Большинство российских промышленных компаний тратят на информационную безопасность менее 50 млн рублей в год. При этом, 27% организаций, опрошенных Positive Technologies в ходе исследования «Сколько стоит безопасность», оценили в аналогичную сумму потери за один день простоя инфраструктуры вследствие кибератаки.
Треть (33%) промышленных организаций оценили возможный ущерб от отказа в работе корпоративной инфраструктуры в течение одного дня в сумму от 0,5 до 2 млн руб., 13% — от 2 до 10 млн руб. и 17% — от 10 до 50 млн руб. Большинство промышленных компаний (83%) заявили о готовности восстановить инфраструктуру, не потратив и 0,5 млн рублей, однако такая оценка кажется экспертам Positive Technologies заниженной.
Величина ущерба в случае возникновения инцидента ИБ во многом зависит от готовности компании к реагированию на инцидент и корректности действий сотрудников. Однако в сфере промышленности данное направление находится на не самом высоком уровне. В 23% опрошенных организации из этой сферы отсутствует практика выявления и расследования инцидентов ИБ. В том случае, когда они все же расследуются, 64% компаний занимаются этой работой самостоятельно без привлечения профессионалов. При этом внутренние отделы SOC есть только в 20% промышленных организаций.
Специализированные инструменты обеспечения безопасности также используются достаточно редко — межсетевые экраны уровня приложений (WAF) применяют менее четверти (23%) всех опрошенных промышленных компаний, SIEM-системы — еще меньше (17%).
Регулярные тесты на проникновение (2 раза в год) проводят лишь 13% промышленных компаний, в 44% — они никогда не проводились. В 33% компаний инвентаризация и контроль за появлением небезопасных ресурсов в периметре сети не проводится никогда. В 40% организаций никогда не проводился анализ защищенности корпоративных беспроводных сетей. В 23% промышленных компаний отсутствует контроль установки обновлений софта.
В 17% компаний отсутствует практика мониторинга публикации информации об уязвимостях нулевого дня и поиска их в ИТ-ресурсах компании. В 40% промышленных организаций данные о новых уязвимостях принимаются во внимание, но их исправление откладывается на неопределенный срок — при том, что хакеры готовы к атаке в течение трех дней после объявления об уязвимости.
Только 23% промышленных компаний проводят регулярное обучение сотрудников основам информационной безопасности с последующей проверкой эффективности такого обучения, а 40% компаний не организуют его в принципе.
«Промышленным компаниям, в первую очередь, важна работоспособность используемых систем и непрерывность технологического процесса, а информационная безопасность является делом второстепенным, поэтому и бюджет, выделяемый на обеспечение ИБ, в большинстве случаев не столь значителен, как в государственных или финансовых компаниях, — отмечает Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. — В сфере промышленности любые изменения в инфраструктуре АСУ ТП могут оказать серьезное влияние на технологический процесс, поэтому все дополнительные средства защиты применяются с осторожностью. Кроме того, не всегда существует возможность быстро внести изменения в конфигурацию оборудования и прикладного ПО или установить обновления. И хотя организации знают о проблемах, связанных с ИБ, в настоящее время не все готовы их решать эффективно ввиду нюансов, связанных с используемыми технологиями и внутренними бизнес-процессами, а также в связи с неготовностью руководства вкладывать в безопасность значительные суммы».
Авторы исследования предполагают, что введение в действие федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» внесет существенные положительные изменения в процессы обеспечения защиты промышленных объектов.