Только 20% компаний в РФ внедрили собственные стандарты кибербезопасности

Российские компании нужно стимулировать внедрять собственные стандарты информационной безопасности. Наиболее эффективен риск-ориентированный подход, когда компании сами понимают практическую ценность таких мер. Также критически важен вопрос подготовки профильных сотрудников, сказал в беседе с «СенатИнформ» замглавы Совета по развитию цифровой экономики при СФ, первый зампред Комитета верхней палаты по конституционному законодательству и госстроительству Артём Шейкин.

ТАСС со ссылкой на опрос компаний«К2Тех» и Positive Technologies, сообщает, что только 20% компаний в России внедрили собственные стандарты информбезопасности с учётом актуальных трендов атакующих, а не ограничились только «формальным» прохождением аудита ИБ.

Ещё у 15% есть сценарии реагирования на инциденты, которые постоянно тестируют и совершенствуют, а треть компаний вообще не проверяет свою киберзащиту. Регулярно испытывают системы на уязвимости 40% компаний.

Также сообщается, что у 76% организаций обучение работников кибербезопасности либо отсутствует полностью, либо проводится очень редко и формально.

«В большом числе компаний кибербезопасность всё ещё воспринимается скорее как формальное соответствие требованиям, а не как полноценная система управления рисками. И это сегодня одна из главных проблем», — сказал в разговоре с нашим изданием сенатор Шейкин. По его словам, современные атаки развиваются значительно быстрее, чем классические регуляторные циклы, поэтому одного только прохождения аудита или выполнения минимальных требований уже недостаточно.

Особенно показательно, по мнению парламентария, что многие организации по-прежнему не связывают информационную безопасность с прямыми бизнес-рисками — простоями, утечками, репутационными потерями или остановкой процессов. «Пока кибербезопасность воспринимается как исключительно ИТ-задача, а не основополагающий аспект общей устойчивости бизнеса, компании объективно остаются более уязвимыми», — сказал Шейкин.

В то же время, говорить, что бизнес совсем не занимается защитой, тоже неправильно. За последние годы уровень внимания к этой теме серьёзно вырос. Но сейчас рынок постепенно приходит к пониманию, что формального соответствия требованиям уже недостаточно: необходимы собственные сценарии реагирования, регулярные проверки защищённости, обучение сотрудников и адаптация защиты под реальные угрозы, отметил парламентарий.

«Нужно стимулировать компании внедрять собственные стандарты информационной безопасности. Но здесь важно не уходить исключительно в сторону дополнительного давления или формальной отчётности», — предостерёг законодатель. На его взгляд, наиболее эффективен рискориентированный подход, когда компании понимают практическую ценность таких мер для собственной устойчивости. Это может включать отраслевые рекомендации, обмен информацией об угрозах, развитие киберучений, страховых механизмов, а также поддержку внедрения современных решений для представителей малого и среднего бизнеса, которым зачастую сложнее самостоятельно выстраивать зрелую систему защиты.

И, конечно, критически важен вопрос подготовки сотрудников. Даже самая технически сильная инфраструктура не спасает, если персонал не умеет распознавать фишинг, правильно реагировать на инциденты или соблюдать базовые правила цифровой гигиены

Артём Шейкин, первый зампред Комитета СФ по конституционному законодательству и госстроительству

Сегодня человеческий фактор остаётся одной из главных точек входа для атакующих хакерских группировок, поэтому обучение должно стать постоянным процессом и неотъемлемой частью корпоративной культуры безопасности, подытожил сенатор.

Ранее в СФ предложили предусмотреть льготы для бизнеса, использующего надёжную киберзащиту. Сенатор Владимир Кравченко полагает, что с предпринимателями нужно вести более активную информационную работу, предупреждая о возможных последствиях и убытках, к которым могут привести утечки данных.

Спикер СФ Валентина Матвиенко говорила, что Минцифры необходимо оперативно реагировать на вызовы и угрозы, а не вдогонку бежать за ситуацией, которая складывается с уровнем кибермошенничества и утечки персональных данных.