Процесс изучения защищённости компаний от киберугроз осложняется тем, что отсутствуют какие-либо объективные критерии, по которым можно произвести сравнение. Чтобы решить эту проблему, Trend Micro совместно с Институтом Понемона (Ponemon Institute) разработали индекс киберриска (Cyber Risk Index, CRI) — методику оценки защищённости, которая помогает руководителям и командам безопасности сравнить свой уровень защищённости с компаниями-конкурентами. В этом посте расскажем о том, как рассчитывается CRI и какие данные необходимы для его расчёта, а также приведём данные CRI за 2020 год.
Методика
Поскольку объективных критериев, показывающих уровень защищённости компании от кибератак, пока не разработано, для построения индекса киберриска мы используем опрос, который проводится среди профессионалов в области ИТ и ИБ. В 2020 году в состав включили респондентов из стран Европы и Азиатско-Тихоокеанского региона, что позволяет говорить о том, что CRI 2020 стал глобальным. Результаты опроса и стали основой индекса, который отражает готовность компаний реагировать на кибератаки.
Для построения индекса мы использовали ответы 2795 респондентов, что составляет 4,1% от общего числа опрошенных в рамках выборки 67 679 человек. Ответы 211 респондентов были исключены из окончательной выборки из-за недостаточной надёжности.
33% ответов мы получили от компаний, в которых работает менее 100 человек. Ещё 33% ответов — от компаний со штатом от 100 до 999 работников, а остальные 35% — из более крупных компаний, в которых трудится 1000 и более человек.
Отраслевая классификация респондентов включает 15 секторов. Наиболее крупные из них:
финансовые услуги — 13%,
здравоохранение и фармацевтика — 10%,
услуги — 9%,
промышленность/производство — 9%,
розничная торговля — 9%,
технологии и программное обеспечение — 9%.
Расчёт CRI
Индекс киберриска рассчитывается как разность между индексом киберготовности (cyber preparedness index) и индексом киберугроз (cyber threat index). При этом индекс киберготовности показывает, каков уровень подготовленности организации к защите от кибератак, а индекс киберугроз представляет состояние ландшафта угрозы на момент расчёта CRI.
Индекс киберготовности
Для его расчёта используются ответы респондентов на 31 вопрос относительно различных связанных с безопасностью факторов в организации. Примеры вопросов:
Каков бюджет организации на безопасность достаточен для защиты активов данных и IT-инфраструктуры?
Обладает ли персонал организации, отвечающий за IT безопасность, достаточными знаниями, навыками и опытом для защиты информационных активов и IT-инфраструктуры?
Рассматривают ли руководители организации IT-безопасность как главный бизнес-приоритет?
Отчитывается ли руководитель отдела IT-безопасности организации перед высшим руководством?
Принимают ли генеральный директор и Совет директоров организации активное участие в управлении безопасностью?
Тратит ли организация значительные средства на обучение сотрудников требованиям безопасности?
Тратит ли организация значительные ресурсы на оценку рисков безопасности третьих сторон, включая «облако» и всю цепочку поставок?
Способна ли ИБ-служба моей организации обнаруживать атаки нулевого дня?
Ответы на вопросы оцениваются так:
Совершенно согласен = 10 баллов;
Согласен = 7,5 балла;
Не уверен в ответе = 5 баллов;
Не согласен = 2,5 балла;
Сильно не согласен = 0 баллов.
Индекс киберугроз
Учитывает ответы на 10 вопросов, относящихся к происходившим в компании в течение года событиям. Примеры вопросов:
Q1. Сколько отдельных инцидентов, связанных с утерей или кражами данных о клиентах, произошло в вашей организации за последние 12 месяцев?
Q2. Сколько отдельных случаев нарушения безопасности данных, связанных с утечкой информационных активов, произошло в вашей организации за последние 12 месяцев?
Q3. Сколько успешных кибератак с проникновением в сети и/или корпоративные системы вашей организации произошло за последние 12 месяцев?
Часть вопросов в составе индекса киберугроз позволяют оценить риски, связанные с используемыми в компании данными, наиболее вероятные для компании угрозы, последствия киберинцидентов и наиболее уязвимые области инфраструктуры компании.
Ограничения методики
Поскольку и индекс готовности, и индекс киберугроз основаны на результатах опросов, имеются характерные для таких исследований ограничения, которые необходимо учитывать. Наиболее характерные для опросов ограничения:
Предвзятость в ответах. Текущие результаты основаны на выборке результатов опросов. Мы разослали опросы репрезентативной выборке, в результате чего было получено 2795 пригодных для использования ответов, однако всегда остаётся возможность, что другие сотрудники организаций имеют существенно отличное от мнения респондента мнение.
Смещение рамки выборки. Точность основана на контактной информации и степени репрезентативности списка респондентов, которые являются практикующими специалистами в области ИТ или ИТ-безопасности. Результаты могут быть не вполне объективными в связи с внешними событиями, а также из-за того, что мы собирали данные через интернет. Возможно, что опрос по телефону даст совсем другие результаты.
Субъективность результатов. Качество опроса основано на достоверности конфиденциальных ответов, полученных от субъектов. Несмотря на то, что вопросы составлены так, чтобы уравновешивать субъективность, всегда существует вероятность того, что субъект не предоставил точные ответы.
Основные выводы CRI 2020
Несмотря на имеющиеся ограничения индекс киберриска позволяет получить достаточно объективную картину уровня защищённости компаний в различных регионах.
Все регионы, участвовавшие в исследовании, показали повышенный риск уязвимости к кибератакам, который отражает отрицательное значение CRI. Самый высокий уровень риска по сравнению с другими регионами наблюдается в США. Это связано с тем, что США имели более низкий уровень киберготовности по сравнению с другими регионами. Основные факторы риска в области кибербезопасности, с которыми сталкиваются предприятия, можно разделить на пять категорий
Риски кибербезопасности:
фишинг и социальная инженерия,
клик-джек,
вымогатели,
бесфайловые атаки,
ботнеты,
атаки типа «человек посередине».
Риски, связанные с данными:
невозможность обнаружить атаки нулевого дня,
неспособность остановить большинство кибератак.
Риски, связанные с персоналом:
руководство компании не рассматривает безопасность как конкурентное преимущество,
ИБ-руководитель организации (CISO) не имеет достаточных полномочий и ресурсов для повышения уровня защищённости компании.
Инфраструктурные риски:
ИТ и ИБ-службы не владеют сведениями о физическом расположении критически важных для бизнеса данных и приложений,
ИТ и ИБ-службы не участвует в определении приемлемого использования потенциально уязвимых технологий (таких как мобильные, «облачные», социальные сети, IoT-устройства) на рабочем месте.
Операционный риск:
неготовность к борьбе с утечками данных,
задержки в тестировании и установке исправлений безопасности.
Наши результаты показывают, что у мирового бизнеса очень высокие шансы быть затронутым кибератакой:
вероятность утечки данных клиентов в ближайшие 12 месяцев: 75%;
вероятность компрометации критически важных данных в ближайшие 12 месяцев: 77%;
вероятность одной или нескольких успешных кибератак в ближайшие 12 месяцев: 83%.
Рекомендации по защите бизнеса от киберугроз
Принимая во внимание текущую ситуацию с угрозами и основываясь на выводах, полученных в процессе расчёта CRI, глобальный бизнес всё ещё может значительно минимизировать свои риски, внедряя лучшие методы обеспечения безопасности. К ним относятся:
построение системы безопасности на основе критических данных путём сосредоточения внимания на управлении рисками и угрозах, которые могут быть направлены на эти данные;
минимизация сложности инфраструктуры и улучшение согласованности по всему стеку безопасности;
смена позиции высшего руководства компаний в части восприятия безопасности как конкурентного преимущества;
улучшение защиты бизнес-среды, включая надлежащую защиту BYOD, устройств IoT и промышленных устройств IoT, а также облачной инфраструктуры;
инвестирование в новых талантливых сотрудников и в существующий персонал службы безопасности, чтобы помочь им идти в ногу с быстро меняющимся ландшафтом угроз, а также улучшить показатели удержания персонала;
проверка существующих решений безопасности с использованием новейших технологий для обнаружения актуальных угроз, таких как программы-вымогатели и бот-сети;
формирование функциональной, масштабируемой и динамичной архитектуры безопасности ИТ.
