Экспертно‑аналитический центр InfoWatch опубликовал отчёт о последствиях утечек информации в российских компаниях. Исследование затронуло вопросы огласки инцидентов, оценки ущерба и страхования киберрисков.
По данным отчёта, 51% организаций не имеют страховки от утечек данных. Лишь 17% из застрахованных компаний получили компенсацию, а 79% даже не пытались обратиться за выплатой. Четверть застрахованных организаций не смогли получить деньги, поскольку их случай не признали страховым.
Методы оценки ущерба от утечек применяют только 35% компаний. Среди крупных предприятий этот показатель достигает 47%, тогда как среди малых — всего 23%. Государственные организации чаще используют такие методики (48%), чем частные компании (36%).
Большинство опрошенных (70%) признают, что человеческий фактор – основная причина утечек информации. Наиболее эффективной мерой защиты респонденты считают обучение сотрудников (81%). Также 69% поддерживают создание внутренних подразделений по информационной безопасности, а 52% считают полезным независимый центр по фиксации и оценке ущерба.
59% компаний предпочли не разглашать факт утечки данных, опасаясь репутационных потерь. Только 25% сообщили об инциденте в государственные органы, а 17% сделали официальное заявление. В 5% случаев информация просочилась в СМИ или соцсети, но без официального подтверждения компании.
Страхование киберрисков остается малораспространенным. Половина компаний (51%) не имеет полиса, 25% не получили выплату, а 79% даже не пытались ее запросить. Среди малых предприятий страховку имеют только 40%, а среди организаций со смешанной формой собственности – 34%. В компаниях, где отсутствуют методики оценки ущерба, доля незастрахованных достигает 78%.
54% экспертов подтвердили, что страхование утечек в России остается редкостью. Только 4% считают, что такие страховки есть у всех компаний, а 22% заявили, что застрахованы примерно половина организаций.
Только 35% компаний применяют системные подходы к оценке ущерба. Среди малых организаций методику используют 23%, среди крупных – 47%. В компаниях, столкнувшихся с утечками за последние три года, оценку ущерба проводят в 65% случаев. Среди тех, кто не сталкивался с утечками, этот показатель не превышает 30%.
Основная причина отказа от оценки ущерба – отсутствие потребности (33%). Еще 32% признают, что методика нужна, но пока не внедрена. Среди организаций, не сталкивавшихся с утечками за последние три года, 70% не оценивают возможные убытки.
56% респондентов считают страхование полезным. Однако уровень доверия к страховым компаниям остается низким. Независимый центр по фиксации ущерба поддерживают 52% респондентов.
43% компаний считают, что за утечки данных необходимо ужесточить наказание, тогда как 18% выступают за его смягчение.
По мнению InfoWatch, результаты исследования показывают, что большинство российских компаний не готовы к утечкам данных. Они не страхуются, не оценивают ущерб и стараются скрыть инциденты. Особенно это характерно для малых предприятий, которые не сталкивались с утечками ранее. Напротив, госструктуры, крупные компании и организации, уже пострадавшие от утечек, более серьёзно относятся к киберрискам.
Эксперты ИБ подтвердили, что самыми эффективными мерами защиты остаются обучение сотрудников и создание внутренних подразделений по безопасности. Однако пока далеко не все компании внедрили эти практики.
Опрос InfoWatch подтвердил, что проблемы утечек данных и их последствий остаются актуальными для российского бизнеса. Несмотря на потенциальные риски, компании недостаточно защищены, а уровень страхования и оценки ущерба остается низким.
В опросе приняли участие тысяча респондентов – руководители предприятий, финансисты и юристы. 26% представителей промышленности, 13% представителей отраслией строительства и недвижимости и 11% из торговли. Данные собирались с мая по август 2024 года в рамках исследований InfoWatch, опросов Ассоциации по защите информации (BISA) и проекта ЦИРКОН.
Источник: habr.com
