Восстановление организаций после киберинцидентов: обзор отчета

В продолжение темы киберинцидентов и безопасности информации при стремительном внедрении ИИ, компания Veeam Software выпустила отчет, основанный на опросе более 900 руководителей отделов безопасности.

Отчет охватывает широкий круг тем: оценку готовности к восстановлению после киберинцидентов и фактические результаты, влияние DLP-систем на безопасность информации, подходы к управлению ИИ на предприятиях, бюджеты на кибербезопасность.

По результатам опроса, большинство организаций (90%) считает, что они готовы к восстановлению после киберинцидентов, и уверены в способности восстановиться в рамках установленных целевых показателей времени восстановления (recovery time objectives — RTO).

Фактические результаты оказались менее позитивными.

Почти 3 из 10 организаций за последние 12 месяцев столкнулись с киберинцидентами, которые привели к утечкам информации, простоям или операционным сбоям.

Среди организаций, которые столкнулись с киберинцидентами за последние 12 месяцев:

• В 56% случаев злоумышленникам удалось зашифровать или украсть данные.
• В случаях, когда инциденты привели к шифрованию данных, только 28% смогли полностью восстановиться после киберинцидента.
• 44% восстановили менее 75% поврежденных данных.
• Еще 29% столкнулись с утечкой информации, простоями или сбоями в работе бизнеса.
• 42% сообщили о сбоях в обслуживании клиентов.
• 41% сообщили о финансовом ущербе или влиянии на прибыль.
• 38% столкнулись с длительными простоями критически важных систем.

Организациям с высокими результатами по восстановлению характерны:

1. Прозрачность рисков в масштабах всего предприятия.
2. Контроль безопасности, а не только политика.
3. Проверенные и подтвержденные тестами возможности восстановления.
4. Согласование с руководством ответственности за риски, регулярная отчетность о киберрисках.

Внедрение ИИ опережает обеспечение безопасности информации

По мере того, как организации внедряют ИИ в бизнес-процессы, ИИ создает новые потоки данных, новые уязвимости и новые проблемы управления.

Лидеры в области кибербезопасности утверждают, что ИИ уже интегрирован в основные процессы множества организаций, и это создало новую реальность, где риски больше не ограничены только безопасностью ИИ-моделей, появилась проблема управления данными и операционной устойчивости.

Когда организации не видят, как используются, передаются или хранятся данные, становится сложнее обеспечивать соблюдение политик безопасности и восстанавливаться после инцидента.

• 43% респондентов сообщили, что внедрение инструментов ИИ опережает их возможности по обеспечению безопасности информации и моделей.
• 42% говорят об ограниченном доступе к инструментам или моделям ИИ, используемым в организации.
• 40% сообщили, что политики безопасности еще не обновлены с учетом рисков для ИИ.
• 25% говорят, что теневые приложения и несанкционированное использование инструментов ИИ являются основной проблемой, связанной с использованием сотрудниками инструментов ИИ и безопасностью информации.

Влияние наличия DLP-систем

Для снижения растущих рисков, организациям необходимы соответствующие подходы к управлению ИИ. Одним из показателей является внедрение инструментов контроля, таких как систем предотвращения утечек данных (DLP).

Согласно отчету, у 48% организаций уже внедрены DLP-системы.

Организации, внедрившие DLP, отмечают более высокий уровень контроля по мере расширения использования ИИ. По сравнению с организациями, не имеющими DLP, они:

• У 45% организаций без DLP-систем ограничена прозрачность в отношении используемых инструментов и моделей ИИ против 39% с DLP.
• В 48% организаций без DLP-систем согласны, что внедрение ИИ опережает меры безопасности, против 38% с DLP.

Ответственность за управление ИИ

Исследование показало, что ответственность за управление ИИ редко распределяется между руководителями, а, как правило, возлагается на одного.

Среди организаций, за последний год столкнувшихся с киберинцидентами:

• 38% заявили, что управление рисками в области ИИ и данных находится в ведении директора по информационной безопасности (CISO).
• 17% сообщили о наличии кросс-функциональной структуры управления.
• 27% заявили, что управление находится в ведении директора по информационным технологиям (CIO).

Организации, которые внедряют кросс-функциональную модель управления, отмечают более тесную согласованность между политикой, средствами контроля безопасности и возможностями восстановления.

Страховые компании, специализирующиеся на киберстраховании, и руководители предприятий все чаще требуют задокументированного подтверждения готовности к восстановлению. Это включает в себя измеримые показатели эффективности (KPI) по реагированию и восстановлению. Однако многие организации до сих пор не измеряют эти показатели.

Инвестиции в кибербезопасность растут, но не везде:

• 49% организаций увеличили бюджеты на кибербезопасность по сравнению с прошлым годом.
• 51% сохранили их на прежнем уровне или сократили. 

По мнению исследователей, увеличение бюджета коррелирует с более высокими показателями восстановления после атак с помощью программ-вымогателей:

• Более низкие выплаты выкупа: только 33% организаций с выросшим бюджетом выплатили выкуп, по сравнению с 52% организаций без увеличения бюджета.
• Выше уровень успешного восстановления: 40% организаций полностью восстановили скомпрометированные данные против 16% организаций без увеличения бюджета.

Авторы отчеты приходят к выводам, что организации, переоценивающие свою киберустойчивость, более подвержены рискам. В тех компаниях, где руководству сообщают о киберрисках минимум раз в месяц, с большей вероятностью повысят бюджет на безопасность. Организации с ростом бюджета, в свою очередь, показывают более эффективные результаты борьбы с программами-вымогателями, включая более высокие показатели восстановления данных.