У 77% компаний нет аварийного плана реагирования на кибератаки

Экспертиза RedSys

На глобальном рынке у 77% компаний отсутствует официально утвержденный аварийный план реагирования на кибератаки, говорится в исследовании IBM. Компании предпочитают действовать по ситуации и в большинстве своем верят, что квалификация их ИБ-персонала достаточная для правильной реакции.


Беззащитные перед атаками

На глобальном рынке у 77% компаний отсутствует аварийный план реагирования на кибератаку (cybersecurity incident response plan, CSIRP), об этом говорится в исследовании IBM. В ходе исследования представители IBM опросили 2800 специалистов по информационной безопасности со всего мира.

По умолчанию официально оформленный план CSIRP считается основным инструментом защиты от кибератак, однако большинство респондентов ответили, что в их компании существуют только неформальный набор правил, либо каждый раз ИТ-команда действует по ситуации.

Ответы респондентов IBM, выглядят противоречиво. С одной стороны, 72% опрошенных считают, что они стали более устойчивыми к кибератакам, чем несколько лет назад. В качестве причины такой уверенности большинство называют тот факт, что они наняли более способный персонал и более опытных специалистов по информационной безопасности. С другой стороны, 57% респондентов признались, что устранение последствий кибератак стало занимать больше времени, чем раньше, а 60% согласились с тем, что нападения на ИТ-инфраструктуру стали гораздо более опасными.

Принуждение к защите

Как отмечает Дмитрий Шумилин, директор Центра информационной безопасности Redsys, процент компаний, у которых отсутствует план CSIRP, сильно зависит от отрасли, направленности организации и ее размера.

В компаниях, как правило, в случаях кибератак ИТ-команда действует по ситуации

«Наличие такого плана, как CSIRP, является показателем определенного уровня зрелости процессов обеспечения ИБ в компании, – сказал он. – Практика показывает, что разработкой плана реагирования по своей воле озадачиваются, как правило, крупные организации со сложными процессами. Перед организациями из сектора малого и среднего бизнеса вопрос планирования работ с инцидентами не стоит из-за нехватки ресурсов. Поэтому в малом бизнесе показатель может даже превышать указанные IBM 77 процентов. При этом, тенденция последнего времени – законодательство начинает обязывать организации создавать свои планы реагирования. Требования по реагированию на инциденты содержатся как в старых Приказах ФСТЭК для ГИС, ИСПДн, АСУТП КВО (№№17/21/31), так и в новом приказе №235 по обеспечению безопасности значимых объектов КИИ».

План для составления плана

Представитель RedSys, также подчеркнул, что не существует универсальных рецептов для создания плана экстренного реагирования на кибератаки и в каждом случае нужно искать индивидуальный подход.

Дмитрий Шумилин перечислил основные этапы создания аварийного плана. Прежде всего, считает он, необходимо заинтересовать бизнес, который должен быть вовлечен и видеть выгоды от создания и выполнения плана. Рекомендуется организовать команду из сотрудников разных подразделений, которые будут реализовывать план. «Но при этом не плодите сиротские роли, которые некому будет исполнять. Обязательно определите, что именно будет являться инцидентом для вас. Следует четко обозначить ключевые показатели эффективности выполнения плана и методику их измерения. И, пожалуй, основное – созданный план не должен быть статичным: тестируйте его, проверяйте в действии и модернизируйте постоянно, чтобы обеспечить высокое взаимодействие команды по устранению инцидентов», – заключает эксперт.

Видео