О том, что бизнес уделяет кибербезопасности всё больше внимания, говорит и то, что доля расходов на информационную безопасность в IT-бюджетах достигла почти четверти (23%). В России этот показатель меньше, однако рост также наблюдается — с 15% в 2016 году до 17% в 2017. При этом средний IT-бюджет российской компании составил 400 миллионов рублей для крупного бизнеса и 4,6 миллиона — для среднего и малого.
Такая тенденция объяснима, ведь ущерб от киберинцидентов также растёт. По данным «Лаборатории Касперского», в 2017 году ликвидация последствий одного киберинцидента обошлась компаниям среднего и малого бизнеса в 87,8 тысячи долларов (для России — 1,6 миллиона рублей). Год назад этот показатель составлял 86,5 тысячи. В случае с корпорациями цифра выросла ещё сильнее — с 861 тысячи долларов до 992 тысяч (в России — с 15 миллионов рублей до 16,1 миллиона).
Однако рост вложений в кибербезопасность нельзя считать панацеей. Зачастую самый серьёзный ущерб компании испытывают от инцидентов с участием третьих сторон. В случае со средним и малым бизнесом инциденты с инфраструктурой, размещённой на оборудовании третьей стороны, стоили российским компаниям до 17,2 миллиона рублей. Крупные корпорации теряли до 4,4 миллиона рублей в результате утечек, связанных с поставщиками, с которыми компании обмениваются данными, и до 19 миллионов из-за инцидентов, затрагивающих облачные сервисы сторонних вендоров.
Как только компания даёт другой организации доступ к своим данным или инфраструктуре, слабые места одной из них могут повлиять на обе стороны. Это значит, что бизнес должен не только вкладываться в собственную защиту, но и уделять внимание состоянию защиты своих партнёров.
Эта проблема становится ещё более важной в свете того, что сейчас правительства многих стран вводят законы, которые обязывают компании отчитываться о произошедших инцидентах, а также о том, как они защищают персональные данные пользователей.
«Киберинциденты с участием третьих сторон опасны для предприятий любого размера, а финансовый ущерб от них может многократно превышать средние показатели. Ландшафт киберугроз развивается и меняется очень быстро, и часто бизнес вместе с законодательством за этими переменами просто не успевают. А когда новые инициативы типа европейского GDPR или российского закона о безопасности КИИ вступают в силу, в случае несоответствия им бизнес может ожидать ещё один удар по бюджету в виде штрафов. Поэтому тут важно следить за процессом и быть в курсе отраслевых тенденций», — отметил Сергей Земков, управляющий директор «Лаборатории Касперского» в России и СНГ.