Четвертая часть результатов открытого исследования российского рынка информационной безопасности. В отчете приведена статистика по инцидентам информационной безопасности, с которыми сталкивались российские организации в течение года. Для каждого типа инцидента перечислены наиболее популярные варианты реагирования.
Введение
Статья является заключительной в цикле публикаций результатов исследования российского рынка информационной безопасности и следует за третьей частью анализа рынка информационной безопасности России. Она содержит статистику инцидентов информационной безопасности, которым подвергались российские организации, а также варианты реагирования на них.
Приведенные в статье данные позволяют увидеть отличия в реагировании на различные виды инцидентов: какие чаще расследуются; какие преимущественно предотвращаются штатными средствами; какие приводят к покупке новых средств защиты или привлечению сторонних экспертов.
Результаты исследования
Инциденты информационной безопасности
На последнем этапе опроса респонденты отвечали на вопросы о зарегистрированных в течение последнего года инцидентах информационной безопасности. В итоге подавляющее большинство опрошенных (86%) сообщили о регистрации хотя бы одного инцидента информационной безопасности в течение года. Оставшиеся 14% уверены, что их организация не подвергалась атакам и не было выявлено ни одного инцидента, см. рисунок 1.
Рисунок 1. Регистрация инцидентов информационной безопасности
Разбивка по типам инцидентов показала, что наиболее популярным типом с большим отрывом от остальных являются вредоносные программы. С ними столкнулись 74% респондентов, см. рисунок 2. Второй по частоте упоминания угрозой являются шифровальщики и вайперы, с которыми столкнулись 39% опрошенных организаций.
Третьим по частоте упоминания типом инцидентов являются DDoS-атаки. С ними столкнулись 33% опрошенных организаций. Остальные типы инцидентов не затронули более 20% организаций.
Как это ни странно, реже всего опрошенные организации сталкивались со взломом веб-сайтов и потерей данных (исключая действия шифровальщиков и других вредоносных программ) — 16% и 17% соответственно.
Рисунок 2. Зарегистрированные инциденты информационной безопасности по типам
Интересно выглядит статистика по мерам реагирования на регистрируемые инциденты информационной безопасности, которые выбирают российские организации. Эти меры кардинальным образом разнятся в зависимости от типа инцидента, см. рисунок 3.
Рисунок 3. Принятые меры реагирования на зарегистрированные инциденты ИБ
Как мы видим, с большинством вредоносных программ или DDoS-атак российские организации справляются штатными средствами защиты (в 70% и 50% случаев соответственно), лишь иногда привлекая на помощь сторонних экспертов или вынужденно закупая дополнительные средства защиты. Похожим образом поступают в случае взлома веб-сайтов, но за тем исключением, что в значительном количестве случаев (39%) не принимаются никакие меры реагирования.
В случае атак с использованием шифровальщиков или вайперов организации стараются обходиться собственными силами (54%), привлекают сторонних экспертов (14%) и покупают дополнительные средства защиты и сервисы (11%).
Особым образом выглядит профиль реагирования на инциденты, связанные с несанкционированным майнингом криптовалюты. Здесь опрошенные компании в той или иной степени используют весь арсенал вариантов реагирования и их сочетания. Но в сумме почти в 60% случаев используются внутренние ресурсы компаний: штатные средства защиты (19%), обнаружение и реагирование своими силами (21%) и, что важно, самостоятельное расследование инцидента (19%).
Инциденты, связанные с несанкционированным доступом к информации и утечками конфиденциальных данных, имеют иной профиль по вариантам реагирования. Преимущественно (более 40% случаев) организации самостоятельно проводят расследование, значительно реже привлекают внешних экспертов (13-16%) и покупают новые средства защиты (10-11%).
В случае порчи и потери данных по причинам, не связанным с вредоносными программами или шифровальщиками, большая часть опрошенных компаний не предпринимают никаких действий (66%) или закупают новые/дополнительные средства защиты от похожих атак в будущем.
Интересными выглядят доли организаций, которые никак не реагируют на возникающие инциденты ИБ. Так, рекордсменом по отсутствию реакции являются инциденты с потерей данных вследствие сбоев — 66% организаций не делают из них никаких выводов. Только 34% покупают дополнительные средства резервного копирования и восстановления данных. Взлом веб-сайтов, утечки конфиденциальных данных и DDoS-атаки остаются без внимания в 29% и более случаев.
Выводы
Подводя итоги четвертой — заключительной части исследования, следует выделить следующее:
- 86% респондентов сообщили о регистрации хотя бы одного инцидента ИБ в течение года.
- С вредоносными программами столкнулось 74% российских организаций, с большинством из которых справились штатными средствами защиты (70% случаев).
- Шифровальщиками и вайперами было атаковано 39% опрошенных организаций. В большинстве случаев удалось обойтись собственными силами (54%) или с привлечением сторонних экспертов (14%).
- DDoS-атакам подверглись 33% организаций, с большинством из них справились штатными средствами защиты (50% случаев) или с привлечением сторонних экспертов (15%).
- Реже всего организации сталкивались со взломом веб-сайтов и потерями данных (исключая шифровальщиков) — менее 17%.
- Более 40% организаций самостоятельно проводят расследование инцидентов несанкционированного доступа к информации и утечек конфиденциальных данных. 13-16% случаев привлекают внешних экспертов, 10-11% покупают новые средства защиты.
- В случае обнаружения несанкционированного майнинга криптовалюты 19% организаций ликвидировали его собственными силами. 21% обнаруживали и удаляли майнеры самостоятельно.
- Только 19% организаций проводили расследование несанкционированного майнинга криптовалюты.
- 66% организаций никак не реагируют на инциденты с потерей данных (исключая шифровальщики).
- Взлом веб-сайтов, утечки конфиденциальных данных и DDoS-атаки остаются без внимания в 29% и более случаев.
