Большинство российских компаний по-прежнему ограничиваются «бумажной» кибербезопасностью. Формальные меры защиты не помогают бизнесу противостоять современным атакам и быстро реагировать на инциденты.
Исследование, проведенное компаниями K2 Cloud, К2 Кибербезопасность и Positive Technologies, показало, что значительная часть российских предприятий по-прежнему плохо подготовлены к реальным киберугрозам и не готовы самостоятельно выстраивать эффективную систему защиты.
Лишь каждая пятая компания подходит к вопросам кибербезопасности серьезно: помимо обязательного прохождения проверок со стороны регуляторов, такие организации внедряют внутренние стандарты защиты, учитывающие современные методы атак и реальные угрозы для бизнеса. При этом регулярный централизованный поиск уязвимостей в инфраструктуре ведется менее чем в половине компаний — только 40% организаций системно сканируют свои ИТ-системы и своевременно устраняют обнаруженные проблемы. Почти треть участников исследования признали, что вовсе не проводят оценку защищенности собственной инфраструктуры. Еще более тревожной выглядит ситуация с реагированием на инциденты: только 15% компаний располагают документированными и регулярно тестируемыми сценариями действий на случай кибератак.
Во многих организациях функции ИБ по-прежнему остаются частью задач ИТ-подразделений. Такой подход сохраняется у 36% компаний, где отсутствует четкое разделение ответственности между ИТ- и ИБ-командами. На этом фоне ситуация осложняется распространением удаленного и гибридного формата занятости: у 80% организаций часть сотрудников работает вне офиса. Эксперты отмечают, что сочетание размытого периметра доступа и отсутствия прозрачного распределения ответственности создает благоприятные условия для злоумышленников.
Результаты исследования демонстрируют распространенную проблему так называемой «бумажной» безопасности, отмечает руководитель практики кибербезопасности K2 Cloud Анжелика Захарова. Формально ИБ-функции в компаниях существуют, однако реальная зрелость процессов — постоянный мониторинг угроз, тестирование сценариев реагирования и риск-ориентированное распределение бюджета — остается редкостью. По ее словам, между наличием формальной структуры и фактической готовностью противостоять атакам сохраняется серьезный разрыв. Эксперт также обратила внимание на то, что 41% компаний до сих пор не используют облачные технологии, а значит, вынуждены самостоятельно обеспечивать защиту инфраструктуры, не всегда располагая необходимыми ресурсами и компетенциями. При этом современные облачные провайдеры уже давно перестали быть лишь поставщиками вычислительных мощностей и сегодня активно инвестируют в собственные системы защиты, предлагая уровень безопасности, который большинству компаний сложно обеспечить собственными силами.
Бизнесу пока сложно самостоятельно выстраивать стратегию информационной безопасности. Только у 9% организаций бюджетирование, ключевые задачи и KPI в сфере ИБ формируются на основе анализа вероятности инцидентов и потенциального ущерба. В большинстве случаев расходы на кибербезопасность определяются по более формальным критериям — например, в зависимости от численности сотрудников или общего объема ИТ-бюджета. Поэтому многие компании продолжают опираться на внешнюю экспертизу интеграторов и специализированных подрядчиков. Около 30% организаций участвуют в программах bug bounty, а также регулярно проводят пентесты и киберучения, в том числе с привлечением сторонних специалистов.
В 2025 году наблюдался рост интереса к теме киберзащиты со стороны руководства компаний: около половины ИТ- и ИБ-директоров сообщили об увеличении внимания топ-менеджмента к вопросам безопасности и расширении профильных бюджетов, отметил Андрей Заикин, Директор по развитию бизнеса К2 Кибербезопасность. Однако текущие результаты показывают, что лишь в 17% компаний существует отдельная должность CISO на уровне совета директоров, отвечающего за стратегическое развитие ИБ. По мнению эксперта, это крайне низкий показатель, особенно с учетом роста числа целенаправленных атак и связанных с ними бизнес-рисков. Он подчеркнул, что кибербезопасность должна стать неотъемлемой частью общей бизнес-стратегии любой современной организации.
Одной из наиболее проблемных зон остается обучение сотрудников. В 76% компаний программы повышения киберграмотности либо отсутствуют полностью, либо проводятся формально и крайне редко — например, только при трудоустройстве или уже после произошедшего инцидента.
Многие компании до сих пор недооценивают важность системного обучения персонала, рассказала Анастасия Федорова, руководитель образовательных программ Positive Education, Positive Technologies. В результате бизнес сталкивается с серьезными последствиями атак через методы социальной инженерии и фишинга. Обучение должно охватывать все уровни сотрудников — от рядовых специалистов до высшего руководства. Топ-менеджмент представляет особый интерес для злоумышленников, поскольку именно руководители обладают доступом к наиболее чувствительной информации и финансовым ресурсам компании. Поэтому вопросы ИБ необходимо учитывать при построении комплексных программ развития как сотрудников, так и управленческой команды. Блокировки интернета становятся риском для цифровой экономики Корпоративная ИТ-система после запуска Что скрывается за зелеными показателями SLA
Еще одной серьезной проблемой остается ограниченный набор используемых средств защиты. Более трети компаний — 38% — по-прежнему полагаются исключительно на корпоративные антивирусы и базовые межсетевые экраны, которые уже не способны обеспечить полноценную защиту от современных угроз. У 33% организаций внедрены системы обнаружения вторжений и защиты конечных устройств — IDS, IPS и EDR, однако они функционируют без централизованной корреляции событий безопасности, а также сталкиваются с проблемой неконтролируемого использования несанкционированных ИТ-инструментов и сервисов shadow IT.
Источник: www.it-world.ru