58% российских компаний не обучают сотрудников правилам IT- безопасности

[CyberWriter]

Более половины (62%) компаний в России инвестируют в защитное программное обеспечение и обновление IT-инфраструктуры для предотвращения инцидентов кибербезопасности. Об этом говорят результаты исследования, проведенного «Лабораторией Касперского» совместно с аналитической компанией B2B International.
Вместе с тем инвестиции в одни только технические средства не гарантируют стопроцентную защищенность. Поэтому помимо развертывания дополнительных программных и аппаратных решений компании стали уделять значительное внимание человеческому фактору, недооценка которого может привести к серьезным последствиям. Второй по популярности мерой защиты корпоративных сетей является обучение сотрудников правилам безопасной работы с IT-системами – 42% компаний поступают именно так. Наконец, 29% набирают новый персонал, в обязанности которого входит предотвращение утечки данных.
Крупный бизнес, обладая значительным количеством ресурсов, инвестирует в предотвращение инцидентов гораздо больше средств. При этом распределение расходов небольших компаний и крупных корпораций на эти меры сохраняют примерно одни и те же пропорции. Так, корпорации вкладывают в развитие ИТ-инфраструктуры в 74% случаев, тогда как малые предприятия – в 60%, внимание обучению сотрудников уделяют 55% первых и 40% вторых, в подбор дополнительного персонала инвестируют 42% крупных компаний и 28% небольших организаций.
Объемы затрат представителей СМБ-сегмента и крупного бизнеса на меры по предотвращению киберинцидентов заметно отличаются. Так, подбор дополнительного персонала для обеспечения информационной безопасности обходится малым и средним компаниям в 5 тыс. долларов, тогда как корпорации расходуют в 15 раз больше – до 75 тыс. долларов. В среднем на обучение сотрудников небольшие предприятия тратят около 4,5 тыс. долларов, корпорации же – около 34 тыс. долларов. Наконец, усовершенствование аппаратно-программных средств защиты IT-инфраструктуры обходится крупным компаниям всего в два раза дороже, чем СМБ-предприятиям: около 13 тыс. и 6 тыс. долларов соответственно.
«Полноценная система защиты ИТ-инфраструктуры компании должна включать в себя целый комплекс мер, как технических, так и организационных. Часто слабым звеном оказывается человек, поэтому важно разрабатывать политики безопасности, начиная с элементарных правил поведения в сети рядовых сотрудников, – говорит Руслан Стоянов, руководитель отдела расследования киберпреступлений «Лаборатории Касперского». – Если инцидент все же случился, крайне важно на него оперативно отреагировать. Для таких случаев у компании должны быть внутренние регламенты, определяющие схему работы всех служб, что поможет в максимально короткие сроки восстановить работоспособность систем, свести к минимуму убытки и предотвратить возникновение подобных инцидентов в будущем».
Для комплексной защиты IT-инфраструктуры от внешних угроз «Лаборатория Касперского» предлагает линейку продуктов Kaspersky Security для бизнеса, предназначенную для обеспечения безопасности всех узлов сети. В едином решении применяются средства контроля и защиты рабочих мест, шифрования данных, управления мобильными устройствами, средства системного администрирования, а также предусмотрена защита почтовых серверов, интернет-шлюзов и серверов совместной работы.

anti-malware.ru

[Val_Ery]

Интересная статистика

По моим наблюдениям (а моё ИМХО не имеет абсолютно никакой ценности) в нашей деревне мелкий бизнес (да и большая часть среднего) не вкладывает денег не то, что в обучение... У них и антивирусы-то - для домашнего использования

А вот вкладывают - исключительно госструктуры. Ну, это и понятно, в россии живём Самый последний пример, который правда к безопасности не имеет никакого отношение, но зато прекрасно иллюстрирует, как это делается - Zabbix.
"На HP-шное ПО денег не выделят, да мы его уже покапали, спецы из москвы ничего не настроили... это бесплатное? плохо... а! тогда на обучение денег выбьем "

Теперь о IT-безопасности.
Понимание безопасности - у каждого своё: у админа, у которого всё в джайлах, одно, у разработчиков ПО второе, а у государственных мужей оно третье! И о какой безопасности говорят представители ЛК и о каком обучении?

Ровно неделю назад ростелеком совместно с мелкософтом и 1с провел видео-конференцию по облачным технологиям для 16 городов центра россии. Я присутствовал на том мероприятии в качестве приглашенного лица, представитель "от бизнеса", так сказать

Ну, понятно - была реклама ростелекомового облака, сопровождаемая словами "более 70% госструктур - наши", "подмяли Зеленоград..." и "теперь нам отдали госучреждения москвы..." и т.д. в том же духе. Понятно, что ростелеком, как государственная компания, освоив немеренное количество бюджетных средств на организацию защиты данных для госучреждений, должен "компенсировать" хотя бы часть затрат и обеспечить не слишком обременительное для бюджета хранение данных в будущем - этим и вызвано приглашение на сиё мероприятие "представителей от бизнеса"...

Так вот, докладатель от ростелекома более часа рассказывал о безопасности... О сертификации (в спецслужбах)... О соответствии российскому законодательству... Вспомнил банальное воровство, которое имело место быть в случае с теперь уже трудоустроенным в РФ товагищем Сноуденом... Сыпал цифрами, показывающими каким законам они соответствуют, и сертификатам от фсб, которым они удовлетворяют...

Все докладчики использовали один главный аргумент, который по их мнению, должен был привлечь внимание частного бизнеса - отсутствие затрат на содержание своего штата IT-специалистов.
Представитель от 1с (а в облаке есть 8-ка) честно так заявил "все вопросы будете обсуждать с менагерами от ростелекома: начиная от лицензирования и обсуждения тарифных планов до решения конкретных задач в самой конфигурации программы"...
А, видимо, блондинистая дамочка от мелкософта вообще заявила, что, используя Share Point, создать корпоративный портал сможет обычный сотрудник вашей организации без привлечения всяких создателей сайтов и дизайнерских контор, приводя в пример портал, созданный для Нашей областной администрации (эх... не знает она многого...)

Я не поверил. Поэтому зашел на head hunter и посмотрел вакансии от ростелекома в нашем регионе: Инженер технической поддержки - 14 000 рублей Это в 250 км от москвы!

То есть. Безопасность моих данных будет обеспечивать "зеленый юнец" за 14 килорублей в месяц? И решать попутно все мои проблемы? Почему "юнец"? А какой Специалист пойдет работать на такие деньги в одном из самых дорогих городов центра россии?
Да, ещё момент... Остальные вакансии зарплатой не сильно отличаются. Разве что у "заключателей" договоров

И в заключении - о дискуссии, которая возникла в конце мероприятия. И имеет прямое отношение к вопросам безопасности, ИМХО.
Присутствующие поняли: главная проблема с безопасностью на сегодняшний день - обычное воровство данных "обиженными" субъектами. Сноудена, того же, зачем-то вспомнили...
Докладчикам был задан конкретный вопрос (причиной его стало постоянное упоминание сертификатов от ФСБ): "в моих данных поселятся сотрудники спецслужб?"
(следующий диалог НЕ является точной копией слов, там прозвучавшей; ну не было у меня с собой диктофона )

Ответ: — Если чего-то боитесь — шифруйтесь. В нашем облаке используются сертифицированные средства криптографии, любое из них — вам в помощь.
Вопрос: — Сертифицированные средства предполагают наличие «дыры» для сертифицирующих органов…
Ответ: — Ну, мы же не заставляем вас работать в нашем облаке… Вы можете выбрать выделенный сервер за границей. И вообще, что вам не нравится? Спецслужбы всегда следили за вами, каждый провайдер имеет для этого специализированное оборудование в соответствии с федеральным законом… Что изменилось сейчас, что заставило вас задуматься об этом?
Вопрос: — Сохранность и конфиденциальность моих данных! Будем шифровать…
Ответ: — А! Значит вам есть, что скрывать? Если скрывать нечего, что вас смущает? (крик в зале - "призюмпция виновности смущает!") Пожалуйста, сервер за границей… Шифрованный трафик…
(А теперь, внимание…)
Ответ: — Но учтите, запрет на экспорт криптографии никто не отменял. И если вы сейчас имеете возможность использовать шифрованный трафик, то только потому, что это пока никому не интересно. Учтите, что это может просуществовать ещё совсем не долго…

А теперь выводы...
ЛК, как один из сертифицированных для использования госструктурами в рф разработчиков (например, на компьютер секретчика в нашей мэрии по закону можно поставить только антивирус Касперского, правда там возникают вечные проблемы с обновлениями и продлениями, так как комп не имеет выхода в сеть в принципе, а подключение внешних устройств запрещено ) собирает данные об использовании их продуктов. На основании этих данных делает какие-то выводы...

А реальность намного прозаичней.
Если я хочу обеспечить соблюдение тайны и секретности для своей конфиденциальной информации и того, что называется "коммерческой тайной", я не имею права использовать средства, несертифицированные спецслужбами нашей родины.
В моем понимании безопасность - это когда только я!
Здесь же получается:
- использовать НЕсертифицированное ... карается;
- использовать "забугорное" ... карается;
- создание средств криптографии без сертификации ... карается;
- оказывать услуги ... карается
- и т.д.
Единственная "отдушина" - это если сможешь доказать, что vds через vpn в Голландии используется в "личных нуждах". Но в силу того, что понятие само не регламентировано и не описано - пров тебе просто перекроет шифрованный траф, ибо для фсб дыры опенсорсники не предусмотрели...

И теперь объясните мне, в чем смысл проведения обучения IT-специалистов по безопасности в условиях, когда использование cisco в госструктурах, по сути, запрещено (ведь есть сертифицированный вип-нет), когда , опять же по сути, впариваются системы документооборота, когда сохранность и недоступность для третьих лиц твоих данных зависит от наличия дыры в ПО для спецорганов, когда любое твоё желание сохранить свои данные рассматривается с точки зрения "тебе что, есть что скрывать?", когда сам смысл использования таких специалистов теряется в силу государственного стремления загнать "коммерцию" в дешевое и подконтрольное облако?