«Если кровеносная система цифровой экономики — это данные, то доверие к цифровым технологиям — это ее сердце», — считают эксперты PWC и в продолжение Глобального исследования тенденций информационной безопасности представляют первый выпуск исследования «Доверие к цифровым технологиям». А для обеспечения такого доверия они предлагают десять, на их взгляд, ключевых возможностей.
В новом исследовании эксперты PwC повели речь о том уровне уверенности в людях, процессах и технологиях, который необходим для построения безопасного цифрового мира. И на основе первых его результатов они дают следующие рекомендации.
Эксперты в области безопасности должны участвовать в программах трансформации с самого начала
Девять из десяти участников исследования PwC, чьи компании находятся в процессе цифровой трансформации, утверждают, что включают в него специалистов в области информационной безопасности и защиты данных в качестве основных стейкхолдеров, а также заранее, в процессе формирования проектного плана и бюджета, предусматривают систему управления киберрисками и рисками нарушения конфиденциальности персональных данных. При этом только 53% респондентов со всего мира заявляют, что предупредительные меры по управлению рисками с самого начала являются неотъемлемой частью таких проектов. Среди российских респондентов этот показатель равен 30%.
Повышайте квалификацию сотрудников и руководства
В том, что в их компании ответственность за вопросы кибербезопасности (39%) и защиты данных (40%) в надлежащем порядке закреплена за руководителями высшего звена, полностью уверены менее половины респондентов (в России еще меньше — 24 и 21% соответственно). Примерно такое же количество участников исследования в целом по миру (38%) полностью уверены в том, что их штат специалистов в области кибербезопасности и защиты данных является достаточным. Среди российских респондентов этот показатель для авторов исследования пугающе низок — 14%. При этом только треть респондентов PwC заявляют, что организационная структура и персонал их компаний соответствуют новым и развивающимся требованиям к обеспечению кибербезопасности, защите данных и управлению использованием данных.
Повышайте уровень осведомленности и степень ответственности персонала
Только у 34% участников исследования внедрена программа повышения осведомленности сотрудников о различных аспектах безопасности. При этом обязательное обучение политике защиты данных и ее применение на практике организовано всего у 31% респондентов. Чуть выше показатели по России — 40 и 37% соответственно.
Улучшайте взаимодействие и сотрудничество с советом директоров
Большинство респондентов, отвечающих за поддержание связи с советом директоров по вопросам киберрисков и рисков нарушения конфиденциальности данных, утверждают, что их компания предоставляет совету директоров стратегию обеспечения кибербезопасности (80%) и стратегию защиты данных (83%). В российских компаниях эти цифры немного ниже — 65 и 70% соответственно. В то же время, отмечают эксперты PwC, с тем, что совету директоров предоставляется необходимая отчетность по вопросам, связанным с управлением киберриском и риском нарушения конфиденциальности данных, полностью согласны только 27% от числа всех респондентов по миру и лишь 10% респондентов из России.
Сделайте так, чтобы задачи в области обеспечения информационной безопасности соответствовали общим задачам бизнеса
В то время как руководители компаний активно осваивают бизнес-модели на базе технологий, программы, направленные на обеспечение кибербезопасности, становятся все более оторванными от бизнеса. Только 23% респондентов (14% в России) планируют в ближайший год инвестировать в синхронизацию целей бизнеса со стратегией информационной безопасности.
Формируйте устойчивое доверие к данным
Только примерно половина компаний, стоимостью свыше 100 млн долл. США, делают большие инвестиции в управление данными, в обеспечение прозрачности всех аспектов, связанных с использованием и хранением данных, а также в предоставление субъектам большего контроля над своими данными. При этом многие средние и крупные компании в основных секторах экономики не совсем уверены в том, что им удалось определить свои наиболее ценные и требующие особого обращения цифровые активы. Неудивительно, считают авторы исследования, что в целом процент респондентов по миру, полностью уверенных в том, что они определили (40%) такие активы, почти совпадает с долей тех респондентов, которые утверждают, что в их компании есть специальная программа, направленная на решение данной задачи (43%). В России аналогичные показатели составляют только 11 и 30% соответственно.
Повышайте киберустойчивость
Нарушение или приостановка деятельности компании из-за кибератаки может сразу привести к финансовым потерям, которые зачастую превышают убытки от незащищенности данных и нарастают гораздо быстрее. Когда же компании начнут принимать больше решений на основе данных при помощи искусственного интеллекта, предупреждают аналитики PwC, задача сохранения целостности данных станет еще актуальнее.
Всего около половины средних и крупных компаний в основных секторах экономики утверждают, что ведут активную работу по повышению своей устойчивости к кибератакам и другим дестабилизирующим событиям. Но в том, что их компания соответствующим образом проверила свою устойчивость к кибератакам, уверены менее половины из них.
Знайте своих врагов
Опасения по поводу киберугроз различаются в зависимости от отрасли и размера компании. Так, отмечают авторы исследования, ответы респондентов из числа средних и крупных компаний показывают, что за последний год самый высокий рост обеспокоенности по поводу организованных хакерских групп был отмечен в секторе финансовых услуг (33%), намного больше опасаться киберпреступников стали компании на потребительских рынках (50%), а уровень обеспокоенности по поводу промышленного шпионажа поднялся выше всего в секторе технологий, СМИ и телекоммуникаций (51%). Тем временем полностью уверены, что их компания знает тех, кто может совершить атаку на ее цифровые активы, всего лишь 31% респондентов по всему миру и 14% из России.
Инсайдерские угрозы волнуют относительно крупные компании больше, чем представителей малого бизнеса. Чистый рост уровня беспокойства по поводу инсайдерских угроз среди компаний всех размеров, работающих на потребительских рынках, составляет всего 9%. У игроков потребительского рынка среднего и крупного размера данный показатель превышает 30%. В то же время, отмечают эксперты PwC, среди респондентов из сферы здравоохранения, представляющих компании одного размера, наблюдается более умеренный рост уровня обеспокоенности по поводу инсайдерских угроз, несмотря на данные, приведенные в подготовленном Verizon «Отчете о результатах расследования случаев утечки данных за 2018 г.», согласно которым инсайдерские угрозы в секторе здравоохранения являются серьезной проблемой.
В сфере комплаенс действуйте на опережение
Что касается соблюдения законодательных требований и стандартов, а также этических норм и принципов в цифровой сфере, то, по словам респондентов, самые большие проблемы здесь сводятся к отслеживанию последних изменений законодательства (41% в мире и 32% в России), обеспечению соответствия действующему законодательству (37 и 40% соответственно) и подготовке к соблюдению будущих законодательных требований (34 и 24%). Возможно, по мнению авторов исследования, самый известный пример — это Общий регламент о защите данных (GDPR) ЕС, который вступил в силу в мае 2018 г. Согласно ответам респондентов PwC, к соблюдению требований GDPR полностью готовы менее половины компаний стоимостью более 100 млн долл.
Идите «в ногу» с новыми технологиями
Большинство респондентов PwC (81%) считают, что «Интернет вещей» (IoT) является критически важным как минимум для некоторых видов деятельности, которыми они занимаются. В то же время только 39% полностью уверены в том, что, используя IoT, они применяют достаточные средства контроля, обеспечивающие информационную безопасность, защиту персональных данных и информационную этику, которые позволяют формировать доверие к цифровым технологиям. Среди российских респондентов аналогичные цифры заметно скромнее — 17 и 13% соответственно. Еще 30% по миру и 40% респондентов из России лишь отчасти уверены в достаточности своих средств контроля при использовании IoT.
Кроме того, отмечают эксперты PwC, только 30% всех участников исследования и 24% российских запланировали на этот год инвестиции в безопасность «Интернета вещей».
Еще меньше уверены участники исследования в достаточности имеющихся у них средств контроля в отношении других новых технологий, в частности технологии искусственного интеллекта (ИИ).
Хотя 70% респондентов утверждают, что ИИ является критически важным как минимум для некоторых видов их деятельности, только 31% полностью уверены в том, что, используя искусственный интеллект, они применяют достаточные средства контроля, необходимые для формирования «цифрового доверия». В России эти цифры существенно ниже — 14 и 11% соответственно.
Всего 22% респондентов (13% российских) планируют в ближайший год инвестировать в ИИ как в средство защиты. В то же время среди компаний среднего и крупного размера в секторе технологий, СМИ и телекоммуникаций и секторе финансовых услуг, а также в других отраслях этот процент выше (46 и 40% соответственно).
Эксперты PwC считают необходимым признать, что для ИИ потребуются более эффективные системы управления и новая операционная модель, а также — что последние исследования в области квантовой физики могут оказать огромное воздействие на кибербезопасность и другие сферы. «Пора начать готовиться», — призывают они.
Доля средних и крупных компаний, вовлеченных в масштабный проект по цифровой трансформации и утверждающих, что управление киберрисками и рисками конфиденциальности данных предусмотрено ими с самого начала проекта, %
Сфера деятельности |
Доля |
---|---|
Всего |
53 |
Финансовые услуги |
66 |
Здравоохранение |
65 |
ИТ, СМИ и телекоммуникации |
58 |
Промышленность и производство |
55 |
Энергетика и добыча |
53 |
Потребительский рынок |
49 |
Источник: PwC |