Die Ökonomie der Informationssicherheit. Überblick über den russischen Markt für Informationssicherheit Informationsschutz strategischer Einrichtungen

Sie investieren in eine Vielzahl von Computersicherheitstechnologien, von Plattformen für die Zahlung von Boni für die Entdeckung von Softwareschwachstellen bis hin zu Diagnose und automatisiertem Testen von Programmen. Vor allem aber werden sie von Authentifizierungs- und Identitätsmanagement-Technologien angezogen – rund 900 Millionen US-Dollar wurden Ende 2019 in Startups investiert, die sich mit diesen Technologien beschäftigen.

Die Investitionen in Startups im Bereich der Cybersicherheitsausbildung erreichten 2019 418 Millionen US-Dollar, hauptsächlich angetrieben durch KnowBe4, das 300 Millionen US-Dollar einbrachte.Das Startup bietet eine Phishing-Simulationsplattform und eine Reihe von Schulungsprogrammen.

Im Jahr 2019 gingen rund 412 Millionen US-Dollar von Unternehmen ein, die sich mit der Sicherheit des Internets der Dinge befassen. SentinelOne ist in dieser Kategorie führend in Bezug auf das Investitionsvolumen, das 2019 120 Millionen US-Dollar für die Entwicklung von Endpoint Protection-Technologien erhielt.

Gleichzeitig liefern die Analysten von Metacurity weitere Daten, die die Situation auf dem Venture-Capital-Markt im Bereich Informationssicherheit charakterisieren. Im Jahr 2019 erreichte das Investitionsvolumen hier 6,57 Milliarden US-Dollar, nachdem es von 3,88 Milliarden US-Dollar im Jahr 2018 gestiegen war. Auch die Zahl der Transaktionen stieg – von 133 auf 219. Gleichzeitig blieb das durchschnittliche Investitionsvolumen pro Transaktion praktisch unverändert und belief sich Ende 2019 laut Metacurity auf 29,2 Millionen.

2018

Wachstum um 9 % auf 37 Milliarden US-Dollar - Canalys

Im Jahr 2018 erreichte der Umsatz mit Geräten, Software und Dienstleistungen für Informationssicherheit (IS) 37 Milliarden US-Dollar, was einem Anstieg von 9 % gegenüber dem Vorjahr (34 Milliarden US-Dollar) entspricht. Diese Daten wurden am 28. März 2019 von Canalys-Analysten veröffentlicht.

Während viele Unternehmen dem Schutz ihrer Assets, Daten, Endpunkte, Netzwerke, Mitarbeiter und Kunden Priorität einräumen, entfielen 2018 nur 2 % der gesamten IT-Ausgaben auf Cybersicherheit. Es treten jedoch immer mehr neue Bedrohungen auf, sie werden komplexer und häufiger, was den Herstellern von Informationssicherheitslösungen neue Wachstumschancen bietet. Die Gesamtausgaben für Cybersicherheit werden im Jahr 2020 voraussichtlich 42 Milliarden US-Dollar überschreiten.

Canalys-Analyst Matthew Ball glaubt, dass sich der Übergang zu neuen Modellen der Implementierung der Informationssicherheit beschleunigen wird. Kunden ändern die Art ihres IT-Budgets mit öffentlichen Cloud-Diensten und flexiblen abonnementbasierten Diensten.

Etwa 82 % der Projekte zur Bereitstellung von Informationssicherheitssystemen im Jahr 2018 waren mit der Verwendung herkömmlicher Hard- und Software verbunden. In den restlichen 18 % der Fälle wurden Virtualisierung, Public Clouds und Informationssicherheitsdienste genutzt.

Bis 2020 wird der Anteil traditioneller Modelle zum Einsatz von Informationssicherheitssystemen auf 70 % sinken, da neue Lösungen auf dem Markt an Popularität gewinnen.

Anbieter müssen eine Vielzahl von Geschäftsmodellen entwickeln, um diesen Übergang zu unterstützen, da unterschiedliche Produkte für verschiedene Arten von Bereitstellungen geeignet sind. Die größte Herausforderung für viele besteht heute darin, die neuen Modelle stärker kanalorientiert zu gestalten und in bestehende Partnerprogramme zu integrieren, insbesondere in den Kundenbetrieb über die Cloud. Einige Cloud-Marktplätze haben bereits darauf reagiert und es Partnern ermöglicht, Kunden maßgeschneiderte Angebote und Preise direkt anzubieten, Registrierungen von Angeboten und Rabatten zu verfolgen, sagte Matthew Ball in einem Beitrag vom 29. März 2019.

Laut Canalys-Analyst Ketaki Borade haben führende Anbieter von Cyber-Defense-Technologien neue Vertriebsmodelle eingeführt, bei denen Unternehmen zu einem Abonnementsystem wechseln und den Betrieb in der Cloud-Infrastruktur erhöhen.

Der Markt für Cybersicherheit ist sehr dynamisch geblieben, mit Rekordtransaktionen und -volumen als Reaktion auf wachsende regulatorische und technische Anforderungen sowie das anhaltende allgegenwärtige Risiko von Datenschutzverletzungen, sagt Eric McAlpine, Mitbegründer und Managing Partner von Momentum Cyber. „Wir glauben, dass diese Dynamik den Sektor weiterhin in Neuland drängen wird, da er sich bemüht, aufkommenden Bedrohungen zu begegnen und sich angesichts der Ermüdung der Lieferanten und des wachsenden Fachkräftemangels zu konsolidieren.

2017

Die Ausgaben für Cybersicherheit überstiegen 100 Milliarden US-Dollar

Im Jahr 2017 erreichten die weltweiten Ausgaben für Informationssicherheit (IS) – Produkte und Dienstleistungen – 101,5 Milliarden US-Dollar, sagte das Forschungsunternehmen Gartner Mitte August 2018. Ende 2017 schätzten Experten diesen Markt auf 89,13 Mrd. US-Dollar, was der Grund für den deutlichen Anstieg der Bewertung ist, wird nicht mitgeteilt.

CIOs sind bestrebt, ihren Unternehmen dabei zu helfen, Technologieplattformen sicher zu nutzen, um wettbewerbsfähiger zu werden und das Geschäftswachstum voranzutreiben“, sagte Siddharth Deshpande, Research Director bei Gartner. „Der anhaltende Fachkräftemangel und regulatorische Änderungen wie die Datenschutz-Grundverordnung (DSGVO) in Europa treiben das anhaltende Wachstum des Cybersicherheitsmarktes voran.

Experten sind der Ansicht, dass einer der Hauptgründe für die höheren Kosten des Informationsschutzes die Einführung neuer Methoden zur Erkennung und Reaktion auf Bedrohungen ist – sie haben 2018 höchste Priorität für die Sicherheit von Unternehmen erlangt.

Schätzungen von Gartner zufolge überstiegen 2017 die Ausgaben von Unternehmen für Cybersicherheitsdienste weltweit 52,3 Milliarden US-Dollar, und 2018 werden diese Kosten auf 58,9 Milliarden US-Dollar steigen.

Im Jahr 2017 gaben Unternehmen 2,4 Milliarden US-Dollar für Anwendungsschutz, 2,6 Milliarden US-Dollar für Datenschutz und 185 Millionen US-Dollar für Cloud-Dienste aus.

Der Jahresumsatz mit Lösungen für das Identitäts- und Zugangsmanagement (Identity And Access Management) belief sich auf 8,8 Mrd. Die Implementierung von Mitteln zum Schutz der IT-Infrastruktur stieg auf 12,6 Mrd. USD.

Die Studie berichtete auch, dass 10,9 Milliarden US-Dollar für Geräte ausgegeben wurden, die zur Gewährleistung der Netzwerksicherheit verwendet werden. Ihre Hersteller verdienten 3,9 Milliarden US-Dollar mit Informationssicherheits-Risikomanagementsystemen.

Laut einer Gartner-Studie wurden die Ausgaben für die Cybersicherheit der Verbraucher für 2017 von Analysten auf 5,9 Milliarden US-Dollar geschätzt.

Gartner schätzt die Marktgröße auf 89,13 Milliarden US-Dollar

Im Dezember 2017 wurde bekannt, dass die weltweiten Kosten der Unternehmen für Informationssicherheit (IS) im Jahr 2017 89,13 Milliarden US-Dollar betragen werden. Laut Gartner werden die Unternehmenskosten für Cybersicherheit 2016 82,2 Milliarden US-Dollar um fast 7 Milliarden US-Dollar übersteigen.

Experten halten Cybersecurity-Services für den größten Aufwandsposten: 2017 werden Unternehmen dafür über 53 Milliarden US-Dollar aufwenden, gegenüber 48,8 Milliarden US-Dollar im Jahr 2016. Das zweitgrößte Segment des Informationssicherheitsmarktes sind Lösungen zum Schutz der Infrastruktur, deren Kosten sich 2017 auf 16,2 Milliarden US-Dollar belaufen werden statt 15,2 Milliarden US-Dollar vor einem Jahr. Ausrüstung für die Netzwerksicherheit - an dritter Stelle (10,93 Milliarden US-Dollar).

Zur Struktur der Informationssicherheitskosten gehören auch Consumer-Software für Informationssicherheit und ein Identitäts- und Zugangsmanagementsystem (Identity and Access Management, IAM). Die Kosten in diesen Bereichen werden 2017 bei Gartner auf 4,64 Milliarden US-Dollar und 4,3 Milliarden US-Dollar geschätzt, während sie 2016 bei 4,57 Milliarden US-Dollar bzw.

Analysten erwarten einen weiteren Anstieg des Informationssicherheitsmarktes: 2018 werden Unternehmen die Ausgaben für Cyber-Defense um weitere 8 % erhöhen und dafür insgesamt 96,3 Mrd. US-Dollar bereitstellen.Zu den Wachstumsfaktoren zählten Experten die sich ändernde Regulierung in den Informationen Sicherheitssektor, das Bewusstsein für neue Bedrohungen und die Ausrichtung von Unternehmen auf eine digitale Geschäftsstrategie.

Im Allgemeinen sind die Kosten für Cybersicherheit größtenteils auf die Reaktion von Unternehmen auf Cybersicherheitsvorfälle zurückzuführen, da die Zahl der hochkarätigen Cyberangriffe und Informationslecks, unter denen Unternehmen weltweit leiden, zunimmt, sagt Ruggero Contu, Forschungsdirektor bei Gartner.

Die Worte des Analysten werden auch durch die Daten bestätigt, die Gartner im Jahr 2016 in einer Umfrage unter 512 Organisationen aus acht Ländern der Welt erhalten hat: Australien, Kanada, Frankreich, Deutschland, Indien, Singapur und die Vereinigten Staaten.

53 % der Befragten nannten Cybersicherheitsrisiken als Hauptantrieb für den Anstieg der Cybersicherheitsausgaben. Von diesen gab der höchste Prozentsatz der Befragten an, dass Bedrohungen durch Cyberangriffe bei Entscheidungen über die Ausgaben für die Informationssicherheit am einflussreichsten sind.

Der Ausblick von Gartner für 2018 sieht einen Anstieg der Ausgaben in allen wichtigen Bereichen vor. So werden etwa 57,7 Milliarden US-Dollar (+ 4,65 Milliarden US-Dollar) für Cyber-Schutzdienste, etwa 17,5 Milliarden US-Dollar (+ 1,25 Milliarden US-Dollar) für die Infrastruktursicherheit und 11,67 Milliarden US-Dollar für Netzwerkschutzausrüstung (+ 735 Millionen US-Dollar) ausgegeben, Verbraucher Software - 4,74 Milliarden US-Dollar (+ 109 Millionen US-Dollar) und IAM-Systeme - 4,69 Milliarden US-Dollar (+ 416 Millionen US-Dollar).

Analysten gehen außerdem davon aus, dass bis 2020 mehr als 60 % der Unternehmen weltweit gleichzeitig in mehrere Datenschutztools investieren werden, darunter die Prävention von Informationsverlust, Verschlüsselung und Auditing. Ende 2017 wurde der Anteil der Unternehmen, die solche Lösungen kaufen, auf 35 % geschätzt.

Ein weiterer wesentlicher Posten der Unternehmensausgaben für die Informationssicherheit wird die Einbindung von externen Spezialisten sein. Es wird erwartet, dass vor dem Hintergrund des Personalmangels im Bereich Cybersecurity, der wachsenden technischen Komplexität von Informationssicherheitssystemen und einer Zunahme von Cyberbedrohungen die Kosten der Unternehmen für die Auslagerung von Informationssicherheit im Jahr 2018 um 11% steigen und sich auf 18,5 Milliarden Dollar.

Nach Berechnungen von Gartner werden bis 2019 die Ausgaben der Unternehmen für die Dienstleistungen externer Informationssicherheitsexperten 75 % der Gesamtkosten für Software und Ausrüstung zur Gewährleistung der Cybersicherheit ausmachen, während diese Quote im Jahr 2016 bei 63 % lag.

IDC prognostiziert eine Marktgröße von 82 Milliarden US-Dollar

Zwei Drittel der Ausgaben entfallen auf Unternehmen, die mit großen und sehr großen Unternehmen verbunden sind. Bis 2019, so IDC-Analysten, wird die Höhe der Ausgaben von Unternehmen mit mehr als 1.000 Mitarbeitern die 50-Milliarden-Dollar-Marke überschreiten.

2016: Marktgröße beträgt 73,7 Milliarden US-Dollar, Wachstum ist 2-mal so groß wie der IT-Markt

Im Oktober 2016 präsentierte das Analyseunternehmen IDC eine Zusammenfassung der Forschung zum globalen Markt für Informationssicherheit. Sein Wachstum wird voraussichtlich höher ausfallen als das des IT-Marktes.

IDC schätzt, dass der weltweite Umsatz mit Ausrüstung, Software und Dienstleistungen für die Cyberabwehr im Jahr 2016 rund 73,7 Milliarden US-Dollar erreichen wird und 2020 die 100 Milliarden US-Dollar überschreiten wird, also 101,6 Milliarden US-Dollar betragen Sicherheitsmarkt-Technologie wird mit einer durchschnittlichen Wachstumsrate von 8,3% jährlich wachsen, was doppelt so hoch ist wie die erwartete Wachstumsrate der IT-Branche.

Die größten Ausgaben für Cybersicherheit (8,6 Milliarden US-Dollar) werden Ende 2016 bei Banken erwartet. Den zweiten, dritten und vierten Platz bei diesen Investitionen belegen Unternehmen der diskreten Fertigung, Behörden und Unternehmen der kontinuierlichen Produktion, die etwa 37 % der Ausgaben ausmachen.

Die führende Rolle bei der Dynamik steigender Investitionen in die Cybersicherheit wird von Analysten dem Gesundheitswesen zugeschrieben (im Zeitraum 2016-2020 wird ein durchschnittliches jährliches Wachstum von 10,3 % erwartet). Die Kosten der Cyber-Abwehr in der Telekommunikations-, Wohnungswirtschaft, Behörden und dem Anlage- und Wertpapiermarkt werden um etwa 9 % pro Jahr steigen.

Den größten Markt für Cybersicherheit nennen Forscher den amerikanischen, dessen Volumen 2016 31,5 Milliarden US-Dollar erreichen wird, zu den Top 3 zählen auch Westeuropa und der asiatisch-pazifische Raum (ohne Japan). In der Kurzfassung der IDC-Umfrage sind keine Informationen zum russischen Markt enthalten.

Dmitry Gvozdev, Generaldirektor des russischen Unternehmens Monitor Security, prognostiziert einen Anstieg des Anteils der Dienstleistungen an den gesamten russischen Sicherheitsausgaben von 30-35% auf 40-45% und prognostiziert auch die Entwicklung der Kundenmarktstruktur - insgesamt Dominanz des Staats-, Finanz- und Energiesektors hin zu mittelständischen Unternehmen aus einem breiteren Branchenspektrum.

Einer der Trends dürfte die Entwicklung des Anteils inländischer Softwareprodukte im Zusammenhang mit den Themen Importsubstitution und außenpolitische Situation sein. Inwieweit sich dies jedoch in Finanzkennzahlen niederschlägt, hängt maßgeblich vom Rubelkurs und der Preispolitik ausländischer Anbieter ab, die noch immer mindestens die Hälfte des inländischen Softwarelösungsmarktes und bis zu zwei Drittel im Gerätesegment einnehmen . Das endgültige jährliche Finanzergebnis des gesamten russischen Marktes für Informationssicherheitslösungen kann auch an externe wirtschaftliche Faktoren geknüpft werden, - sagte Gvozdev im Gespräch mit TAdviser.

2015

MARKTGRÖSSE

BUNDESAUSGABEN

Cyberkriminalität

COST-PER-BREACH

FINANZDIENSTLEISTUNGEN

International

SICHERHEITSANALYTIK

2013: Der EMEA-Markt wuchs auf 2,5 Milliarden US-Dollar.

Die Größe des Marktes für Sicherheitsprodukte in der EMEA-Region (Europa, Mittlerer Osten und Afrika) wuchs im Vergleich zu 2012 um 2,4% und belief sich auf 2,5 Mrd. USD. Analysten nannten multifunktionale Software- und Hardwarekomplexe zum Schutz von Computernetzwerken – UTM-Lösungen ( Einheitliches Gefahren Management). Gleichzeitig prognostizierte IDC, dass der Markt für technische Mittel der Informationssicherheit bis 2018 einen Wert von 4,2 Milliarden US-Dollar bei einem durchschnittlichen jährlichen Wachstum von 5,4% erreichen wird.

Ende 2013 nahm Check Point die führende Position unter den Anbietern in Bezug auf den Umsatz aus dem Verkauf von Inin der EMEA-Region ein. Laut IDC stieg der Umsatz des Anbieters in diesem Segment für 2013 um 3,8% und belief sich auf 374,64 Mio. USD, was einem Marktanteil von 19,3% entspricht.

2012: PAC-Prognose: Der Markt für Informationssicherheit wird um 8 % pro Jahr wachsen

Der globale Markt für Informationssicherheit wird bis 2016 jährlich um 8 % wachsen und dann 36 Milliarden Euro erreichen, heißt es in der Studie.

Wie bereits erwähnt, wird die Sicherheit eines Unternehmens durch eine Reihe von Maßnahmen in allen Phasen seines Lebenszyklus, seines Informationssystems gewährleistet und setzt sich im Allgemeinen aus den Kosten zusammen:

• - Design-Arbeit;
• - Beschaffung und Einstellung von Software- und Hardwareschutztools;
• - die Kosten für die Gewährleistung der physischen Sicherheit;
• - Schulung der Mitarbeiter;
• - Verwaltung und Unterstützung des Systems;
• - Informationssicherheitsaudit;
• - regelmäßige Modernisierung des Informationssicherheitssystems usw.

Der Kostenindikator für die Wirtschaftlichkeit eines integrierten Informationssicherheitssystems ist die Summe der direkten und indirekten Kosten für die Organisation, den Betrieb und die Wartung des Informationssicherheitssystems während des Jahres.

Es kann als ein wichtiger quantitativer Indikator für die Wirksamkeit der Organisation des Informationsschutzes in einem Unternehmen angesehen werden, da es nicht nur die Schätzung der Gesamtkosten des Schutzes ermöglicht, sondern auch die Verwaltung dieser Kosten, um das erforderliche Maß an Unternehmenssicherheit zu erreichen. Die direkten Kosten umfassen jedoch sowohl Kapitalkomponenten der Kosten als auch Arbeitskosten, die in den Kategorien Betrieb und Verwaltung bilanziert werden. Dies umfasst auch die Kosten für Dienstleistungen für Remote-Benutzer usw., die mit der Unterstützung der Aktivitäten der Organisation verbunden sind.

Die indirekten Kosten spiegeln wiederum die Auswirkungen eines integrierten Sicherheitssystems und eines Informationssicherheits-Subsystems auf die Mitarbeiter durch messbare Indikatoren wie Ausfallzeiten und "Einfrieren" des Unternehmeund des integrierten Sicherheitssystems insgesamt, die Betriebs- und Supportkosten wider .

Sehr oft spielen indirekte Kosten eine wesentliche Rolle, da sie sich meist zunächst nicht im Budget für ein integriertes Sicherheitssystem niederschlagen, sondern später in der Kostenanalyse eindeutig identifiziert werden, was letztendlich zu einer Erhöhung der „versteckten“ Kosten des Unternehmens führt. Überlegen Sie, wie Sie die direkten und indirekten Kosten eines integrierten Sicherheitssystems ermitteln können. Angenommen, die Unternehmensleitung arbeitet an der Implementierung eines integrierten Informationssicherheitssystems im Unternehmen. Die Schutzziele und -ziele, Bedrohungen der Informationssicherheit und Gegenmaßnahmen sind bereits festgelegt, die notwendigen Mittel zum Schutz von Informationen sind beschafft und installiert.

In der Regel fallen die Kosten für Informationssicherheit in die folgenden Kategorien:

• - Kosten für die Einrichtung und Aufrechterhaltung der Verwaltungsverbindung des Informationssicherheitssystems;
• - die Kosten der Kontrolle, d. h. um das erreichte Sicherheitsniveau der Unternehmensressourcen zu bestimmen und zu bestätigen;
• - interne Kosten zur Beseitigung der Folgen einer Verletzung der Informationssicherheit - Kosten, die der Organisation dadurch entstehen, dass das erforderliche Sicherheitsniveau nicht erreicht wurde;
• -Externe Kosten für die Beseitigung der Folgen von Inf- Entschädigung für Verluste, die gegen die Sicherheitsrichtlinien verstoßen, in Fällen im Zusammenhang mit Informationslecks, Imageverlust des Unternehmens, Vertrauensverlust von Partnern und Verbrauchern usw .;
• - die Kosten für die Aufrechterhaltung des Informationssicherheitssystems und Maßnahmen zur Verhinderung von Verstößen gegen die Sicherheitspolitik des Unternehmens.

Dabei werden in der Regel einmalige und systematische Kosten unterschieden.

Einmalige Kosten für den Aufbau der Unternehmenssicherheit: Organisationskosten sowie Kosten für den Kauf und die Installation von Sicherheitsausrüstung.

Systematische Betriebs- und Wartungskosten. Die Einordnung der Kosten ist willkürlich, da die Erhebung, Einordnung und Analyse von Kosten für die Informationssicherheit interne Aktivitäten von Unternehmen sind und die detaillierte Entwicklung der Liste von den Merkmalen einer bestimmten Organisation abhängt.

Bei der Ermittlung der Kosten eines Sicherheitssystems kommt es vor allem auf das gegenseitige Verständnis und die Abstimmung der Kostenpositionen innerhalb des Unternehmens an.

Außerdem sollten die Kostenkategorien konstant sein und sich nicht überschneiden. Sicherheitskosten lassen sich nicht vollständig eliminieren, aber auf ein akzeptables Niveau bringen.

Manche Sicherheitskosten sind zwingend notwendig, manche können deutlich reduziert oder eliminiert werden. Letztere sind diejenigen, die ohne Sicherheitsverletzungen verschwinden oder abnehmen können, wenn die Anzahl und die schädlichen Auswirkungen von Sicherheitsverletzungen abnehmen.

Unter Beachtung der Sicherheit und Vorbeugung von Verstößen können folgende Kosten ausgeschlossen oder deutlich reduziert werden:

• - um das Sicherheitssystem wiederherzustellen, um die Sicherheitsanforderungen zu erfüllen;
• - die Ressourcen der Informationsumgebung des Unternehmens wiederherzustellen;
• - für Änderungen innerhalb des Sicherheitssystems;
• - bei Rechtsstreitigkeiten und Entschädigungszahlungen;
• - um die Ursachen von Sicherheitsverletzungen zu ermitteln.

Notwendige Kosten sind solche, die notwendig sind, auch wenn das Niveau der Sicherheitsbedrohungen gering genug ist. Dies sind die Kosten für die Aufrechterhaltung des erreichten Sicherheitsniveaus der Unternehmensinformationsumgebung.

Unvermeidbare Kosten können sein:

• a) Wartung technischer Schutzmittel;
• b) vertrauliche Büroarbeit;
• c) das Funktionieren und die Prüfung des Sicherheitssystems;
• d) das Mindestmaß an Inspektionen und Kontrollen unter Beteiligung spezialisierter Organisationen;
• e) Schulung des Personals in Methoden der Informationssicherheit.

Es gibt jedoch andere Kosten, die schwer zu bestimmen sind. Unter ihnen:

• a) die Kosten für zusätzliche Forschung und Entwicklung einer neuen Marktstrategie;
• b) Verluste durch verringerte Priorität in der wissenschaftlichen Forschung und die Unmöglichkeit der Patentierung und des Verkaufs von Lizenzen für wissenschaftliche und technologische Errungenschaften;
• c) Kosten im Zusammenhang mit der Beseitigung von „Engpässen“ bei der Lieferung, Herstellung und Vermarktung von Produkten;
• d) Verluste durch kompromittierende Produkte des Unternehmens und niedrigere Preise dafür;
• e) das Auftreten von Schwierigkeiten beim Erwerb von Ausrüstungen oder Technologien, einschließlich einer Erhöhung der Preise dafür, Begrenzung des Liefervolumens.

Die aufgeführten Kosten können durch das Handeln von Personal aus verschiedenen Abteilungen verursacht werden, zB Design, Technik, Wirtschaftsplanung, Recht, Wirtschaft, Marketing, Tarifpolitik und Preisgestaltung.

Da es unwahrscheinlich ist, dass Mitarbeiter in all diesen Abteilungen Vollzeit mit externen Verlusten beschäftigt sind, sollte die Ermittlung der Kostenhöhe unter Berücksichtigung des tatsächlichen Zeitaufwands erfolgen. Eines der Elemente externer Verluste kann nicht genau berechnet werden. Dies sind Verluste, die mit der Untergrabung des Unternehmensimages verbunden sind und das Vertrauen der Verbraucher in die Produkte und Dienstleistungen des Unternehmens verringern. Aus diesem Grund verbergen viele Unternehmen, dass ihr Service unsicher ist. Unternehmen befürchten die Veröffentlichung solcher Informationen noch mehr als Angriffe in der einen oder anderen Form.

Viele Unternehmen ignorieren diese Kosten jedoch mit der Begründung, dass sie nicht genau abgeschätzt werden können – sie sind nur spekulativ. Kosten vorbeugender Maßnahmen. Diese Kosten sind wahrscheinlich am schwierigsten abzuschätzen, da Präventionsaktivitäten abteilungsübergreifend durchgeführt werden und viele Dienste betreffen. Diese Kosten können in allen Phasen des Lebenszyklus der Ressourcen der Unternehmensinformationsumgebung auftreten:

• - Planung und Organisation;
• - Beschaffung und Inbetriebnahme;
• - Lieferung und Unterstützung;
• - Überwachung der Prozesse, aus denen die Informationstechnologie besteht.

Darüber hinaus entfallen die meisten Kosten in dieser Kategorie auf die Arbeit des Sicherheitspersonals. Die Präventionskosten umfassen hauptsächlich Gehälter und Gemeinkosten. Die Genauigkeit ihrer Bestimmung hängt jedoch in größerem Maße von der Genauigkeit der Ermittlung der Zeitdauer jedes einzelnen Mitarbeiters ab. Einige der Vorsorgekosten sind leicht direkt zu identifizieren. Sie können insbesondere Zahlungen für verschiedene Werke Dritter umfassen, zum Beispiel:

• - Wartung und Konfiguration von Software- und Hardwareschutztools, Betriebssystemen und gebrauchten Netzwerkgeräten;
• - Durchführung von technischen und technischen Arbeiten zur Installation von Alarmanlagen, Ausstattung vertraulicher Dokumentenspeicher, Schutz von Telefonleitungen, Computerausrüstung usw.;
• - Lieferung vertraulicher Informationen;
• - Konsultationen;
• - Trainingskurse.

Informationsquellen zu den berücksichtigten Kosten. Bei der Ermittlung der Kosten für die Bereitstellung der Informationssicherheit müssen Sie Folgendes beachten:

• - die Kosten für den Erwerb und die Inbetriebnahme von Software- und Hardwarewerkzeugen können aus der Analyse von Rechnungen, Aufzeichnungen in der Lagerdokumentation usw . entnommen werden;
• - Zahlungen an das Personal können den Abrechnungen entnommen werden;
• - die Höhe der Gehaltszahlungen sollte unter Berücksichtigung des tatsächlichen Zeitaufwands für die Durchführung von Arbeiten zur Gewährleistung der Informationssicherheit berücksichtigt werden, wenn nur ein Teil der Zeit des Mitarbeiters für Aktivitäten zur Gewährleistung der Informationssicherheit aufgewendet wird, dann die Durchführbarkeit der Bewertung jeder der Komponenten die Kosten seiner Zeit sollten nicht in Frage gestellt werden;
• - Die Klassifizierung von Sicherheitskosten und deren Aufteilung nach Elementen sollte Teil der täglichen Arbeit im Unternehmen werden.

2018-08-21T12: 03: 34 + 00: 00

Große Handelsunternehmen geben etwa 1 % ihres Jahresumsatzes für die Gewährleistung der physischen Sicherheit ihres Unternehmens aus. Unternehmenssicherheit ist ebenso eine Ressource wie Technologien und Produktionsmittel. Doch beim digitalen Schutz von Daten und Diensten wird es schwierig, die finanziellen Risiken und notwendigen Kosten zu kalkulieren. Wir sagen Ihnen, wie viel Geld aus dem IT-Budget sinnvoll für Cybersecurity bereitgestellt werden kann, ob auf ein Minimum an Tools verzichtet werden kann.

Sicherheitskosten steigen

Handelsorganisationen auf der ganzen Welt, nach Prüfbericht Gartner, gab 2017 rund 87 Milliarden US-Dollar für Cybersicherheitsanforderungen aus, einschließlich Software, spezialisierter Dienste und Hardware. Das sind 7 % mehr als 2016. In diesem Jahr sollen 93 Milliarden erreicht werden, im nächsten Jahr soll die 100-Marke überschritten werden.

Experten zufolge beträgt der Markt für Informationssicherheitsdienste in Russland etwa 55-60 Milliarden Rubel (etwa 900 Tausend US-Dollar). 2/3 davon sind auf Anordnung der Regierung geschlossen. Im Unternehmensbereich hängt der Anteil dieser Kosten stark von der Unternehmensform, der geografischen Lage und dem Tätigkeitsbereich ab.

Inländische Banken und Finanzstrukturen im Durchschnitt investieren in ihrer Cybersicherheit 300 Millionen Rubel pro Jahr, Industrielle - bis zu 50 Millionen, Netzwerkunternehmen (Einzelhandel) - von 10 bis 50 Millionen.

Aber die Wachstumszahlen des russischen Cybersicherheitsmarktes sind seit einigen Jahren 1,5- bis 2-mal höher als im globalen Maßstab. Im Jahr 2017 betrug das Wachstum 15 % (in Bezug auf das Geld der Kunden) im Vergleich zu 2016. Ende 2018 könnte es noch beeindruckender werden.

Die hohen Wachstumsraten sind auf die allgemeine Marktbelebung und das stark gestiegene Augenmerk der Unternehmen auf die wirkliche Sicherheit ihrer IT-Infrastruktur und die Sicherheit der Daten zurückzuführen. Die Kosten für den Aufbau eines Informationsschutzsystems werden heute als Investition betrachtet, sie werden im Voraus geplant und nicht nur als Rest übernommen.

Positive TechnologienAlleinstehende raus drei Wachstumstreiber:

1. Aufsehenerregende Vorfälle der letzten 1,5-2 Jahre haben dazu geführt, dass heute nur noch die Faulen die Rolle der Informationssicherheit für die finanzielle Stabilität eines Unternehmens nicht verstehen. Jeder fünfte Top-Manager interessiert sich für praktische Sicherheit im Kontext seines Unternehmens.

Das vergangene Jahr war lehrreich für Unternehmen, die das Elementar ignorieren ... Das Fehlen aktueller Updates und die Angewohnheit, ohne Rücksicht auf Schwachstellen zu arbeiten, führten zur Schließung der Renault-Werke in Frankreich, Honda und Nissan in Japan; Banken, Energie- und Telekommunikationsunternehmen waren betroffen. Maersk zum Beispiel kostete 300 Millionen Dollar auf einmal.

1. Die Ransomware-Epidemien WannaCry, NotPetya, Bad Rabbit haben einheimischen Unternehmen beigebracht, dass die Installation von Antivirenprogrammen und Firewalls nicht ausreicht, um sich sicher zu fühlen. Sie benötigen eine umfassende Strategie, eine Bestandsaufnahme Ihrer IT-Assets, dedizierte Ressourcen und eine Strategie zur Abwehr von Bedrohungen.
2. In gewisser Weise gibt der Staat den Ton an, der einen Kurs in Richtung einer digitalen Wirtschaft angekündigt hat, die alle Bereiche umfasst (von Gesundheit und Bildung bis hin zu Verkehr und Finanzen). Diese Politik wirkt sich direkt auf das Wachstum des IT-Sektors im Allgemeinen und der Informationssicherheit im Besonderen aus.

Die Kosten von Sicherheitslücken

All dies ist lehrreich, aber jedes Unternehmen ist eine einzigartige Geschichte. Die Frage, wie viel man aus dem allgemeinen IT-Budget des Unternehmens für Informationssicherheit ausgeben soll, ist zwar nicht richtig, aber aus Kundensicht die drängendste.

Internationales Research-Unternehmen IDC am Beispiel des kanadischen Marktes Anrufe optimal 9,8-13,7 % der Investitionen in Cybersicherheit des gesamten IT-Budgets im Unternehmen. Das heißt, das kanadische Unternehmen gibt jetzt im Durchschnitt etwa 10 % für diesen Bedarf aus (man glaubt, dass dies ein Indikator für ein gesundes Unternehmen ist), aber laut Umfragen würde es gerne näher bei 14 % liegen.

Unternehmen haben keinen Grund sich zu fragen, wie viel sie für ihre Informationssicherheit ausgeben müssen, um ruhig zu bleiben. Die Bewertung der Risiken von Cybersicherheitsvorfällen ist heute nicht schwieriger als die Berechnung der Verluste durch physische Bedrohungen. Es gibt eine weltweite Statistiken , wonach:

• Hackerangriffe kosten die Weltwirtschaft jährlich mehr als 110 Milliarden US-Dollar.
• Bei kleinen Unternehmen kostet jeder Vorfall durchschnittlich 188.000 US-Dollar.
• 51% der Hacks im Jahr 2016 richteten sich gegen organisierte kriminelle Gruppen gegen ein bestimmtes Unternehmen.
• 75% der Angriffe werden mit dem Ziel durchgeführt, materiellen Schaden anzurichten, finanziell motiviert.

Im Frühjahr 2018 führte Kaspersky Lab seine groß angelegte lernen ... Laut einer Umfrage unter 6.000 Unternehmensspezialisten auf der ganzen Welt ist der Schaden durch Hacking von Unternehmensnetzwerken und Datenlecks in den letzten Jahren um 20-30% gestiegen.

Die durchschnittlichen Schadenskosten für den Februar 2018 für kommerzielle Organisationen betrugen unabhängig von Größe und Tätigkeitsbereich 1,23 Millionen US-Dollar. Für KMU kostet ein Personalfehler oder das erfolgreiche Vorgehen von Hackern 120.000 Dollar.

Machbarkeitsstudie für Informationssicherheit

Um die für die Organisation der Informationssicherheit im Unternehmen notwendigen finanziellen Mittel richtig einschätzen zu können, ist die Erstellung einer Machbarkeitsstudie erforderlich.

1. Wir führen eine Bestandsaufnahme der IT-Infrastruktur durch und bewerten Risiken, erstellen eine Liste von Schwachstellen in absteigender Wichtigkeit. Reputationsverluste (eine Erhöhung der Versicherungstarife, eine Verringerung der Kreditwürdigkeit, die Kosten für Ausfallzeiten von Diensten), die Kosten für die Wiederherstellung des Systems (Aktualisierung von Geräten und Software) sind hier ebenfalls enthalten.
2. Wir listen die Aufgaben auf, die das Informationssicherheitssystem lösen soll.
3. Wir wählen Geräte und Werkzeuge zur Problemlösung aus und ermitteln deren Kosten.

Verfügt das Unternehmen nicht über die Kompetenzen zur Einschätzung von Cybersicherheitsbedrohungen und -risiken, können Sie jederzeit ein Informationssicherheitsaudit nebenbei bestellen. Heute ist dieses Verfahren kurzlebig, kostengünstig und schmerzlos.

Industrieunternehmen mit einem hohen Maß an Prozessautomatisierungsexperten empfehlen Verwenden Sie ein adaptives Sicherheitsarchitekturmodell (Adaptive Sicherheitsarchitektur), vorgeschlagen im Jahr 2014 von Gartner. Es ermöglicht Ihnen, die Kosten für die Informationssicherheit richtig zuzuordnen, indem Sie den Tools zur Erkennung und Reaktion auf Bedrohungen mehr Aufmerksamkeit schenken, und impliziert die Implementierung eines Überwachungs- und Analysesystems für die IT-Infrastruktur.

Wie viel Cybersicherheit kostet für kleine Unternehmen

Die Autoren des Capterra-Blogs haben sich entschieden zusammenzählen wie viel das Informationssicherheitssystem für kleine und mittelständische Unternehmen im ersten Jahr der Nutzung durchschnittlich kostet. Dafür wurde gewählt aufführen aus 50 beliebten "Box"-Angeboten auf dem Markt.

Es stellte sich heraus, dass die Preisspanne recht groß ist: von 50 US-Dollar pro Jahr (es gibt sogar 2-3 kostenlose Lösungen für kleine Unternehmen) bis 6 Tausend Dollar (es gibt Einzelpakete und jeweils 24 Tausend, die jedoch nicht enthalten waren die Berechnung). Im Durchschnitt kann ein kleines Unternehmen mit 1.400 US-Dollar rechnen, um ein rudimentäres Cyber-Abwehrsystem aufzubauen.

Die billigsten technischen Lösungen, wie ein geschäftliches VPN oder E-Mail-Schutz, können zum Schutz vor bestimmten Arten von Bedrohungen (wie Phishing) beitragen.

Am anderen Ende des Spektrums stehen komplette Überwachungssysteme mit „fortgeschrittener“ Ereignisreaktion und umfassenden Schutztools. Sie tragen dazu bei, das Unternehmensnetzwerk vor großflächigen Angriffen zu schützen und ermöglichen es teilweise sogar, ihr Auftreten vorherzusagen und frühzeitig zu stoppen.

Das Unternehmen kann für das Informationssicherheitssystem zwischen mehreren Zahlungsmodellen wählen:

• Preis pro Lizenz, Durchschnittspreis - $ 1000-2000 oder $ 26 bis $ 6000 pro Lizenz.
• Preis pro Benutzer. Die durchschnittlichen Kosten eines Informationssicherheitssystems pro Benutzer in einem Unternehmen betragen 37 US-Dollar, die Spanne liegt zwischen 4 US-Dollar und 130 US-Dollar pro Person und Monat.
• Der Preis für das verbundene Gerät. Die durchschnittlichen Kosten für dieses Modell betragen 2,25 USD pro Gerät. Der Preis reicht von 0,96 bis 4,5 US-Dollar pro Monat.

Um die Kosten der Informationssicherheit richtig kalkulieren zu können, muss selbst ein kleines Unternehmen die Grundlagen des Risikomanagements umsetzen. Der allererste Vorfall (Standort, Service, Zahlungssystem ausgefallen), der nicht innerhalb von 24 Stunden behoben werden kann, kann zur Schließung des Geschäfts führen.

Die Global Corporate IT Security Risks Survey von Kaspersky Lab ist eine jährliche Analyse der Trends in der Informationssicherheit von Unternehmen weltweit. Wir betrachten so wichtige Aspekte der Cybersicherheit wie die Kosten der Informationssicherheit, die aktuellen Arten von Bedrohungen für verschiedene Arten von Unternehmen und die finanziellen Folgen der Konfrontation mit diesen Bedrohungen. Darüber hinaus können wir durch Einblicke in die Infvon Führungskräften sehen, wie Unternehmen auf der ganzen Welt auf Veränderungen in der Bedrohungslandschaft reagieren.

Im Jahr 2017 haben wir versucht zu verstehen, ob Unternehmen Informationssicherheit als Kostenquelle (ein notwendiges Übel, für das sie Geld ausgeben müssen) oder als strategische Investition (d. h. ein Mittel zur Gewährleistung der Geschäftskontinuität, das erhebliche Vorteile in einer Zeit sich schnell entwickelnder Cyber-Bedrohungen).

Dies ist ein sehr wichtiges Thema, zumal das IT-Budget in den meisten Regionen der Welt zurückgegangen ist.

In Russland wurde das durchschnittliche Sicherheitsbudget 2017 jedoch leicht erhöht - 2%. Das durchschnittliche Budget für Informationssicherheit in Russland betrug etwa 15,4 Millionen Rubel.

Dieser Bericht beschreibt die Arten von Bedrohungen, denen Unternehmen jeder Größe ausgesetzt sind, sowie die Muster bei der Verteilung der IT-Kosten.

Allgemeine Informationen und Forschungsmethodik

Die globale Unternehmensumfrage zu IT-Sicherheitsrisiken von Kaspersky Lab ist eine seit 2011 jährlich durchgeführte Umfrage unter IT-Managern in ihren Unternehmen.

Die neuesten Daten wurden im März und April 2017 erhoben. Insgesamt wurden 5.274 Befragte aus mehr als 30 Ländern befragt, an der Studie nahmen Unternehmen unterschiedlicher Größe teil.

Im Bericht werden manchmal die folgenden Bezeichnungen verwendet: Kleinunternehmen - weniger als 50 Mitarbeiter, KMU (mittlere und kleine Unternehmen - von 50 bis 250 Mitarbeitern) und Großunternehmen (Unternehmen mit 250 Mitarbeitern). Der aktuelle Bericht enthält eine Analyse der wichtigsten Parameter der Umfrage.

Wichtigste Schlussfolgerungen:

Unternehmen jeder Größe haben es schwerer, Cyber-Bedrohungen zu bekämpfen, und auch die Schutzkosten steigen. In Russland betragen die durchschnittlichen Kosten für die Beseitigung der Folgen eines einzigen Cyber-Vorfalls im Segment der mittleren und kleinen Unternehmen 1,6 Millionen Rubel, während die Kosten für das Segment der großen Unternehmen 16,1 Millionen Rubel betragen.

Der Anteil des IT-Budgets für Informationssicherheit wächst. Dies gilt für Unternehmen jeder Größe. Gleichzeitig bleibt der Gesamtbetrag des Budgets niedrig, und in Russland betrug das Wachstum nur 2%, sodass Spezialisten gezwungen sind, ihre Aufgaben mit wenigen Ressourcen zu erfüllen.

Der Schaden allein durch einen Vorfall wächst und Unternehmen, die die Kosten für die Informationssicherheit nicht priorisieren, stehen möglicherweise bald vor großen Herausforderungen. Die Studie zeigte, dass Unternehmen im KMU-Segment für jeden Sicherheitsvorfall etwa 300.000 RUB für zusätzliche Leistungen an Arbeitnehmer ausgeben, während große Unternehmen 2,7 Millionen RUB ausgeben können, um Markenschäden zu reduzieren.

Schäden durch Sicherheitsvorfälle

Der Schaden durch Cybersicherheitsvorfälle wächst weiter, da Unternehmen mit einer Vielzahl von Konsequenzen konfrontiert sind, von zusätzlicher Öffentlichkeitsarbeit bis hin zur Einstellung neuer Mitarbeiter. Im Jahr 2017 kam es zu einem weiteren Anstieg der Vermögensschäden bei Verletzungen der Datenintegrität. Dies sollte die Herangehensweise an dieses Thema beeinflussen: Unternehmen werden die Kosten für Cybersicherheit nicht mehr als notwendiges Übel betrachten, sondern sie als Investitionen betrachten, die im Falle eines Angriffs erhebliche finanzielle Verluste vermeiden.

Schwere Verletzungen der Datenintegrität werden immer teurer

Die größte Sorge von CTOs sind massive Angriffe, die Millionen von Datensätzen durchsickern lassen. Das waren die Angriffe auf den britischen National Health Service (NHS), Sony oder den HBO-Hack mit der Veröffentlichung vertraulicher Daten im Zusammenhang mit der Serie "Game of Thrones". Tatsächlich sind solche Großereignisse jedoch eher die Ausnahme als die Regel. Die meisten Cyberangriffe machten erst im vergangenen Jahr Schlagzeilen und blieben Sonderberichten für Spezialisten vorbehalten. Natürlich haben die Ransomware-Epidemien die Situation ein wenig verändert, aber der Unternehmensbereich des Unternehmens versteht immer noch nicht das ganze Bild.

Die relativ geringe Anzahl bekannter Cyber-Großangriffe bedeutet nicht, dass der Schaden der meisten Angriffe unerheblich ist. Wie viel geben Unternehmen also durchschnittlich für die Behebung einer „typischen“ Verletzung der Datenintegrität aus? Wir haben die Umfrageteilnehmer gebeten, zu schätzen, wie viel ihr Unternehmen aufgrund eines im letzten Jahr aufgetretenen Sicherheitsvorfalls ausgegeben/verloren hat.

Alle Unternehmen mit 50 oder mehr Mitarbeitern mussten die angefallenen Kosten in jeder der folgenden Kategorien schätzen:

Für jede der Kategorien haben wir die durchschnittlichen Kosten berechnet, die Unternehmen bei Informationssicherheitsvorfällen entstehen, und die Summe aller Kategorien ermöglichte es uns, die Höhe des Gesamtschadens durch einen Informationssicherheitsvorfall abzuschätzen.

Die Ergebnisse für den Mittelstand und das Großunternehmen werden im Folgenden getrennt dargestellt, da sich die Statistiken für sie in vielerlei Hinsicht unterscheiden. Zum Beispiel beträgt der durchschnittliche Schaden für russische KMU-Unternehmen fast 1,6 Millionen Rubel, während er für große Unternehmen fast zehnmal höher ist - 16,1 Millionen Rubel. Dies zeigt, dass Cyberangriffe für Unternehmen jeder Größe kostspielig sind.

Es überrascht nicht, dass große Unternehmen im Durchschnitt mehr Verluste erleiden, wenn die Datenintegrität verletzt wird, aber es ist interessant, die Schadensverteilung nach Kategorien zu analysieren.

Im vergangenen Jahr waren Leistungen an Arbeitnehmer der größte Aufwand sowohl für KMU als auch für große Unternehmen. In diesem Jahr hat sich das Bild jedoch geändert, da verschiedene Arten von Ausgaben für Unternehmen unterschiedlicher Größe zu den wichtigsten werden. Kleine und mittelständische Unternehmen verlieren immer noch am meisten bei den Leistungen an Arbeitnehmer. Aber die Großkonzerne begannen, in zusätzliche PR zu investieren, um den Ruf der Marke zu mindern. Ein wesentlicher Kostenfaktor für Großunternehmen waren zudem die Kosten für die Verbesserung der technischen Ausstattung und die Anschaffung zusätzlicher Software.

Für alle Unternehmen sind die Kosten für die Mitarbeiterschulung gestiegen. Sicherheitsvorfälle lassen Unternehmen oft erkennen, wie wichtig es ist, die Cyber-Kompetenz zu erhöhen und Bedrohungsinformationen zu verbessern.

Die breiteren internen Ressourcen großer Unternehmen und die Besonderheiten der Regulierung ihrer Aktivitäten bestimmen ein unterschiedliches Gleichgewicht zwischen den Kosten der Beseitigung der Bedrohung selbst und den Kosten des Schadenersatzes. Ein schwerwiegender Kostenfaktor waren die Erhöhung der Versicherungsprämien, die Verschlechterung der Kreditwürdigkeit und die Untergrabung des Vertrauens in das Unternehmen: Im Durchschnitt verlieren große Unternehmen nach jedem Vorfall etwa 2,3 Millionen Rubel.

Unsere Untersuchungen ergaben, dass ein Großteil der Kostensteigerungen auf die Notwendigkeit zurückzuführen war, Reputationsverluste in Form von Bonität, Markenimage und Vergütung zu verhindern oder zumindest zu reduzieren.

Durch die flächendeckende Umsetzung neuer Vorschriften dürfte der durchschnittliche Schaden weiter ansteigen, da Unternehmen alle Vorfälle öffentlich melden und die Transparenz des Datenschutzes erhöhen müssen.

Solche Trends sind beispielsweise in Japan typisch, wo sich die durchschnittlichen Kosten für die Beseitigung der Folgen einer Sicherheitsverletzung mehr als verdoppelt haben: von 580.000 US-Dollar im Jahr 2016 auf 1,3 Millionen US-Dollar im Jahr 2017. Die japanische Regierung hat Maßnahmen ergriffen, um die regulatorischen Anforderungen als Reaktion auf die Zunahme von Cybersicherheitsbedrohungen zu verschärfen. 2017 traten neue Gesetze in Kraft, die zu einem plötzlichen Kostenanstieg führten.

Die Entwicklung und Umsetzung von Gesetzen braucht jedoch Zeit. Angesichts der sich schnell entwickelnden IT-Landschaft von Unternehmen und der sich entwickelnden Cyberbedrohung wird die Verzögerung bei der Regulierung zu einer großen Herausforderung. 2015 wurden beispielsweise neue japanische Standards vereinbart, deren Inkrafttreten jedoch um zwei Jahre verschoben werden musste. Für viele hatte die Verzögerung ihren Preis: In den letzten zwei Jahren wurden mehrere große japanische Unternehmen kostspieligen Angriffen zum Opfer gefallen. Ein Beispiel ist das Reiseunternehmen JTB Corp., das 2016 mit einem großen Leck konfrontiert wurde. 8 Millionen Kundendaten wurden gestohlen, darunter Namen, Adressen und Passnummern.

Dies ist eines der Symptome eines globalen Problems: Bedrohungen entwickeln sich rasant, und die Trägheit von Regierungen und Unternehmen ist zu hoch. Ein weiteres Beispiel für das Anziehen der Schrauben ist die im Mai 2018 in Kraft getretene Europäische Datenschutzgrundverordnung (DSGVO), die die akzeptablen Arten der Verarbeitung und Speicherung von Daten von EU-Bürgern erheblich einschränkt.

Gesetze ändern sich weltweit, aber sie können mit Cyber-Bedrohungen nicht Schritt halten – drei Ransomware-Wellen im Jahr 2017 haben in Russland daran erinnert. Unternehmen sollten daher auf Rechtsmängel achten und den Schutz entsprechend den tatsächlichen Gegebenheiten verstärken – oder Reputations- und Kundenschäden schon im Vorfeld in Kauf nehmen. Es lohnt sich, sich auf neue regulatorische Anforderungen vorzubereiten, ohne Fristen abzuwarten. Durch die Änderung von Richtlinien nach der Verabschiedung der entsprechenden Gesetze riskieren Unternehmen nicht nur Bußgelder, sondern auch die Sicherheit ihrer Daten und der Kundendaten.

Es gibt keine fremden Schwachstellen: Partnerschutzlöcher sind teuer

Um sich vor Datenlecks zu schützen, ist es sehr wichtig zu verstehen, welche Angriffsvektoren von Angreifern verwendet werden. Diese Informationen wiederum helfen Ihnen zu verstehen, welche Arten von Angriffen am teuersten sind.

Die Umfrage ergab, dass die folgenden Vorfälle die gravierendsten finanziellen Folgen für mittlere und kleine Unternehmen hatten:

• Vorfälle mit Auswirkungen auf die Infrastruktur, die auf Geräten von Drittanbietern gehostet wird (17,2 Millionen RUB)
• Vorfälle, die vom Unternehmen genutzte Cloud-Dienste von Drittanbietern betreffen (3,6 Millionen Rubel)
• Unsachgemäßer Datenaustausch über mobile Geräte (2,5 Mio. RUB)
• Physischer Verlust von Mobilgeräten, wodurch das Unternehmen Risiken ausgesetzt ist (2,1 Millionen RUB)
• Vorfälle im Zusammenhang mit mit dem Internet verbundenen Geräten ohne Computer (z. B. industrielle Steuerungssysteme, Internet der Dinge) (1,7 Millionen Rubel)

Etwas anders sieht die Situation bei den Großunternehmen aus:

• Gezielte Angriffe (RUB 75 Millionen)
• Vorfälle mit Auswirkungen auf Cloud-Dienste von Drittanbietern (19 Millionen RUB)
• Viren und Malware (9 Millionen RUB)
• Unsachgemäßer Datenaustausch über mobile Geräte (7,3 Mio. RUB)
• Vorfälle bei Lieferanten, mit denen Unternehmen Daten austauschen (4,4 Millionen Rubel)

Aus diesen Daten ist ersichtlich, dass Angriffe aufgrund von Sicherheitsproblemen bei Geschäftspartnern Unternehmen jeder Größe sehr oft am teuersten kosten. Dies gilt sowohl für Organisationen, die Cloud- oder sonstige Infrastruktur von Drittanbietern mieten, als auch für Unternehmen, die ihre Daten mit Partnern austauschen.

Sobald Sie einem anderen Unternehmen Zugriff auf Ihre Daten oder Infrastruktur gewähren, werden deren Schwächen zu Ihrem Problem. Wir haben jedoch bereits beobachtet, dass die meisten Organisationen darauf nicht genügend Wert legen. Daher ist es nicht verwunderlich, dass Vorfälle dieser Art am teuersten sind: Jeder Boxer wird Ihnen sagen, dass es der unerwartete Schlag ist, der normalerweise KO schlägt.

Ebenfalls sofort auffällig ist ein weiterer Vektor, der unerwartet in die Top-5-Bedrohungen für mittelständische Unternehmen eingetreten ist: Angriffe auf andere verbundene Geräte als Computer. Heutzutage wächst der Internet der Dinge (IoT)-Datenverkehr viel schneller als der Datenverkehr, der von jeder anderen Technologie generiert wird. Dies ist ein weiteres Beispiel dafür, wie neue Entwicklungen die Anzahl potenzieller Schwachstellen in der Unternehmensinfrastruktur erhöhen. Insbesondere die weit verbreitete Verwendung von werkseitig voreingestellten Passwörtern und schwachen Sicherheitsfunktionen auf IoT-Geräten hat sie zu einem idealen Fang für Botnetze wie Mirai gemacht, eine Malware, die eine große Anzahl anfälliger Geräte in einem einzigen Netzwerk vereinen kann, um groß angelegte DDoS-Angriffe zu starten gegen ausgewählte Ziele.

Es wird auf die Höhe des Schadens durch gezielte Angriffe im großen Geschäftssegment hingewiesen – dieser Bedrohung ist nur sehr schwer zu begegnen. In den letzten Jahren ist eine Reihe von hochkarätigen gezielten Angriffen auf Banken bekannt geworden, was diese enttäuschende Statistik ebenfalls untermauert.

In die Risikominderung investieren

Wie unsere Untersuchungen gezeigt haben, werden Bedrohungen der Informationssicherheit immer ernster. Unter diesen Bedingungen kann man sich nur um den Zustand der Informationssicherheitsbudgets selbst sorgen. Durch die Analyse ihrer Veränderungen können wir entscheiden, ob Unternehmen ihre Sicherheit als Kostenquelle sehen oder sich das Gleichgewicht allmählich ändert und sie beginnen, ein Feld für Investitionen zu erkennen, die einen echten Wettbewerbsvorteil bieten.

Die Höhe des Budgets zeigt die Einstellung des Unternehmens zur IT-Sicherheit, die Bedeutung der Rolle des Sicherheitssystems aus Sicht des Managements und die Risikobereitschaft der Organisation.

Informationssicherheitsbudget: Der Anteil wächst, der „Kuchen“ wird kleiner

In diesem Jahr sehen wir, dass Einsparungen und Outsourcing zu einem Rückgang der IT-Budgets geführt haben. Trotzdem (und vielleicht gerade deswegen) ist der Anteil der Informationssicherheit in diesen IT-Budgets gestiegen. In Russland ist bei Unternehmen jeder Größe ein positiver Trend zu erkennen. Selbst bei Kleinstunternehmen, die unter Ressourcenmangel arbeiten, ist der Anteil der IT-Budgets für Informationssicherheit gestiegen, wenn auch um einen Bruchteil eines Prozents.

Dies bedeutet, dass Unternehmen endlich beginnen, die Bedeutung der Informationssicherheit zu verstehen. Vielleicht zeigt dies, dass Informationssicherheit von vielen als potenziell nützliche Investition und nicht als Kostenquelle wahrgenommen wurde.

Wir sehen, dass die IT-Budgets weltweit deutlich reduziert werden. Während die Cybersicherheit ein größeres Stück vom Kuchen gewinnt, schrumpft der Kuchen selbst. Der Trend ist besorgniserregend, insbesondere wenn man bedenkt, wie hoch die Einsätze in diesem Bereich sind und wie teuer jeder Angriff ist.

In Russland erreichte das durchschnittliche Informationssicherheitsbudget für Großunternehmen im Jahr 2017 400 Millionen Rubel und für KMU - 4,6 Millionen Rubel.

Stichprobe: 694 Befragte in Russland, die das Budget einschätzen können

Es überrascht nicht, dass Regierungsdienstleister (einschließlich des Verteidigungssektors) und Finanzinstitute auf der ganzen Welt in diesem Jahr die höchsten Ausgaben für Informationssicherheit melden. Unternehmen in beiden Sektoren gaben im Durchschnitt mehr als 5 Millionen US-Dollar für Sicherheit aus. Bemerkenswert ist, dass auch die IT- und Telekommunikationsbranche sowie Unternehmen der Energiewirtschaft überdurchschnittlich viel für die Informationssicherheit ausgegeben haben, obwohl ihre Budgets eher bei 3 Millionen US-Dollar und nicht bei 5 US-Dollar liegen.

Wenn Sie jedoch die Gesamtkosten durch die Anzahl der Mitarbeiter teilen, bewegen sich die Regierungsorganisationen zum Ende der Liste. Im Durchschnitt geben IT und Telekommunikation 1258 US-Dollar pro Kopf für Cybersicherheit aus, der Energiesektor 1344 US-Dollar und Finanzunternehmen 1436 US-Dollar. Im Vergleich dazu stellen Regierungsbehörden nur 959 US-Dollar pro Person für die Cybersicherheit bereit.

Sowohl in der IT- und Telekommunikationsbranche als auch in der Energieversorgung sind hohe Kosten pro Mitarbeiter höchstwahrscheinlich mit dem in diesen Wirtschaftszweigen besonders dringenden Schutz des geistigen Eigentums verbunden. Bei Versorgungsunternehmen können die hohen Schutzkosten auch darauf zurückzuführen sein, dass diese Unternehmen zunehmend anfälliger für gezielte Angriffe böswilliger Gruppen sind.

In dieser Branche sind Investitionen in die Informationssicherheit überlebenswichtig, da die Geschäftskontinuität für die Stromversorgung von entscheidender Bedeutung ist. Die Folgen eines erfolgreichen Cyberangriffs sind in dieser Branche besonders schwer, sodass Investitionen in die Informationssicherheit einen ganz handfesten Nutzen bringen.

In Russland werden IT und Telekommunikation hauptsächlich in die Informationssicherheit sowie in Industrieunternehmen investiert - die durchschnittlichen Kosten für erstere betragen 300 Millionen Rubel, für letztere 80 Millionen Rubel. Industrie- und Fertigungsunternehmen setzen in der Regel auf automatisierte Kontrollsysteme (IKS), um die Kontinuität ihrer Produktionsprozesse zu gewährleisten. Gleichzeitig nimmt die Zahl der Angriffe auf ICS zu: In den letzten 12 Monaten ist ihre Zahl um 5 % gestiegen.

Gründe für Investitionen in Informationssicherheit

Die Streuung der Investitionen in die Informationssicherheit zwischen den Sektoren ist sehr groß. Daher ist es besonders wichtig, die Gründe herauszufinden, die Unternehmen dazu bewegen, begrenzte Ressourcen für die Informationssicherheit aufzuwenden. Ohne die Beweggründe zu kennen, ist nicht nachvollziehbar, ob das Unternehmen das Geld, das für die Sicherheit der IT-Infrastruktur ausgegeben wird, als verschwendet oder als lohnende Investition betrachtet.

Im Jahr 2017 gaben weltweit deutlich mehr Unternehmen zu, dass sie unabhängig von der erwarteten Kapitalrendite in Cybersicherheit investieren würden: 63 % gegenüber 56 % im Jahr 2016. Dies zeigt, dass immer mehr Unternehmen die Bedeutung der Informationssicherheit erkennen.

Die Hauptgründe für die Erhöhung des Informationssicherheitsbudgets, Russland

Nicht alle Unternehmen erwarten einen schnellen Return on Investment, aber viele globale Unternehmen nannten den Druck wichtiger Interessengruppen, einschließlich des Top-Managements des Unternehmens (32%), als Grund für die Erhöhung der Informationssicherheitsbudgets. Dies zeigt, dass Unternehmen ihren strategischen Vorteil in den steigenden Kosten der Informationssicherheit sehen: Sicherheitsmaßnahmen ermöglichen es, sich nicht nur im Falle eines Angriffs zu schützen, sondern auch den Kunden zu zeigen, dass ihre Daten in sicheren Händen sind zur Sicherstellung der Geschäftskontinuität, an der die Unternehmensleitung interessiert ist. ...

Als häufigster Grund für die Erhöhung der Kosten der Informationssicherheit nannten die meisten inländischen Unternehmen die Notwendigkeit, eine immer komplexer werdende IT-Infrastruktur zu schützen (46%), und die Notwendigkeit, die Qualifikation von Informationssicherheitsexperten zu verbessern, nannten 30%. Diese Zahlen weisen auf die Notwendigkeit hin, das dem Unternehmen zur Verfügung stehende Fachwissen durch die Entwicklung der Fähigkeiten seiner eigenen Mitarbeiter zu verbessern. Tatsächlich investieren sowohl kleine und mittlere als auch große Unternehmen zunehmend in die Unterstützung ihrer internen Mitarbeiter im Kampf gegen Cyber-Bedrohungen.

Gleichzeitig ist die Notwendigkeit, die Kosten für Informationssicherheit aufgrund neuer Geschäftstätigkeiten oder Unternehmenserweiterungen bei russischen Unternehmen zu erhöhen, gesunken: von 36 % im letzten Jahr auf 30 % im Jahr 2017. Vielleicht spiegelt es die makroökonomischen Faktoren wider, mit denen unsere Unternehmen in letzter Zeit konfrontiert waren.

Fazit

Massenangriffe wie WannaCry, exPetr und BadRabbit richteten 2017 massiven Schaden an. Auch durch gezielte Angriffe, insbesondere auf russische Banken, ist der Schaden groß. All dies zeigt, dass sich die Cyber-Bedrohungslandschaft schnell und unweigerlich verändert. Unternehmen müssen ihre Abwehrmaßnahmen anpassen oder werden aus dem Geschäft gelassen.

Ein immer wichtigerer Faktor bei der Entscheidungsfindung in Unternehmen ist die Differenz zwischen den Kosten für die Vorbereitung auf die Abwehr von Cyberangriffen und den Kosten, die dem Opfer entstehen.

Der Bericht zeigt, dass selbst relativ kleine Datenschutzverletzungen, die für die Öffentlichkeit nicht von Interesse sind, für ein Unternehmen sehr kostspielig sein und seinen Betrieb ernsthaft beeinträchtigen können. Ein weiterer Grund für den Anstieg der Kosten bei Sicherheitsvorfällen sind weltweite Gesetzesänderungen. Unternehmen müssen sich entweder anpassen oder riskieren sowohl die Nichteinhaltung als auch mögliche Hackerangriffe.

Unter diesen Umständen ist es besonders wichtig, alle Konsequenzen und Kosten zu berücksichtigen. Vielleicht erhöhen deshalb immer mehr Unternehmen aus verschiedenen Ländern den Anteil der Informationssicherheit in ihren IT-Budgets. Im Jahr 2017 gaben weltweit deutlich mehr Unternehmen zu, dass sie unabhängig von der erwarteten Kapitalrendite in Cybersicherheit investieren würden: 63 % gegenüber 56 % im Jahr 2016.

Aufgrund des wachsenden Schadens durch Cybersicherheitsvorfälle sind höchstwahrscheinlich diejenigen Organisationen, die IT-Kosten als Investitionen in die Sicherheit betrachten und bereit sind, erhebliche Mittel dafür auszugeben, besser auf mögliche Probleme vorbereitet. Wie ist die Situation in Ihrem Unternehmen?

Es gibt zwei Hauptansätze, um die Kosten der Informationssicherheit zu rechtfertigen.

Wissenschaftliche Herangehensweise... Dazu ist es erforderlich, das Management des Unternehmens (oder seines Eigentümers) in die Bewertung der Kosten der Informationsressourcen einzubeziehen und die Bewertung potenzieller Schäden durch Verstöße im Bereich des Informationsschutzes zu ermitteln.

1. Wenn die Informationskosten niedrig sind, keine wesentlichen Bedrohungen für die Informationsressourcen des Unternehmens bestehen und der potenzielle Schaden minimal ist, erfordert die Gewährleistung der Informationssicherheit weniger Finanzmittel.

2. Wenn die Informationen einen bestimmten Wert haben, die Bedrohungen und der potenzielle Schaden erheblich und identifiziert sind, stellt sich die Frage nach der Budgetierung der Kosten des Teilsystems Informationssicherheit. In diesem Fall ist es notwendig, ein unternehmensweites Informationssicherheitssystem aufzubauen.

Ein praktischer Ansatz besteht darin, die Option der tatsächlichen Kosten eines Unternehmebasierend auf ähnlichen Systemen in anderen Bereichen zu ermitteln. Experten und Praktiker auf dem Gebiet der Informationssicherheit glauben, dass die Kosten eines Informationssicherheitssystems ungefähr 10-20% der Kosten eines Unternehmensinformationssystems betragen sollten, abhängig von den spezifischen Anforderungen an das Informationssicherheitsregime.

Bei der Entwicklung spezifischer Methoden zur Bewertung der Wirksamkeit eines Informationssicherheitssystems werden allgemein anerkannte Anforderungen zur Gewährleistung des Informationssicherheitsregimes „Best Practice“ (basierend auf praktischer Erfahrung), formalisiert in einer Reihe von Standards, wie beispielsweise ISO 17799, in die Praxis umgesetzt.

Durch den Einsatz moderner Methoden zur Ermittlung der Kosten der Informationssicherheit können Sie den gesamten Aufwandsteil des Informationsvermögens einer Organisation berechnen, einschließlich direkter und indirekter Kosten für Hard- und Software, organisatorische Maßnahmen, Aus- und Weiterbildung der Mitarbeiter, Reorganisation, Unternehmensumstrukturierung , etc.

Sie sind notwendig, um die Wirtschaftlichkeit bestehender Unternehmenssicherheitssysteme nachzuweisen und es Informationssicherheitsmanagern zu ermöglichen, das Informationssicherheitsbudget zu begründen sowie die Wirksamkeit der Mitarbeiter des entsprechenden Dienstes nachzuweisen. Die von ausländischen Unternehmen verwendeten Kostenschätzungsmethoden ermöglichen:

Erhalten Sie angemessene Informationen über das Sicherheitsniveau einer verteilten Computerumgebung und die Gesamtbetriebskosten eines Unternehmensinformationssicherheitssystems.

Vergleichen Sie die Ineiner Organisation sowohl untereinander als auch mit ähnlichen Abteilungen anderer Organisationen der Branche.

Optimieren Sie die Investitionen Ihres Unternehmens in die Informationssicherheit.

Eine der bekanntesten Kostenschätzungstechniken in Bezug auf ein Informationssicherheitssystem ist die Gesamtbetriebskosten (TCO) der Gartner Group Die CER-Kennzahl ist die Summe der direkten und indirekten Kosten für die Organisation (Reorganisation), den Betrieb und die Wartung des Unternehmewährend des Jahres. Es kommt praktisch in allen wesentlichen Phasen des Lebenszyklus eines betrieblichen Informationssicherheitssystems zum Einsatz und ermöglicht es, die Wirtschaftlichkeit der Einführung und Nutzung spezifischer organisatorischer und technischer Maßnahmen und Instrumente der Informationssicherheit objektiv und unabhängig nachzuweisen. Für die Objektivität der Entscheidung ist es auch erforderlich, zusätzlich den Zustand des externen und internen Umfelds des Unternehmens zu berücksichtigen, beispielsweise Indikatoren der technologischen, personellen und finanziellen Entwicklung des Unternehmens.

Der Vergleich eines bestimmten TCO-Indikators mit ähnlichen TCO-Indikatoren in der Branche (mit ähnlichen Unternehmen) ermöglicht es, die Informationssicherheitskosten der Organisation objektiv und unabhängig zu belegen. Tatsächlich erweist es sich oft als sehr schwierig oder sogar fast unmöglich, den direkten wirtschaftlichen Effekt dieser Kosten abzuschätzen.

Die Gesamtbetriebskosten für ein Informationssicherheitssystem setzen sich im Allgemeinen aus den Kosten zusammen:

Design-Arbeit,

Beschaffung und Einstellung von Software- und Hardwareschutztools, einschließlich der folgenden Hauptgruppen: Firewalls, Kryptografietools, Antiviren und AAA (Authentifizierungs-, Autorisierungs- und Verwaltungstools),

Die Kosten für die Gewährleistung der physischen Sicherheit,

Persönliches Training,

Systemmanagement und Support (Sicherheitsadministration),

Informationssicherheitsaudit, - regelmäßige Modernisierung des Informationssicherheitssystems.

Direkte Kosten umfassen jedoch sowohl Kapitalkomponenten der Kosten (im Zusammenhang mit Anlagevermögen oder "Eigentum") als auch Arbeit, die in den Kategorien Betrieb und Verwaltung bilanziert werden. Dies umfasst auch die Kosten für Dienstleistungen für Remote-Benutzer usw., die mit der Unterstützung der Aktivitäten der Organisation verbunden sind.

Die indirekten Kosten spiegeln wiederum die Auswirkungen des Unternehmensinformationssystems und des Informationssicherheits-Subsystems auf die Mitarbeiter der Organisation durch messbare Indikatoren wie Ausfallzeiten und "Einfrieren" des Unternehmeund des Informationssystems als Ganzes, die Betriebskosten wider und Unterstützung (nicht mit direkten Kosten verbunden). Sehr oft spielen indirekte Kosten eine wesentliche Rolle, da sie sich meist zunächst nicht im Informationssicherheitsbudget niederschlagen, sondern erst später in einer Kostenanalyse identifiziert werden.

Die Berechnung der TCO-Kennzahlen der Organisation erfolgt in den folgenden Bereichen.

Komponenten des Unternehmensinformationssystems(einschließlich des Informationssicherheitssystems) und Informationsaktivitäten der Organisation (Server, Client-Computer, Peripheriegeräte, Netzwerkgeräte).

Aufwendungen für Hardware- und Software-Informationsschutz Verbrauchsmaterialien und Abschreibungskosten für Server, Client-Computer (Desktops und mobile Computer), Peripheriegeräte und Netzwerkkomponenten.

Kosten der Informationssicherheitsorganisation: Wartung des Informationssicherheitssystems, Standardmaßnahmen zum Schutz von Peripheriegeräten, Servern, Netzwerkgeräten, Planung und Verwaltung von Informationssicherheitsprozessen, Entwicklung eines Sicherheitskonzepts und einer Sicherheitsrichtlinie und anderes.

Kosten für das Informationsmanagement Stammkosten: direkte Personalkosten, Arbeitskosten und Auslagerungen, die der Organisation als Ganzes oder dem Dienst zur Bereitstellung von technischem Support und Infrastrukturwartungsvorgängen für Benutzer entstehen.

Verwaltungsaufwendungen: direkte Personalkosten, Aufrechterhaltung der Aktivitäten und Kosten interner / externer Lieferanten (Lieferanten) zur Unterstützung des Betriebs, einschließlich Management, Finanzierung, Erwerb und Schulung von Informationssystemen.

Transaktionskosten für Endbenutzer: Kosten der Selbsthilfe für Endbenutzer, formelle Schulungen für Endbenutzer, unregelmäßige (inoffizielle) Schulungen, unabhängige Anwendungsentwicklung, lokale Dateisystemunterstützung.

Ausfallkosten: Jährlicher Verlust der Endbenutzerproduktivität durch geplante und ungeplante Ausfälle von Netzwerkressourcen, einschließlich Clientcomputern, gemeinsam genutzten Servern, Druckern, Anwendungsprogrammen, Kommunikationsressourcen und Kommunikationssoftware.