Компания «Лаборатория Касперского» опубликовала результаты социологического исследования под названием «Информационная безопасность бизнеса», в котором участвовало 4303 специалиста из компаний с более чем 50 сотрудниками из 31 страны включая Россию. В соответствии с опубликованными результатами 42% российских компаний сталкивались с невозможностью запустить новые проекты из-за недостатка знаний о возможных киберрисках и понимания, как их предотвратить. Чаще всего неосведомленность о возможных методах организации защиты приводила к отказу от внедрения новых ИТ-решений (31%), старта планируемых бизнес-проектов (29%) и изменений в корпоративной политике (28%). Таким образом, можно констатировать, что инновации могут буксовать в том числе и по причине неуверенности в качестве защитных решений, хотя ИБ-индустрия предлагает для этого самые разнообразные продукты и сервисы.
Рекомендации бывалых
При развитии или трансформации бизнеса важно расширять и защиту от киберугроз. Появление дочерних компаний, разработка новых продуктов, цифровизация, переход на удаленную работу требуют реорганизации корпоративных сетей с точки зрения ИБ. Чаще всего возникает необходимость внедрить дополнительные инструменты защиты, увеличить количество лицензий и изменить корпоративную политику безопасности. Однако 62% компаний не могли найти подходящее защитное решение по разным причинам, среди которых — его несовместимость с имеющимся оборудованием (32%), трудности с обслуживанием (31%), проблемы с производительностью (27%). Такие осложнения наиболее характерны в случаях, когда речь идет о специализированном ПО, например промышленном или используемом в интернете вещей.
Эксперты компании НПО «Адаптивные Промышленные Технологии» (НПО АПТ), которая является дочерней структурой «Лаборатории Касперского», рекомендуют придерживаться следующей стратегии: выбирать защитное решение стоит после изучения результатов тестов независимых лабораторий, таких как AV-TEST, NSS Labs, SE Labs, AV-Comparatives и ICSA, а также отзывы пользователей, например Gartner Peer Insights; передавать на аутсорсинг наиболее сложные задачи в области кибербезопасности, такие как активный поиск угроз (Threat Hunting), расследование инцидентов и реагирование на них; использовать для промышленных систем управления (АСУ ТП) сервисы анализа угроз с базами уязвимостей, например Kaspersky Threat Intelligence Portal; опираться на оценку зрелости безопасности IoT-решений в случаях с проектами, связанными с интернетом вещей; обращать внимание на системы, спроектированные в модели «безопасность по умолчанию» (secure-by-design).
«Кибербезопасность должна способствовать поддержке новых бизнес-инициатив, а не их сдерживанию, — считает генеральный директор НПО АПТ Андрей Суворов. — Для этого следует индивидуально оценивать киберриски для каждого новаторского решения и подбирать адекватные им меры защиты. В критически важных системах, таких как промышленный интернет вещей, мы рекомендуем применять в тандеме с классическими методами — сегментацией сети, защитой узлов и повышением киберграмотности сотрудников — также и кибериммунный подход. Решения, в основе которых он лежит, имеют врожденную устойчивость к кибератакам, и это позволяет получить дополнительных сторонников подхода внутри команд заказчиков из числа топ-менеджеров».
Безопасные инновации
Сейчас ИТ-ландшафт очень сильно меняется. Компаниям приходится переходить на совсем другие решения, чем те, к которым долго привыкали и которые хорошо знают. При таком ускоренном переходе на отечественные инновационные решения есть очень большой шанс построить слабо защищенную конфигурацию или допустить просчет в системе безопасности, которым могут воспользоваться злоумышленники. Да к тому же именно злоумышленники сейчас очень активизировались в атаках против российского бизнеса. Поэтому при быстром внедрении инноваций в современных условиях важно обеспечить безопасность полученного решения и сохранить для дальнейшего развития наиболее ценные данные. Это можно сделать с помощью использования наиболее проверенных и автоматизированных ИБ-решений, а также за счет привлечения аутсорсинговых специалистов. Благо и тех, и других в России достаточно.
