” jest podejmowanie decyzji w oparciu o pewne formalne procedury i analiza sekwencyjna.

Podstawa takiej analizy i później podejmowanie decyzji to analiza ekonomiczna, która polega na badaniu wszystkich (lub przynajmniej głównych) czynników, pod wpływem których następuje rozwój analizowanych systemów, wzorców ich zachowania, dynamiki zmian, a także wykorzystania uniwersalnych wycena pieniężna. To w oparciu o odpowiednio skonstruowane modele ekonomiczne i przeprowadzoną za ich pomocą analizę ekonomiczną należy podejmować decyzje dotyczące zarówno ogólnej strategii rozwoju, jak i poszczególnych środków organizacyjno-technicznych, zarówno na poziomie państw, regionów i branż, jak i na poziomie poziomie poszczególnych przedsiębiorstw, oddziałów i systemów informatycznych.

Jednocześnie, tak jak ekonomika każdej gałęzi działalności ma swoją specyfikę, tak ekonomika bezpieczeństwa informacji, uważana za stosunkowo niezależną dyscyplinę, z jednej strony opiera się na pewnych ogólnych prawach ekonomicznych i metodach analizy, z drugiej zaś z drugiej strony wymaga indywidualnego zrozumienia i opracowania specyficznych podejść do analiz, gromadzenia danych statystycznych specyficznych dla tego obszaru, ukształtowania się stabilnych wyobrażeń na temat czynników, pod wpływem których funkcjonowanie Systemy Informacyjne I narzędzia bezpieczeństwa informacji.

Złożoność problemów analizy ekonomicznej w niemal wszystkich obszarach działalności wynika z reguły z faktu, że wielu kluczowych parametrów modeli ekonomicznych nie można wiarygodnie ocenić, a mają one charakter probabilistyczny (jak np. popyt). Analizę komplikuje również fakt, że nawet niewielkie wahania (korekta szacunków) takich parametrów mogą poważnie wpłynąć na wartości funkcji celu, a co za tym idzie, na decyzje podejmowane na podstawie wyników analizy. Tym samym, aby zapewnić jak największą wiarygodność obliczeń w procesie przeprowadzania analiz ekonomicznych oraz podejmowanie decyzji konieczne jest zorganizowanie kompleksu prac w celu zebrania informacji wstępnych, obliczenia wartości prognoz, przeprowadzenia wywiadów z ekspertami z różnych dziedzin i przetworzenia wszystkich danych. Jednocześnie w procesie przeprowadzania takiej analizy należy zwrócić szczególną uwagę na decyzje pośrednie dotyczące oceny niektórych parametrów ujętych w modelu ogólnym. Należy również wziąć pod uwagę fakt, że sama taka analiza może okazać się procedurą dość zasobochłonną i wymagać zaangażowania dodatkowych specjalistów i konsultantów zewnętrznych, a także wysiłków różnych specjalistów (ekspertów) praca w samym przedsiębiorstwie – wszystkie te koszty ostatecznie muszą być uzasadnione.

Szczególna złożoność analizy ekonomicznej w takim obszarze jak Bezpieczeństwo informacji, zależy od takich specyficznych czynników, jak:

  • szybki rozwój technologii i technik informatycznych stosowanych w tej dziedzinie (zarówno środków i metod obrony, jak i środków i metod ataku);
  • niemożność wiarygodnego przewidzenia wszystkich możliwych scenariuszy ataków na systemy informatyczne i wzorców zachowań atakującego;
  • niemożność dokonania wiarygodnej, wystarczająco dokładnej oceny kosztów zasobów informacyjnych, a także oceny konsekwencji różnych naruszeń w kategoriach pieniężnych.

Wymaga to dodatkowych wysiłków w celu uporządkowania procesu analizy ekonomicznej, a także często prowadzi do tego, że wiele decyzji podejmowanych w zakresie bezpieczeństwa informacji może okazać się nieadekwatnych. Przykładami sytuacji, w których niedostateczny rozwój metodologii analizy ekonomicznej negatywnie wpływa na stan bezpieczeństwa informacji, są przypadki, gdy:

  • kierownictwo przedsiębiorstwa może podejmować nieodpowiednie decyzje dotyczące inwestycji w narzędzia bezpieczeństwa informacji, co z kolei może prowadzić do strat, których można było uniknąć;
  • kierownictwo przedsiębiorstwa może podejmować określone decyzje dotyczące organizacji procesów biznesowych i procesów przetwarzania informacji w przedsiębiorstwie, kierując się chęcią ograniczenia bieżących kosztów i zmniejszenia obciążenia personelu, nie biorąc pod uwagę konsekwencji ekonomicznych niewystarczającego bezpieczeństwa zasobów informacyjnych;
  • ubezpieczający i ubezpieczyciel nie mogą zawrzeć umowy ubezpieczenia ryzyk informacyjnych lub ustalić nieodpowiednich parametrów takiej umowy ze względu na brak modeli i metod oceny parametrów ekonomicznych transakcji.

Analiza inwestycji w narzędzia bezpieczeństwa informacji

W toku swojej bieżącej działalności przedsiębiorstwa nieustannie muszą mierzyć się z pewnymi zmianami: doprecyzowują się procesy biznesowe, zmieniają się warunki rynków zbytu oraz rynków konsumowanych zasobów materialnych i usług, pojawiają się nowe technologie, zmieniają się konkurenci i kontrahenci zmieniają się zachowania, ustawodawstwo i polityka rządu itp. W tych warunkach menedżerowie (w tym ci odpowiedzialni za zapewnienie bezpieczeństwa informacji) muszą na bieżąco analizować zachodzące zmiany i dostosowywać swoją pracę do stale zmieniającej się sytuacji. Konkretne formy, w jakich przejawiają się reakcje menedżerów, mogą się różnić. Może to być zmiana polityki marketingowej, reorganizacja procesów biznesowych, zmiana technologii, zmiana wytwarzanego produktu, fuzja z konkurentami lub ich przejęcie itp. Jednak przy całej różnorodności możliwych modeli zachowań w zmieniającym się otoczeniu prawie wszystkie łączy jeden ważny wspólny element metodologiczny: w większości przypadków reakcja biznesu na nowe zagrożenia i nowe możliwości polega na tworzeniu nowych, mniej lub bardziej długotrwałych -terminowe i zasobochłonne inwestycje (inwestycje) w określone środki organizacyjne i/lub techniczne, które z jednej strony pociągają za sobą wydatkowanie zasobów (pieniędzy), z drugiej zaś dają możliwość uzyskania nowych korzyści, wyrażających się zwiększenie dochodów lub zmniejszenie niektórych bieżących wydatków.

Zatem w sytuacji konieczności przeprowadzenia nowych działań organizacyjnych lub technicznych (wdrożenia projektu) głównym zadaniem osób odpowiedzialnych za efektywną organizację bezpieczeństwa informacji jest jasne określenie kosztów, jakie trzeba będzie ponieść w w związku z realizacją tej działalności (zarówno jednorazowej, jak i stałej) oraz dodatkowe (nowe) przepływy pieniężne, które zostaną uzyskane. W tym przypadku przepływy pieniężne można rozumieć jako oszczędności, zapobieganie stratom, a także dodatkowy dochód dla przedsiębiorstwa.

W praktyce gospodarczej zwyczajowo stosuje się funkcję zwrotu z inwestycji jako główny wskaźnik odzwierciedlający tę relację.

(14.1)

Funkcja dyskontowania wykorzystywana jest przy analizie inwestycji w celu uwzględnienia wpływu czynnika czasu i sprowadzenia kosztów w różnym czasie do jednego punktu (zwykle jest to moment rozpoczęcia realizacji projektu). Stopa dyskontowa w tym przypadku uwzględnia zmiany wartości pieniądza w czasie.

Model zwrotu z inwestycji (14.1) wyraźnie pokazuje, jakie dwa główne zadania należy rozwiązać analizując dowolny projekt inwestycyjny, a w szczególności projekt wdrożenia działań z zakresu bezpieczeństwa informacji: obliczenie kosztów związanych z projektem i obliczenie dodatkowej gotówki przepływ. Jeśli metodologia obliczania kosztów całkowitych () w ciągu ostatnich 10-15 lat została ogólnie w pełni ukształtowana (w formie koncepcji „Całkowitego kosztu posiadania”, TCO - całkowity koszt posiadania, TCO) i jest aktywnie wykorzystywana w praktyce w odniesieniu do różnego rodzaju systemów informatycznych i elementów infrastruktury informatycznej, wówczas kalkulacja dodatkowych przepływów pieniężnych () uzyskanych w wyniku inwestycji w narzędzia bezpieczeństwa informacji z reguły powoduje poważne trudności. Jednym z najbardziej obiecujących podejść do obliczania tego wskaźnika jest metodologia oparta na ilościowej (pieniężnej) ocenie ryzyka uszkodzenia zasobów informacyjnych oraz ocenie redukcji tego ryzyka związanej z wdrożeniem dodatkowych środków ochrony informacji .

Zatem ogólnie rzecz biorąc, skład metodyki analizy możliwości inwestowania w projekty mające na celu zapewnienie bezpieczeństwa informacji przedstawiono schematycznie na ryc. 14.1.

Analiza kosztów związanych z projektem, choć jest zadaniem stosunkowo prostszym, może jednak przysporzyć pewnych trudności. Podobnie jak w przypadku wielu innych projektów z zakresu technologii informatycznych, wskazane jest dokonanie analizy kosztów realizacji projektów z zakresu bezpieczeństwa informacji w oparciu o znaną podstawową metodologię „Total Cost of Ownership” – TCO (Total Cost of Ownership – TCO), wprowadzonego przez firmę konsultingową „Gartner Group” w 1987 roku w odniesieniu do komputerów osobistych. Generalnie metodologia ta ma na celu zapewnienie pełnej analizy kosztów (zarówno bezpośrednich, jak i pośrednich) związanych z technologiami informacyjnymi i systemami informacyjnymi w sytuacjach, w których konieczna jest ocena skutków ekonomicznych wdrożenia i użytkowania takich systemów: przy ocenie efektywność inwestycji, porównywanie technologii alternatywnych, sporządzanie budżetów kapitałowych i operacyjnych itp.

Ogólnie rzecz biorąc, całkowita wartość TCO obejmuje:

  • koszty zaprojektowania systemu informatycznego;
  • koszty zakupu sprzętu komputerowego i oprogramowania: sprzętu komputerowego, sprzętu sieciowego, oprogramowania (z uwzględnieniem stosowanych sposobów licencjonowania), a także opłaty leasingowe;
  • koszty rozwoju oprogramowania i jego dokumentacji, a także korekty błędów i modyfikacji w okresie eksploatacji;
  • koszty bieżącej administracji systemami informatycznymi (w tym opłaty za usługi podmiotów zewnętrznych, którym zlecane są te funkcje);
  • koszty wsparcia technicznego i serwisu;
  • koszty materiałów eksploatacyjnych;
  • koszty usług telekomunikacyjnych (dostęp do Internetu, dedykowane i komutowane kanały komunikacji itp.);
  • koszty szkoleń użytkowników, a także pracowników działów IT i działu bezpieczeństwa informacji;
  • koszty pośrednie to koszty przedsiębiorstwa związane ze stratą czasu użytkowników w przypadku awarii w działaniu systemów informatycznych.

Ponadto przy obliczaniu kosztów podniesienia poziomu bezpieczeństwa informacji należy uwzględnić koszty reorganizacji procesów biznesowych i pracy informacyjnej z personelem: opłaty za usługi konsultantów biznesowych i konsultantów w kwestiach bezpieczeństwa informacji, koszty rozwoju dokumentacji organizacyjnej, koszty przeprowadzenia audytów stanu bezpieczeństwa informacji, itp. .P. Ponadto analizując koszty, należy również wziąć pod uwagę fakt, że w większości przypadków wprowadzenie narzędzi bezpieczeństwa informacji implikuje pojawienie się dodatkowych obowiązków dla personelu przedsiębiorstwa i konieczność wykonywania dodatkowych operacji podczas pracy z systemami informatycznymi . Powoduje to nieznaczny spadek produktywności pracowników firmy i w związku z tym może wiązać się z dodatkowymi kosztami.

Inwestują w różne technologie bezpieczeństwa komputerowego - od platform umożliwiających płacenie premii za wykrywanie luk w programach po diagnostykę i automatyczne testowanie programów. Jednak najbardziej przyciągają ich technologie uwierzytelniania i zarządzania informacjami o tożsamości – na koniec 2019 roku w startupy zajmujące się tymi technologiami zainwestowano około 900 milionów dolarów.

Inwestycje w start-upy szkoleniowe z zakresu cyberbezpieczeństwa osiągnęły w 2019 r. 418 mln dolarów, na czele z KnowBe4, który zebrał 300 mln dolarów.Start oferuje platformę do symulacji ataków phishingowych oraz szereg programów szkoleniowych.

W 2019 roku firmy zajmujące się bezpieczeństwem Internetu Rzeczy otrzymały około 412 mln dolarów. Liderem w tej kategorii pod względem wolumenu inwestycji jest SentinelOne, który w 2019 roku otrzymał 120 mln dolarów na rozwój technologii ochrony punktów końcowych.

Jednocześnie analitycy Metacurity przekazują kolejne dane charakteryzujące sytuację na rynku finansowania przedsięwzięć typu venture w sektorze bezpieczeństwa informacji. W 2019 r. wolumen inwestycji tutaj sięgnął 6,57 mld dolarów, co oznacza wzrost z 3,88 mld dolarów w 2018 r. Wzrosła także liczba transakcji – ze 133 do 219. Jednocześnie średni wolumen inwestycji na transakcję pozostał praktycznie niezmieniony i na koniec 2019 roku wyniósł 29,2 mln – według obliczeń Metacurity.

2018

Wzrost o 9% do 37 miliardów dolarów – Canalys

W 2018 roku sprzedaż sprzętu, oprogramowania i usług służących bezpieczeństwu informacji (IS) osiągnęła poziom 37 miliardów dolarów, co oznacza wzrost o 9% w porównaniu do roku poprzedniego (34 miliardy dolarów). Takie dane opublikowali analitycy Canalys 28 marca 2019 roku.

Mimo że wiele firm priorytetowo traktuje ochronę swoich zasobów, danych, punktów końcowych, sieci, pracowników i klientów, cyberbezpieczeństwo stanowiło zaledwie 2% całkowitych wydatków na IT w 2018 roku – twierdzą. Pojawia się jednak coraz więcej nowych zagrożeń, stają się one coraz bardziej złożone i częstsze, co stwarza producentom rozwiązań z zakresu bezpieczeństwa informacji nowe możliwości rozwoju. Oczekuje się, że całkowite wydatki na cyberbezpieczeństwo w 2020 roku przekroczą 42 miliardy dolarów.

Analityk Canalys Matthew Ball uważa, że ​​przejście na nowe modele wdrażania bezpieczeństwa informacji ulegnie przyspieszeniu. Klienci zmieniają charakter swoich budżetów IT, korzystając z usług chmury publicznej i elastycznych usług opartych na subskrypcji.

Około 82% wdrożeń bezpieczeństwa informacji w 2018 r. dotyczyło wykorzystania tradycyjnego sprzętu i oprogramowania. W pozostałych 18% przypadków wykorzystano wirtualizację, chmury publiczne i usługi bezpieczeństwa informacji.

Do 2020 roku udział tradycyjnych modeli wdrażania systemów bezpieczeństwa informacji spadnie do 70% w związku ze wzrostem popularności nowych rozwiązań na rynku.

Dostawcy będą musieli stworzyć szeroką gamę modeli biznesowych, aby wesprzeć to przejście, ponieważ różne produkty odpowiadają różnym typom wdrożeń. Głównym wyzwaniem dla wielu jest dziś uczynienie nowych modeli bardziej skoncentrowanymi na kanałach partnerskich i zintegrowanie ich z istniejącymi programami partnerskimi, szczególnie z transakcjami klientów za pośrednictwem platform chmurowych. Niektóre rynki chmurowe już na to zareagowały, umożliwiając partnerom oferowanie dostosowanych ofert i cen bezpośrednio klientom poprzez śledzenie rejestracji transakcji i rabatów, poinformował Matthew Ball w poście z 29 marca 2019 r.

Według analityka Canalys, Ketaki Borade, czołowi dostawcy technologii cyberbezpieczeństwa wprowadzili nowe modele dystrybucji produktów, które obejmują przejście firm na model subskrypcyjny i zwiększenie liczby operacji w infrastrukturze chmurowej.


Rynek cyberbezpieczeństwa pozostał bardzo dynamiczny i odnotował rekordową liczbę transakcji oraz wolumen transakcji w odpowiedzi na rosnące wymagania regulacyjne i techniczne, a także utrzymujące się powszechne ryzyko naruszeń danych, powiedział Eric McAlpine, współzałożyciel i partner zarządzający Momentum Cyber. „Wierzymy, że ta dynamika będzie w dalszym ciągu wypychać sektor na nowe terytorium, ponieważ będzie on starał się stawić czoła pojawiającym się zagrożeniom i konsolidować się w obliczu zmęczenia dostawców i rosnących niedoborów wykwalifikowanej siły roboczej”.

2017

Wydatki na cyberbezpieczeństwo przekroczyły 100 miliardów dolarów

W 2017 r. globalne wydatki na produkty i usługi związane z bezpieczeństwem informacji (IS) osiągnęły 101,5 miliarda dolarów, podała firma badawcza Gartner w połowie sierpnia 2018 r. Na koniec 2017 roku eksperci szacowali ten rynek na 89,13 mld dolarów, nie podano jednak, co spowodowało tak znaczący wzrost wyceny.

CISO chcą pomóc swoim organizacjom w bezpiecznym korzystaniu z platform technologicznych, aby zwiększyć konkurencyjność i stymulować rozwój biznesu, mówi Siddharth Deshpande, dyrektor ds. badań w firmie Gartner. - Ciągłe niedobory wykwalifikowanej siły roboczej i zmiany regulacyjne, takie jak ogólne rozporządzenie o ochronie danych (RODO) w Europie, napędzają dalszy rozwój rynku usług w zakresie cyberbezpieczeństwa.

Eksperci uważają, że jednym z kluczowych czynników zwiększających koszty bezpieczeństwa informacji jest wprowadzenie nowych metod wykrywania i reagowania na zagrożenia, które w 2018 roku stały się najwyższym priorytetem bezpieczeństwa organizacji.

Według szacunków Gartnera w 2017 roku wydatki organizacji na usługi cyberochrony na całym świecie przekroczyły 52,3 miliarda dolarów, a w 2018 roku koszty te wzrosną do 58,9 miliarda dolarów.

W 2017 roku firmy wydały 2,4 miliarda dolarów na ochronę aplikacji, 2,6 miliarda dolarów na ochronę danych i 185 milionów dolarów na ochronę usług w chmurze.

Roczna sprzedaż rozwiązań do zarządzania tożsamością i dostępem (Identity And Access Management) wyniosła 8,8 miliarda, a sprzedaż narzędzi do ochrony infrastruktury IT wzrosła do 12,6 miliarda dolarów.

Badanie wskazuje również, że na sprzęt zapewniający bezpieczeństwo sieci wydano 10,9 miliarda dolarów. Ich producenci zarobili 3,9 miliarda dolarów na systemach zarządzania ryzykiem związanym z bezpieczeństwem informacji.

Według badania Gartnera analitycy szacują, że wydatki konsumentów na cyberbezpieczeństwo w 2017 roku wyniosą 5,9 miliarda dolarów.

Gartner oszacował wielkość rynku na 89,13 miliardów dolarów

W grudniu 2017 roku okazało się, że globalne wydatki firm na bezpieczeństwo informacji (IS) w 2017 roku wyniosą 89,13 miliardów dolarów, a według Gartnera wydatki przedsiębiorstw na cyberbezpieczeństwo przekroczą kwotę 82,2 miliardów dolarów z 2016 roku o prawie 7 miliardów dolarów.

Za największą pozycję wydatków eksperci uważają usługi związane z bezpieczeństwem informacji: w 2017 roku firmy przeznaczą na te cele ponad 53 miliardy dolarów w porównaniu do 48,8 miliardów dolarów w 2016 roku. Drugim co do wielkości segmentem rynku bezpieczeństwa informacji są rozwiązania z zakresu ochrony infrastruktury, których koszty w 2017 roku wyniosą 16,2 miliarda dolarów zamiast 15,2 miliarda dolarów rok temu. Na trzecim miejscu znajduje się sprzęt zapewniający bezpieczeństwo sieci (10,93 miliarda dolarów).

Struktura wydatków na bezpieczeństwo informacji uwzględnia także oprogramowanie konsumenckie służące bezpieczeństwu informacji oraz systemom identyfikacji i zarządzania dostępem (Identity and Access Management, IAM). Gartner szacuje koszty w tych obszarach w 2017 roku na 4,64 miliarda dolarów i 4,3 miliarda dolarów, podczas gdy w 2016 roku były to odpowiednio 4,57 miliarda dolarów i 3,9 miliarda dolarów.

Analitycy spodziewają się dalszego wzrostu rynku bezpieczeństwa informacji: w 2018 roku organizacje zwiększą wydatki na cyberochronę o kolejne 8% i przeznaczą na te cele łącznie 96,3 mld dolarów. Wśród czynników wzrostu eksperci wymienili zmieniające się regulacje w sektorze bezpieczeństwa informacji oraz świadomość nowych zagrożeń i zwrot firm w stronę cyfrowej strategii biznesowej.

Ogólnie rzecz biorąc, wydatki na cyberbezpieczeństwo w dużej mierze wynikają z reakcji firm na incydenty związane z bezpieczeństwem informacji, ponieważ rośnie liczba głośnych cyberataków i wycieków informacji dotykających organizacje na całym świecie, mówi Ruggero Contu, dyrektor ds. badań w firmie Gartner, komentując prognozę .

Słowa analityka potwierdzają dane uzyskane przez Gartnera w 2016 roku podczas badania, w którym wzięło udział 512 organizacji z ośmiu krajów: Australii, Kanady, Francji, Niemiec, Indii, Singapuru i USA.

53% respondentów wymieniło zagrożenia dla cyberbezpieczeństwa jako główną siłę napędową zwiększonych wydatków na cyberbezpieczeństwo. Z tej liczby największy odsetek respondentów stwierdził, że zagrożenie cyberatakami ma największy wpływ na decyzje dotyczące wydatków na bezpieczeństwo informacji.

Prognoza Gartnera na rok 2018 przewiduje zwiększenie wydatków we wszystkich głównych obszarach. Tym samym na usługi cyberochrony zostanie wydane około 57,7 miliarda dolarów (+4,65 miliarda dolarów), na zapewnienie bezpieczeństwa infrastruktury około 17,5 miliarda dolarów (+1,25 miliarda dolarów), a na oprogramowanie konsumenckie – 4,74 miliarda dolarów (11,67 miliarda dolarów (+735 milionów dolarów) ( +109 mln dolarów), a dla systemów IAM – 4,69 mld dolarów (+416 mln dolarów).

Analitycy uważają również, że do 2020 r. ponad 60% organizacji na świecie zainwestuje jednocześnie w kilka narzędzi do ochrony danych, w tym w narzędzia zapobiegające utracie informacji, szyfrujące i audytujące. Na koniec 2017 roku udział firm kupujących tego typu rozwiązania szacowano na 35%.

Kolejną istotną pozycją wydatków przedsiębiorstw na bezpieczeństwo informacji będzie zaangażowanie zewnętrznych specjalistów. Oczekuje się, że w kontekście niedoborów kadrowych w dziedzinie cyberbezpieczeństwa, rosnącej złożoności technicznej systemów bezpieczeństwa informacji i rosnących zagrożeń cybernetycznych, koszty firm z tytułu outsourcingu bezpieczeństwa informacji w 2018 roku wzrosną o 11% i wyniosą 18,5 miliarda dolarów .

Gartner szacuje, że do 2019 r. wydatki przedsiębiorstw na zewnętrznych ekspertów ds. cyberbezpieczeństwa będą stanowić 75% łącznych wydatków na oprogramowanie i sprzęt do cyberbezpieczeństwa, w porównaniu z 63% w 2016 r.

IDC przewiduje, że wielkość rynku wyniesie 82 miliardy dolarów

Dwie trzecie kosztów pokryją spółki zaliczone do przedsiębiorstw dużych i bardzo dużych. Według analityków IDC do 2019 roku koszty korporacji zatrudniających ponad 1000 pracowników przekroczą granicę 50 miliardów dolarów.

2016: Wielkość rynku 73,7 miliardów dolarów, wzrost 2 razy większy niż rynek IT

W październiku 2016 roku firma analityczna IDC przedstawiła krótkie wyniki badania globalnego rynku bezpieczeństwa informacji. Oczekuje się, że jego wzrost będzie dwukrotnie większy niż rynek IT.

IDC obliczyło, że globalna sprzedaż sprzętu, oprogramowania i usług z zakresu cyberochrony wyniesie w 2016 r. ok. 73,7 mld dolarów, a w 2020 r. przekroczy 100 mld dolarów i wyniesie 101,6 mld dolarów.W latach 2016-2020 rynek bezpieczeństwa informacji - technologia będzie rosła w średnim tempie 8,3% rocznie, co stanowi dwukrotność oczekiwanej stopy wzrostu branży IT.


Największe wydatki na bezpieczeństwo informacji (8,6 mld dolarów) na koniec 2016 roku spodziewane są w bankach. Na drugim, trzecim i czwartym miejscu pod względem wielkości takich inwestycji znajdą się odpowiednio przedsiębiorstwa produkcji dyskretnej, agencje rządowe i przedsiębiorstwa produkcji ciągłej, które będą odpowiadać za około 37% wydatków.

Analitycy przodują w dynamice wzrostu inwestycji w bezpieczeństwo informacji w służbie zdrowia (w latach 2016-2020 przewidywany jest średnioroczny wzrost na poziomie 10,3%). Koszty cyberochrony w telekomunikacji, sektorze mieszkaniowym, agencjach rządowych oraz na rynku inwestycyjnym i papierów wartościowych będą rosły o około 9% rocznie.

Największym rynkiem bezpieczeństwa informacji badacze nazywają rynek amerykański, którego wolumen w 2016 roku osiągnie 31,5 miliarda dolarów. W pierwszej trójce znajdą się także Europa Zachodnia oraz region Azji i Pacyfiku (bez Japonii). W skróconej wersji badania IDC nie ma żadnych informacji na temat rynku rosyjskiego.

Dyrektor generalny rosyjskiej firmy Security Monitor Dmitrij Gvozdev przewiduje wzrost udziału usług w całkowitych wydatkach Rosji na bezpieczeństwo z 30-35% do 40-45%, a także przewiduje rozwój struktury klientów na rynku - z całkowitej przewaga sektora rządowego, finansowego i energetycznego na rzecz średnich przedsiębiorstw z szerszego spektrum branż.

Jednym z trendów powinien być rozwój udziału krajowego oprogramowania w powiązaniu z problematyką substytucji importu oraz sytuacją w polityce zagranicznej. Jednak na ile znajdzie to odzwierciedlenie we wskaźnikach finansowych, będzie w dużej mierze zależeć od kursu rubla i polityki cenowej zagranicznych dostawców, którzy nadal zajmują co najmniej połowę krajowego rynku rozwiązań programowych i aż do dwóch trzecich w segmencie sprzętu. Ostateczny roczny wynik finansowy całego rosyjskiego rynku rozwiązań w zakresie bezpieczeństwa informacji można powiązać także z zewnętrznymi czynnikami ekonomicznymi, powiedział Gvozdev w rozmowie z TAdviserem.

2015

WIELKOŚĆ RYNKU

WYDATKI FEDERALNE

CYBERPRZESTĘPCZOŚĆ

KOSZT NARUSZENIA

USŁUGI FINANSOWE

Międzynarodowy

ANALITYKA BEZPIECZEŃSTWA

2013: Rynek EMEA wzrósł do 2,5 miliarda dolarów.

Wolumen rynku sprzętu zabezpieczającego w regionie EMEA (Europa, Bliski Wschód i Afryka) wzrósł o 2,4% w porównaniu do 2012 roku i wyniósł 2,5 miliarda dolarów.Analitycy uznali wielofunkcyjne systemy oprogramowania i sprzętu do ochrony komputerów za największy i najszybciej rozwijający się segment rynku rozważany rynek sieci – rozwiązania UTM (Unified Threat Management). Jednocześnie IDC prognozuje, że do 2018 roku rynek sprzętu do zabezpieczania informacji osiągnie wartość 4,2 miliarda dolarów, przy średnim rocznym wzroście na poziomie 5,4%.

Na koniec 2013 roku wiodącą pozycję wśród dostawców pod względem przychodów ze sprzedaży sprzętu bezpieczeństwa informacji w regionie EMEA zajęła firma Check Point. Według IDC przychody sprzedawcy w tym segmencie za 2013 rok wzrosły o 3,8% i wyniosły 374,64 mln dolarów, co odpowiada udziałowi w rynku na poziomie 19,3%.

2012: Prognoza PAC: Rynek bezpieczeństwa informacji będzie rósł o 8% rocznie

Z badania wynika, że ​​światowy rynek bezpieczeństwa informacji będzie rósł o 8% rocznie do 2016 r., kiedy to może osiągnąć wartość 36 miliardów euro.