Исследование уровня информационной безопасности в российских компаниях

Эксперты «СёрчИнформ» оценили уровень ИБ в российских компаниях. Данные были получены в ходе серии конференций Road Show SearchInform 2017 «DLP будущего», в которой приняли участие 1806 ИБ-специалистов и экспертов. Ещё 885 участников следили за онлайн-трансляцией мероприятия из 12 стран мира. Часть данных была собрана в ходе онлайн-опроса сотрудников отделов информационной безопасности.

Утечки и попытки
кражи информации

 
28%
Организаций смогли пресечь
попытки кражи данных

31% организаций не сталкивались с подобными инцидентами. 3% опрошенных не владеют такой информацией.

Чаще всего в российских компаниях утекали:

21%
 
 
Данные о клиентах
и сделках
20%
 
 
Техническая
информация
17%
 
 
Коммерческая
тайна
11%
 
 
Информация
о партнерах
9%
 
 
Персональные
данные
7%
 
 
Внутренняя
бухгалтерия

Портрет инсайдера

Чаще других конфиденциальные данные пытались украсть рядовые сотрудники (46%).

46%
Рядовые
сотрудники
17%
Руководители
8%
Бухгалтеры
экономисты и
финансисты
8%
Помощники
руководителя,
секретари
7%
Системные
администраторы
6%
Внешние
злоумышленники
5%
Подрядчики
 
Известно также, что к группе риска относятся экс-сотрудники вне зависимости от должности: одни, увольняясь, крадут информацию из обиды и желания отомстить, другие – чтоб «задобрить» нового работодателя.
63%
компаний ловили
бывших сотрудников
на краже информации

Кто защищает

Вопросами защиты конфиденциальных данных в компаниях по-прежнему чаще всего занимаются службы безопасности и ИТ-отделы:

46%
 
 
ИБ-отделы
43%
 
 
ИТ-отделы
7%
 
 
Руководители
1%
 
 
ИБ-аутсорсинг
52%
сотрудников ИБ-отделов
имеют профильное образование

Как защищают

98%
российских компаний ззащищают свои конфиденциальные данные

Инструменты, которые используются чаще всего:

Антивирус
82%
Firewall
66%
Proxy
52%
AD
50%
DLP-системы
28%
IDS/IPS
15%
SIEM
7%
* Респонденты могли выбрать несколько вариантов ответов.

Что защищают

Самым контролируемым каналом передачи данных стала электронная почта: ее защищают 62% компаний. Относительно других каналов, которые контролируются, голоса компаний распределились так:

Внешние устройства
49%
Интернет-мессенджеры
26%
Документы в печать
23%
Skype
20%
Все каналы
17%
Облака
14%
* Респонденты могли выбрать несколько вариантов ответов.
 

31% организаций не запрещают использование каких-либо ресурсов и сервисов в связи с угрозой утечки информации. Меньше всего беспокоят работодателей Skype (блокируют 37% опрошенных), а также форумы и блоги (35%). А в тройке лидеров по блокировке:

76%
 
 
Соцсети
40%
 
 
Мессенджеры
40%
 
 
Облака
* Респонденты могли выбрать несколько вариантов ответов.
31%
считают, что запрет
каналов не остановит инсайдера,
и оставляют все каналы открытыми,
предпочитая контроль

Информационная безопасность и сотрудники

В большинстве организаций (86%) с сотрудниками подписывается соглашение о неразглашении конфиденциальных данных. При этом специальное обучение по проблеме информационной безопасности проводят только 51% компаний.

27%

Компаний оповещают своих сотрудников о наличии
систем защиты под подпись.

38%

Компаний сообщают персоналу о наличии систем защиты,
но не предлагают подписать дополнительных документов.

34%

Компаний предпочитают скрывать факт наличия системы
защиты от персонала.

Какие санкции применяют к сотруднику, допустившему утечку?

 

Если утечка все же произошла по вине сотрудника, к нему не применяют никаких
санкций 12% компаний. Остальные выбирают:

Увольнение
58%
Лишение премии/штраф
45%
Выговор
44%
* Респонденты могли выбрать несколько вариантов ответов.

Ответственность сторон

Большинство компаний скрывали факты утечки данных.

 

Насколько важна защита?

Большинство опрошенных признали, что задача защиты конфиденциальных данных в их компаниях стоит довольно остро. Респонденты оценили актуальность этой задачи по 10-балльной шкале:

 
 

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика). Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.