
Как компании поддерживают непрерывность процессов
Нас интересовало, как компании используют механизмы обеспечения непрерывности, работают с киберинцидентами и управляют событиями безопасности. Вот что показало исследование.
Зрелость кибербезопасности на самом высоком уровне в финсекторе и транспорте
Кибербезопасность лучше всего развита в крупных компаниях, особенно у субъектов критической информационной инфраструктуры (КИИ). Таких предприятий много в финсекторе и транспорте. Здесь процессы кибербезопасности формализованы и задокументированы, частично можно измерить их эффективность. В большинстве организаций из остальных отраслей процессы выполняются на регулярной основе, но все еще не формализованы.
Работа с инцидентами — наиболее развитое направление кибербезопасности
У компаний из нашей выборки лучше всего развито управление киберинцидентами. Только пятая часть компаний работает с инцидентами стихийно, а у остальных предприятий, в особенности из финсектора, транспорта, медиа/e‑commerce и ритейла, процесс хорошо организован. Управление событиями безопасности проработано чуть хуже во всех отраслях, кроме финсектора и транспорта. Сказывается, что некоторые компании собирают события, но не анализируют их.
IT‑отрасль показывает самую заметную динамику роста
За последние пару лет мы заметили значительные изменения только в IT‑сфере. Изначально ориентированные на рост, а не на устойчивость, компании этой отрасли постепенно повышают уровень зрелости. В рамках управления инцидентами и непрерывностью бизнеса они переходят от бесконтрольных процессов кибербезопасности к регулярным процедурам.
Мы оценили зрелость кибербезопасности компаний по трем направлениям:
- Управление непрерывностью бизнеса.
- Управление инцидентами.
- Управление событиями безопасности.
Эти направления тесно связаны. Непрерывность бизнеса зависит от оперативности реагирования на инциденты. В свою очередь, своевременное реагирование невозможно без качественного мониторинга событий.
Оценку зрелости мы составили по результатам анализа кибербезопасности для наших клиентов, от стартапов до крупных компаний. В выборку попали 263 организации из семи отраслей: финансы, медицина, транспорт, медиа/e‑commerce, телекоммуникации, ритейл и IT.
По каждому из трех направлений мы поставили оценки от 0 до 5
0 — процесс кибербезопасности полностью отсутствует, а работы по развитию этого направления не ведутся
1 — процесс не формализован, постоянно изменяется, шаги выполняются бесконтрольно
2 — процесс выполняется на регулярной основе, но все еще не формализован
3 — процесс формализован: разработаны и внедрены регламентирующие документы, определены границы, владелец и исполнители
4 — процесс измерим: происходит анализ и совершенствование, можно оценить эффективность
5 — процесс регламентирован, выполняется, измерим и постоянно улучшается
Впервые мы провели подобное исследование в 2020 году
В рамках этого направления мы оценивали механизмы BCM, такие как применение анализа воздействия негативных событий на ключевые бизнес‑процессы (BIA, business impact analysis), использование средств резервирования данных, разработка планов обеспечения непрерывности и процедур восстановления (DRP, disaster recovery plan).
Такие механизмы помогают адаптироваться к изменениям и планировать действия на случай внезапных происшествий, например если поставщик услуги уйдет с рынка, случится утечка данных или просто процессы встанут на полдня из‑за отключения электричества.
Наши данные показывают: 40% российских предприятий сталкиваются с критическими инцидентами, из‑за которых важные бизнес‑процессы могут остановиться более чем на 4 часа. При этом, несмотря на эффективность BCM, 83% компаний не имеют плана по обеспечению непрерывности бизнеса и восстановлению процессов. Часто организации не видят в этом необходимости. Только некоторые крупные корпорации вводят практики BCM во внутренние стандарты. Единицы компаний сертифицируют системы менеджмента непрерывности бизнеса: например, в 2021 году в России действовали 3 сертификата ISO 22301
Управление непрерывностью бизнеса: оценка уровня по отраслям
Лучший результат в рамках этого направления показывает финсектор с оценкой 3,4 из 5. Компании финсектора, в первую очередь банки, уделяют особое внимание BCM — для них непрерывность бизнеса критична. Если система простаивает в течение даже короткого времени, банки не могут проводить операции и теряют деньги. К тому же существуют дополнительные требования по управлению рисками для банков, например основанные на стандартах Базельского комитета по банковскому надзору.
Вопросы непрерывности бизнеса хорошо проработаны и в транспортной отрасли (3,1). Здесь у компаний нет цели соответствовать всем формальным требованиям, главное для них — обеспечить бесперебойность логистики.
В IT‑отрасли заметен наибольший прогресс: за два года средняя оценка выросла с 1 до 2, потому что компании исправили наиболее грубые ошибки и стали догонять остальных. IT‑отрасль состоит в основном из стартапов: они не такие зрелые, как компании из финсектора, но теперь все больше внимания уделяют этому направлению.
На последнем месте ритейл (1,5). На оценку в этой отрасли влияют изменения в логистике и то, насколько стабильно работают площадки для продаж. Когда есть агрегированные площадки и внешние логистические компании, у ритейлеров нет стимула становиться более зрелыми в сфере кибербезопасности, поэтому уровень остается низким. В случае непредвиденного сбоя компании не смогут быстро восстановить работу и потеряют деньги из‑за простоя.
Инцидент кибербезопасности — это любое событие, которое нарушает сохранность информации: от утечки паролей до шифрования данных и остановки бизнес‑процессов. В рамках этого направления мы оценивали, как компании планируют, реализуют и улучшают процессы по управлению инцидентами.
Работа с инцидентами — это циклический процесс, который включает:
- предотвращение,
- обнаружение,
- реагирование,
- восстановление,
- анализ инцидента и извлечение уроков.
Это направление хорошо развито у субъектов КИИ. Регулятор требует
Почти 20% компаний из нашей выборки работают с инцидентами стихийно, не имея четкого плана. Но если заранее определить уязвимые места в инфраструктуре и разработать комплекс мер по реагированию, это позволит минимизировать или нейтрализовать ущерб от действий злоумышленников.
Управление непрерывностью бизнеса: оценка уровня по отраслям
В этом направлении оценки в целом выше, чем в остальных. Лидирует финсектор (3,4), на втором месте с примерно одинаковыми оценками — медиа/e‑commerce, транспорт и ритейл, а на третьем — телекоммуникации, медицина и IT.
Наибольший прогресс демонстрирует IT‑сфера: за предыдущий год оценка выросла с 1,5 до 2,4. Это связано с тем, что в выборку пришли более зрелые компании с высокими оценками, а наши давние клиенты выполнили рекомендации в рамках аудита и повысили свой уровень зрелости.
В рамках этого направления мы оценивали, как компании регистрируют события, контролируют журналы, разрабатывают порядок мониторинга инфраструктуры и анализируют собранные данные. Управление событиями — основа управления киберинцидентами.
По нашим данным, 4 из 5 компаний логируют события внутренних систем, при этом только 1 из 3 анализирует собранные данные. Но именно ручной или автоматический анализ журналов позволяет найти среди событий признаки атаки до того, как злоумышленники успеют причинить бизнесу реальный ущерб.
Управление событиями безопасности: оценка уровня по отраслям
Самая высокая оценка в рамках этого направления — у финсектора (3,5). Здесь процессы выполняются, хорошо задокументированы, частично можно измерить их эффективность. Опять же, это связано со строгим банковским законодательством: контролируется каждая операция.
Зрелость транспортной отрасли также находится на хорошем уровне (3). Здесь много крупных компаний, в которых процессы формализованы и разработана регламентирующая документация.
Остальные отрасли находятся практически на одном уровне с оценками от 2 до 2,3. Здесь процессы управления событиями регулярно выполняются. Но из‑за того, что это в основном небольшие компании, процедуры не зафиксированы на бумаге.