Большинство российских предприятий по-прежнему формально подходят к вопросам информационной безопасности, ориентируясь лишь на требования регуляторов, и не готовы противостоять реальным киберугрозам. К такому выводу пришли аналитики компаний «К2Тех» и Positive Technologies, опросившие около 400 специалистов, преимущественно руководителей ИБ- и IT-подразделений средних и крупных организаций, сообщает ТАСС со ссылкой на исследование.

Лишь 20% респондентов подтвердили, что их предприятия внедрили собственные стандарты ИБ, учитывающие актуальные тренды атакующих. Это, по мнению аналитиков, свидетельствует о серьёзном отношении к кибербезопасности. Ещё у 15% опрошенных есть задокументированные и регулярно тестируемые сценарии реагирования на инциденты. При этом треть компаний вообще не проверяет свою киберзащиту, а регулярные проверки на уязвимости проводятся только в 40% организаций.

Особую тревогу вызывает кадровый аспект: у 76% компаний обучение сотрудников основам кибербезопасности находится «в слепой зоне». Процесс либо отсутствует полностью, либо проводится крайне редко и формально — при приёме на работу или уже после случившегося инцидента.

Стратегическое планирование в области безопасности также оставляет желать лучшего. У 91% компаний в корпоративной стратегии не учитываются киберриски для бизнеса и возможные потери от атак. Следовательно, только 9% организаций закладывают эти риски в задачи и бюджет на безопасность.

«У большинства объём расходов на кибербезопасность формируется просто исходя из числа сотрудников или общего объёма ИТ-бюджета. Поэтому многие продолжают ориентироваться на внешнюю экспертизу ИБ-интеграторов», — поясняется в исследовании. Аналитики резюмируют, что российские компании пока плохо подготовлены к реальным угрозам и не понимают, как защищать себя самостоятельно.