Компанія Sophos опитала керівництво компаній DA-CH у секторах роздрібної торгівлі, послуг і виробництва щодо важливості ІТ-безпеки. Один момент — різниця в розмірі компанії: чим більша компанія, тим менш близька тема для генерального директора.
Існує багато вагомих причин для того, щоб стратегічно оголосити безпеку даних у компаніях і організаціях головним пріоритетом: починаючи зі зростаючої складності корпоративних ІТ, правил захисту даних, роботи з дому, мобільної роботи та інтеграції IOT (Інтернет речей). ) через помітні кібератаки на великі компанії або вплив хакерських груп на політичні події через спеціалізовані кібератаки на критичні інфраструктури чи вразливі сектори, такі як охорона здоров’я. Це випадкові приклади, список довгий. Тому серед спеціалізованих кіл все частіше виникає вимога зробити захист корпоративних ІТ питанням управління.
Важливість ІТ-безпеки для генерального директора
Але наскільки важливою є тема ІТ-безпеки на вищому рівні керівників німецьких, австрійських та швейцарських компаній? Наскільки високо керівництво компаній оцінює ризик атак кіберзлочинців і на які наслідки для операційного бізнесу через хакерські атаки вони найімовірніше очікують? Чи впливає поточна глобальна політична ситуація на сприйняття та рішення щодо ІТ-безпеки?
Компанія з ІТ-безпеки Sophos хотіла з’ясувати ці та низку інших аспектів у широкому дослідженні. На початку літа цього року інститут дослідження громадської думки Ipsos провів опитування вищих і вищих керівників (C-Level) у трьох країнах. ІТ-персонал був чітко виключений з цього.
Основні висновки дослідження
- ІТ-безпека не є головним пріоритетом у Німеччині. ІТ-відділи відповідають. Третина компаній покладаються на зовнішні ІТ-послуги.
- Глобальна політична ситуація та війна мало впливають на обізнаність керівників щодо безпеки. Лише третина вважає, що поточна геополітична ситуація загострює увагу на ІТ-безпеці.
- Керівницькі поверхи відчувають себе в безпеці, коли йдеться про ІТ-безпеку. Більшість зазначає, що вони добре готувалися протягом тривалого часу.
- Менеджери рівня C очікують, що кібератаки матимуть, зокрема, економічні наслідки. Основна увага приділяється витратам на відновлення або порушенням комерційних процесів. Дуже мало хто очікує втрати клієнтів і співробітників або можливих збоїв у ланцюзі поставок.
- Компанії в Німеччині, Австрії та Швейцарії з дуже схожими результатами
ІТ-безпека – це не справа боса, ІТ – це обов’язок
🔎 Опитування: чи ІТ-безпека – справа керівника? (Зображення: Sophos).
Переважна більшість опитаних менеджерів (близько 81 відсотка) стверджують, що вони мають високий або дуже високий рівень обізнаності щодо ІТ-безпеки. Відповідно до інформації, наданої всіма опитаними, у більшості компаній (понад 60 відсотків) протягом останніх трьох років ІТ-безпека була розміщена на вищому або найвищому ієрархічному рівні.
Тут виявляється цікаве протиріччя, оскільки коли йдеться про реальну відповідальність за ІТ-безпеку, вимальовується інша картина, що цілком очікувано: чим більша компанія, тим менше відповідальності несе керівництво. Це стосується, перш за все, компаній із понад 200 співробітниками, де лише 1,9 відсотка опитаних заявили, що ІТ-безпека знаходиться на рівні керівництва чи правління. Це значення значно вище в невеликих компаніях із кількістю співробітників до 199 осіб і в роздрібній торгівлі, де керівник все ще бере особисту участь приблизно на 22 відсотках.
У великих компаніях 49,1 відсотка основної відповідальності за кібербезпеку лежить на власному ІТ-відділі, тоді як 36,5 відсотка невеликих компаній також мають власні ІТ-команди. З 35,8% у великих і 33,1% у менших компаніях добра третина всіх компаній передає відповідальність за свою ІТ-безпеку зовнішнім постачальникам послуг.
Ефект маленької України – ти думаєш, що ти в безпеці
Звичайно, Sophos також прагнув з’ясувати, чи змінилося сприйняття та важливість ІТ-безпеки за останні два роки з огляду на глобальну політичну ситуацію та нинішню війну в Європі, яка вирувала задовго до того, як фактично почалися військові дії. конфлікт на кіберрівні роки змінилися. 23 відсотки опитаних із компаній із понад 200 співробітниками та майже 36 відсотків із невеликих компаній підтвердили, що кібербезпека стала ще важливішою.
- Однак більшість людей усе одно відчуває себе в безпеці: 53 відсотки менших і навіть майже 70 відсотків великих компаній стверджують, що за останні два роки нічого не змінилося в обізнаності з темою кібербезпеки і що вони вже мали хороші можливості для цього.
- Існує також задоволення щодо існуючих структур ІТ-безпеки в компанії: 62,2 відсотка стверджують, що їхня компанія добре або дуже добре захищена від кібератак, для осіб, які приймають рішення у віці до 45 років, це значення навіть на 2,5 відсоткових пункти вище.
- Цілих 58 відсотків вважають напад кіберзлочинців на їх компанію ймовірним або дуже ймовірним, і майже 39 відсотків вважають цей випадок досить малоймовірним.
Наслідки кібератак: додаткові витрати
Що стосується наслідків кібератаки, то найбільш часто згадуваним занепокоєнням у німецьких виконавчих поверхах є пов’язані з цим витрати – наприклад, через необхідне відновлення бізнес-операцій. Можливі перерви в комерційних процесах є другим за поширеністю фокусом.
Тут є цікавий аспект: загалом навіть менше респондентів (23 відсотки) підозрюють проблеми в контексті ланцюжка поставок, ніж можливу втрату іміджу (28 відсотків). Лише в обробній промисловості, і це не є великою несподіванкою, майже 37 відсотків опитаних припускають, що це може вплинути на ланцюги поставок.
З іншого боку, лідери не надають великого значення втраті клієнтів або співробітників в результаті кібератак: 19,4 відсотка очікують втрати клієнтів і ще менше (1,5 відсотка) бояться втратити співробітників.
Неплатоспроможність (9,5 відсотка) та штрафи через порушення захисту даних (5,5 відсотка) також навряд чи сприймаються як ризики, лише у Швейцарії тут трохи більше занепокоєння: майже 22 відсотки очікують неплатоспроможності, а 11,8 відсотка очікують сплати штрафів як можливих наслідків. кібератак.
Висновок: на міжнародному рівні (на жаль) схожа картина
«Результати в регіоні DACH, хоч і розчаровують, узгоджуються з тим, що ми бачимо в Північній Америці, АСЕАН та інших регіонах», — сказав Честер Вишневскі, головний науковий співробітник Sophos, коментуючи результати дослідження. «На жаль, коли безпека управляється як частина ІТ, вона зазвичай відводиться до статусу завдання, а не пріоритету. Роль команди безпеки полягає у виявленні ризиків і допомозі Правлінню визначити пріоритетність цих ризиків, тоді як роль ІТ-відділу полягає у впровадженні необхідних змін на основі способів усунення цих ризиків».
Щодо важливості ІТ-безпеки на тлі глобальної політичної ситуації, здається, у всьому світі панує одностайність. Вишневський: «Війна в Україні насправді не змінила ставлення, за винятком критичної інфраструктури США. Агентство США CISA посилило зусилля для покращення обізнаності про безпеку та, у деяких випадках, вимог до звітності для постачальників критичної інфраструктури, але жодних серйозних проблем чи дій за межами США чи в інших організаціях приватного сектора не спостерігається».
Про опитування
Від імені Sophos Ipsos опитав 201 керівника рівня С із торгівлі, послуг і виробництва в Німеччині та по 50 в Австрії та Швейцарії на предмет ІТ-безпеки в їхніх компаніях.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.