Bilgi güvenliğinin ekonomisi. Rusya bilgi güvenliği pazarına genel bakış Stratejik tesislerin bilgi koruması

Yazılım açıklarını keşfetmek için ikramiye ödeme platformlarından tanılama ve programların otomatik test edilmesine kadar çeşitli bilgisayar güvenlik teknolojilerine yatırım yaparlar. Ancak hepsinden önemlisi, kimlik doğrulama ve kimlik yönetimi teknolojilerinden etkileniyorlar - 2019'un sonunda bu teknolojilerle uğraşan girişimlere yaklaşık 900 milyon dolar yatırım yapıldı.

Siber güvenlik eğitimi girişimlerine yapılan yatırım, büyük ölçüde 300 milyon dolar toplayan KnowBe4 sayesinde 2019 yılında 418 milyon dolara ulaştı.Başlangıç, bir kimlik avı simülasyon platformu ve bir dizi eğitim programı sunuyor.

2019 yılında, Nesnelerin İnterneti'nin güvenliğine dahil olan şirketler tarafından yaklaşık 412 milyon dolar alındı. SentinelOne, 2019 yılında uç nokta koruma teknolojilerinin geliştirilmesi için 120 milyon dolar alan yatırım hacmi açısından bu kategoride liderdir.

Aynı zamanda, Metacurity analistleri bilgi güvenliği sektöründe risk sermayesi piyasasındaki durumu karakterize eden diğer verileri sağlar. Buradaki yatırım hacmi 2018'de 3,88 milyar dolardan artarak 2019'da 6,57 milyar dolara ulaştı. İşlem sayısı da arttı - 133'ten 219'a. Aynı zamanda, Metacurity'ye göre, bir işlem başına ortalama yatırım hacmi pratikte değişmeden kaldı ve 2019'un sonunda 29,2 milyona ulaştı.

2018

%9 büyüme ile 37 milyar dolar - Canalys

2018 yılında bilgi güvenliğine (IS) yönelik ekipman, yazılım ve hizmet satışları bir yıl öncesine göre (34 milyar dolar) %9 artışla 37 milyar dolara ulaştı. Bu tür veriler, Canalys analistleri tarafından 28 Mart 2019'da yayınlandı.

Birçok şirket varlıklarını, verilerini, uç noktalarını, ağlarını, çalışanlarını ve müşterilerini korumaya öncelik verirken, siber güvenliğin 2018'de toplam BT harcamalarının yalnızca %2'sini oluşturduğunu söylediler. Ancak, giderek daha fazla yeni tehdit ortaya çıkıyor, daha karmaşık ve daha sık hale geliyor ve bu da bilgi güvenliği çözümleri üreticilerine büyüme için yeni fırsatlar sunuyor. Toplam siber güvenlik harcamalarının 2020'de 42 milyar doları aşması bekleniyor.

Canalys analisti Matthew Ball, yeni bilgi güvenliği uygulama modellerine geçişin hızlanacağına inanıyor. Müşteriler, genel bulut hizmetleri ve esnek abonelik tabanlı hizmetler ile BT bütçelerinin yapısını değiştiriyor.

2018'deki bilgi güvenliği sistemleri dağıtım projelerinin yaklaşık %82'si geleneksel donanım ve yazılım kullanımıyla ilişkilendirildi. Vakaların geri kalan %18'inde sanallaştırma, genel bulutlar ve bilgi güvenliği hizmetleri kullanıldı.

2020 yılına kadar, yeni çözümler piyasada popülerlik kazandıkça, geleneksel bilgi güvenliği sistemleri dağıtma modellerinin payı %70'e düşecek.

Farklı dağıtım türleri için farklı ürünler uygun olduğundan, satıcıların bu geçişi desteklemek için çok çeşitli iş modelleri oluşturması gerekecektir. Bugün birçokları için temel zorluk, yeni modelleri daha kanal odaklı hale getirmek ve özellikle bulut aracılığıyla müşteri operasyonları olmak üzere mevcut ortaklık programlarıyla entegre olmaktır. Matthew Ball 29 Mart 2019 tarihli bir gönderide, bazı bulut pazaryerlerinin buna şimdiden tepki vererek, iş ortaklarının doğrudan müşterilere özelleştirilmiş teklifler ve fiyatlar sunmasına, anlaşma ve indirim kayıtlarını takip etmesine olanak tanıdığını söyledi.

Canalys analisti Ketaki Borade'ye göre, önde gelen siber savunma teknolojisi satıcıları, şirketlerin bir abonelik planına geçmelerini ve bulut altyapı operasyonlarını artırmalarını içeren yeni dağıtım modelleri uyguladı.

Momentum Cyber'in Kurucu Ortağı ve Yönetici Ortağı Eric McAlpine, siber güvenlik pazarının, artan düzenleyici ve teknik gereksinimlere yanıt olarak rekor düzeyde işlem ve hacim faaliyetinin yanı sıra süregelen yaygın veri ihlali riskleriyle son derece dinamik kaldığını söylüyor. “Bu ivmenin, ortaya çıkan tehditlere karşı koymaya çalışırken ve tedarikçi yorgunluğu ve artan beceri eksiklikleri karşısında konsolide olurken sektörü yeni alanlara itmeye devam edeceğine inanıyoruz.

2017

Siber güvenlik giderleri 100 milyar doları aştı

Araştırma şirketi Gartner, Ağustos 2018'in ortasında yaptığı açıklamada, 2017 yılında bilgi güvenliği (IS) - ürün ve hizmetler - için yapılan küresel harcamanın 101,5 milyar dolara ulaştığını söyledi. 2017 sonunda uzmanlar bu pazarı 89,13 milyar dolar olarak tahmin ediyor, değerlendirmedeki önemli artışın nedeninin ne olduğu bildirilmiyor.

Gartner araştırma direktörü Siddharth Deshpande, CIO'lar, kuruluşlarının daha rekabetçi hale gelmek ve iş büyümesini desteklemek için teknoloji platformlarını güvenli bir şekilde kullanmalarına yardımcı olmaya kararlıdır. “Avrupa'daki Genel Veri Koruma Yönetmeliği (GDPR) gibi devam eden yetenek eksikliği ve düzenleyici değişiklikler, siber güvenlik pazarının sürekli büyümesini sağlıyor.

Uzmanlar, bilgi koruma maliyetlerini artıran temel faktörlerden birinin, tehditleri tespit etmek ve bunlara yanıt vermek için yeni yöntemlerin tanıtılması olduğuna inanıyor - 2018'de kuruluşların güvenliği için en yüksek öncelik haline geldiler.

Gartner tahminlerine göre 2017 yılında kuruluşların siber güvenlik hizmetlerine yaptığı harcamalar küresel olarak 52,3 milyar doları aşarken, 2018 yılında bu maliyetler 58,9 milyar dolara yükselecek.

2017 yılında şirketler uygulama korumasına 2,4 milyar dolar, veri korumasına 2,6 milyar dolar ve bulut hizmetlerine 185 milyon dolar harcadı.

Kimlik ve erişim yönetimi (Kimlik ve Erişim Yönetimi) için çözümlerin yıllık satışı 8,8 milyara eşit olurken, BT altyapısını koruma araçlarının uygulanması 12,6 milyar dolara yükseldi.

Çalışma ayrıca ağ güvenliğini sağlamak için kullanılan ekipmanlara 10,9 milyar dolar harcandığını da bildirdi. Üreticileri bilgi güvenliği risk yönetim sistemlerinden 3,9 milyar dolar kazandı.

Bir Gartner araştırmasına göre, 2017 için tüketici siber güvenlik harcamaları analistler tarafından 5,9 milyar dolar olarak tahmin edildi.

Gartner pazar büyüklüğünü 89.13 milyar dolar olarak tahmin etti

Aralık 2017'de şirketlerin bilgi güvenliği (IS) konusundaki küresel maliyetlerinin 2017'de 89,13 milyar dolar olacağı biliniyordu.Gartner'a göre siber güvenliğe ilişkin kurumsal maliyetler 2016'da 82,2 milyar doları neredeyse 7 milyar dolar aşacak.

Uzmanlar, siber güvenlik hizmetlerini en büyük gider kalemi olarak görüyor: 2016'da 48,8 milyar dolara karşılık, 2017'de şirketler bu amaçlar için 53 milyar doların üzerinde kaynak ayıracak. Bilgi güvenliği pazarının ikinci en büyük segmenti, maliyetleri bir yıl önce 15,2 milyar dolar yerine 2017'de 16,2 milyar dolar olacak olan altyapıyı korumaya yönelik çözümlerdir. Ağ güvenliği için ekipman - üçüncü sırada (10,93 milyar dolar).

Bilgi güvenliği maliyetlerinin yapısı ayrıca bilgi güvenliği için tüketici yazılımlarını ve bir kimlik ve erişim yönetim sistemini (Kimlik ve Erişim Yönetimi, IAM) içerir. Gartner'da 2017 yılında bu alanlardaki maliyetlerin 4,64 milyar dolar ve 4,3 milyar dolar olduğu tahmin edilirken, 2016'da rakamlar sırasıyla 4,57 milyar dolar ve 3,9 milyar dolar olarak gerçekleşti.

Analistler bilgi güvenliği pazarında daha fazla artış bekliyor: 2018'de kuruluşlar siber savunma harcamalarını %8 daha artıracak ve bu amaçlar için toplam 96,3 milyar dolar tahsis edecek.Büyüme faktörleri arasında uzmanlar değişen düzenlemeyi bilgi bölümünde sıraladı. güvenlik sektörü, yeni tehditlerin farkındalığı ve şirketlerin dijital iş stratejisine dönüşmesi.

Gartner araştırma direktörü Ruggero Contu, genel olarak siber güvenliğin maliyetinin büyük ölçüde şirketlerin siber güvenlik olaylarına tepkisinden kaynaklandığını, çünkü kuruluşların maruz kaldığı yüksek profilli siber saldırıların ve bilgi sızıntılarının sayısının dünya çapında arttığını söylüyor.

Analistin sözleri, Gartner tarafından 2016 yılında dünyanın sekiz ülkesinden 512 kuruluşla yapılan bir ankette elde edilen verilerle de doğrulanıyor: Avustralya, Kanada, Fransa, Almanya, Hindistan, Singapur ve Amerika Birleşik Devletleri.

Ankete katılanların %53'ü siber güvenlik harcamalarındaki artışın arkasındaki ana itici güç olarak siber güvenlik risklerini belirtti. Bunların arasında, ankete katılanların en yüksek yüzdesi, siber saldırı tehditlerinin bilgi güvenliği harcamaları hakkında karar vermede en etkili olduğunu söyledi.

Gartner'ın 2018 için görünümü, tüm ana alanlarda harcamalarda bir artış öngörüyor. Böylece, siber koruma hizmetlerine yaklaşık 57,7 milyar dolar (+ 4,65 milyar dolar), altyapı güvenliğine yaklaşık 17,5 milyar dolar (+ 1,25 milyar dolar), ağ koruması ekipmanına 11,67 milyar dolar (+ 735 milyon dolar), tüketici yazılım - 4,74 milyar dolar (+ 109 milyon dolar) ve IAM sistemleri - 4,69 milyar dolar (+ 416 milyon dolar).

Analistler ayrıca 2020 yılına kadar dünyadaki kuruluşların %60'ından fazlasının bilgi kaybını önleme, şifreleme ve denetleme dahil olmak üzere çeşitli veri koruma araçlarına aynı anda yatırım yapacağına inanıyor. 2017 yıl sonu itibarıyla bu tür çözümleri satın alan firmaların payı %35 olarak tahmin edilmiştir.

Bilgi güvenliğine yönelik kurumsal harcamaların bir diğer önemli kalemi, üçüncü taraf uzmanların katılımı olacaktır. Siber güvenlik alanındaki personel sıkıntısı, bilgi güvenliği sistemlerinin artan teknik karmaşıklığı ve siber tehditlerdeki artış nedeniyle, şirketlerin 2018'de bilgi güvenliği dış kaynak kullanımı maliyetlerinin %11 oranında artması ve bu maliyetlerin %11 artması beklenmektedir. 18,5 milyar dolar.

Gartner'ın hesaplamalarına göre, 2019 yılına kadar üçüncü taraf bilgi güvenliği uzmanlarının hizmetlerine yönelik kurumsal harcamalar, siber güvenliği sağlamak için toplam yazılım ve ekipman maliyetinin %75'ini oluşturacakken, 2016'da bu oran %63 seviyesindeydi.

IDC 82 milyar dolarlık pazar büyüklüğü öngörüyor

Masrafların üçte ikisi büyük ve çok büyük işletmelerle ilgili şirketlere düşecek. 2019 yılına kadar IDC analistlerine göre 1000'den fazla çalışanı olan şirketlerin giderlerinin büyüklüğü 50 milyar doları aşacak.

2016: Pazar büyüklüğü 73,7 milyar dolar, büyüme BT pazarının 2 katı

Ekim 2016'da, analitik şirket IDC, küresel bilgi güvenliği pazarının araştırmasının bir özetini sundu. Büyümesinin, BT pazarından daha fazla dul kalması bekleniyor.

IDC, siber savunmaya yönelik küresel ekipman, yazılım ve hizmet satışlarının 2016'da yaklaşık 73,7 milyar dolara ulaşacağını ve 2020'de rakamın 100 milyar doları aşarak 101,6 milyar dolara ulaşacağını tahmin ediyor. güvenlik pazarı -teknoloji, BT endüstrisinin beklenen büyüme oranının iki katı olan yıllık ortalama %8.3 oranında büyüyecek.

2016 sonunda en büyük siber güvenlik harcamalarının (8,6 milyar dolar) bankalarda olması bekleniyor. Bu tür yatırımlar açısından ikinci, üçüncü ve dördüncü sırayı sırasıyla ayrı imalat işletmeleri, devlet kurumları ve sürekli üretim işletmeleri işgal edecek ve bu da masrafların yaklaşık %37'sini oluşturacaktır.

Artan siber güvenlik yatırımlarının dinamiklerinde liderlik, analistler tarafından sağlık hizmetlerine verilmektedir (2016-2020'de yıllık ortalama %10,3'lük bir büyüme beklenmektedir). Telekom, konut sektörü, devlet kurumları ve yatırım ve menkul kıymetler piyasasında siber savunma maliyetleri yılda yaklaşık %9 artacak.

Araştırmacılar, en büyük siber güvenlik pazarını, 2016'da hacmi 31,5 milyar dolara ulaşacak olan Amerikan pazarı olarak adlandırıyor, ilk üçe Batı Avrupa ve Asya-Pasifik bölgesi de (Japonya hariç) dahil olacak. IDC anketinin kısa versiyonunda Rusya pazarı hakkında bilgi yok.

Rus şirketi Monitor Security'nin Genel Müdürü Dmitry Gvozdev, hizmetlerin toplam Rus güvenlik maliyetlerindeki payında %30-35'ten %40-45'e bir artış öngörüyor ve ayrıca pazarın müşteri yapısının gelişimini de öngörüyor - devlet, finans ve enerji sektörlerinin daha geniş bir endüstri yelpazesinden orta ölçekli işletmelere yönelik toplam hakimiyeti.

Trendlerden biri, ithal ikamesi konuları ve dış politika durumu ile bağlantılı olarak yerli yazılım ürünlerinin payının geliştirilmesi olmalıdır. Bununla birlikte, bunun finansal göstergelere ne kadar yansıyacağı büyük ölçüde ruble döviz kuruna ve hala iç yazılım çözümleri pazarının en az yarısını ve ekipman segmentinde üçte ikisini işgal eden yabancı satıcıların fiyatlandırma politikasına bağlı olacaktır. . Gvozdev, TAdviser ile yaptığı konuşmada, tüm Rusya bilgi güvenliği çözümleri pazarının nihai yıllık mali sonucunun da dış ekonomik faktörlere bağlı olabileceğini söyledi.

2015

MARKET BOYU

FEDERAL HARCAMA

SİBER SUÇ

İHLAL BAŞINA MALİYET

FİNANSAL HİZMETLER

Uluslararası

GÜVENLİK ANALİZİ

2013: EMEA pazarı 2,5 milyar dolara büyüdü.

EMEA bölgesindeki (Avrupa, Orta Doğu ve Afrika) güvenlik ürünleri pazarının büyüklüğü 2012'ye göre %2,4 artarak 2,5 milyar dolara ulaştı Analistler, bilgisayar ağlarını korumak için çok işlevli yazılım ve donanım kompleksleri - UTM çözümleri ( Birleşik tehdit yönetimi). Aynı zamanda, IDC, 2018 yılına kadar teknik bilgi güvenliği araçları pazarının, yıllık ortalama %5,4 büyüme ile değer bazında 4,2 milyar dolara ulaşacağını öngördü.

2013 yılı sonunda Check Point, EMEA bölgesinde bilgi güvenliği teknolojisi satışından elde edilen gelir açısından tedarikçiler arasında lider konuma gelmiştir. IDC'ye göre, 2013 yılı için satıcının bu segmentteki geliri %3,8 artarak 374,64 milyon $'a ulaştı ve bu da %19,3'lük bir pazar payına tekabül ediyor.

2012: PAC tahmini: Bilgi güvenliği pazarı yılda %8 büyüyecek

Çalışma, küresel bilgi güvenliği pazarının, 36 milyar avroya ulaşabileceği 2016 yılına kadar yıllık %8 oranında büyüyeceğini belirtti.

Daha önce belirtildiği gibi, bir işletmenin güvenliği, yaşam döngüsünün tüm aşamalarında, bilgi sisteminde bir dizi önlemle sağlanır ve genel durumda maliyetten oluşur:

• - tasarım çalışması;
• - yazılım ve donanım koruma araçlarının satın alınması ve ayarlanması;
• - fiziksel güvenliği sağlamanın maliyeti;
• - Personel eğitimi;
• - sistemin yönetimi ve desteği;
• - bilgi güvenliği denetimi;
• - bilgi güvenliği sisteminin periyodik modernizasyonu vb.

Entegre bir bilgi güvenliği sisteminin ekonomik verimliliğinin maliyet göstergesi, yıl boyunca bilgi güvenliği sisteminin organizasyonu, işletimi ve bakımı için doğrudan ve dolaylı maliyetlerin toplamı olacaktır.

Bir şirkette bilgi korumasının düzenlenmesinin etkinliğinin önemli bir nicel göstergesi olarak kabul edilebilir, çünkü yalnızca toplam koruma maliyetlerini tahmin etmekle kalmaz, aynı zamanda gerekli kurumsal güvenlik seviyesine ulaşmak için bu maliyetleri yönetmeye de izin verir. Bununla birlikte, doğrudan maliyetler, hem maliyetlerin sermaye bileşenlerini hem de operasyonlar ve yönetim kategorilerinde muhasebeleştirilen işçilik maliyetlerini içerir. Bu aynı zamanda, kuruluşun faaliyetlerini desteklemekle ilişkili uzak kullanıcılar vb. için hizmetlerin maliyetini de içerir.

Buna karşılık, dolaylı maliyetler, kurumsal bilgi güvenliği sisteminin ve bir bütün olarak entegre güvenlik sisteminin kesinti süresi ve "donmaları", operasyon ve destek maliyeti gibi ölçülebilir göstergeler aracılığıyla entegre bir güvenlik sisteminin ve bilgi güvenliği alt sisteminin çalışanlar üzerindeki etkisini yansıtır. .

Çoğu zaman, dolaylı maliyetler önemli bir rol oynar, çünkü bunlar genellikle başlangıçta entegre bir güvenlik sistemi için bütçeye yansıtılmaz, ancak daha sonra maliyet analizinde açıkça belirlenir, bu da nihayetinde şirketin "gizli" maliyetlerinde bir artışa yol açar. Entegre bir güvenlik sisteminin doğrudan ve dolaylı maliyetlerini nasıl belirleyebileceğinizi düşünün. Şirket yönetiminin, işletmede entegre bir bilgi güvenliği sisteminin uygulanması üzerinde çalıştığını varsayalım. Korumanın amaçları ve amaçları, bilgi güvenliğine yönelik tehditler ve bunlara karşı alınacak önlemler zaten belirlenmiş, bilgiyi korumak için gerekli araçlar edinilmiş ve kurulmuştur.

Tipik olarak, bilgi güvenliği maliyetleri aşağıdaki kategorilere ayrılır:

• - bilgi güvenliği sisteminin yönetim bağlantısının oluşturulması ve bakımı için maliyetler;
• - kontrol maliyetleri, yani işletme kaynaklarının elde edilen güvenlik düzeyini belirlemek ve onaylamak;
• - bilgi güvenliği ihlalinin sonuçlarını ortadan kaldırmanın dahili maliyetleri - gerekli güvenlik düzeyine ulaşılmaması nedeniyle kuruluşun maruz kaldığı maliyetler;
• -Bilgi güvenliği ihlallerinin sonuçlarının ortadan kaldırılması için dış maliyetler - bilgi sızıntısı, şirket imajının kaybı, ortakların ve tüketicilerin güveninin kaybı vb. ile ilgili durumlarda güvenlik politikasının ihlali durumundaki kayıplar için tazminat;
• - bilgi güvenliği sisteminin bakım maliyetleri ve şirketin güvenlik politikasının ihlal edilmesini önlemeye yönelik önlemler.

Aynı zamanda, bir kerelik ve sistematik maliyetler genellikle ayırt edilir.

Bir kerelik, kurumsal güvenliğin oluşturulması için maliyetler: organizasyonel maliyetler ve güvenlik ekipmanı satın alma ve kurma maliyetleri.

Sistematik, işletme ve bakım maliyetleri. Maliyetlerin sınıflandırılması keyfidir, çünkü bilgi güvenliği için maliyetlerin toplanması, sınıflandırılması ve analizi işletmelerin iç faaliyetleridir ve listenin ayrıntılı gelişimi belirli bir kuruluşun özelliklerine bağlıdır.

Bir güvenlik sisteminin maliyetlerini belirlemedeki ana şey, işletme içindeki maliyet kalemleri üzerinde karşılıklı anlayış ve anlaşmadır.

Ayrıca maliyet kategorileri sabit olmalı ve çakışmamalıdır. Güvenlik maliyetleri tamamen ortadan kaldırılamaz ancak kabul edilebilir bir düzeye getirilebilir.

Bazı güvenlik maliyetleri kesinlikle gereklidir ve bazıları önemli ölçüde azaltılabilir veya ortadan kaldırılabilir. İkincisi, güvenlik ihlalleri olmadığında ortadan kalkabilen veya ihlallerin sayısı ve zarar verici etkisi azaldığında azalanlardır.

Güvenliği gözlemlerken ve ihlallerin önlenmesini gerçekleştirirken, aşağıdaki maliyetler hariç tutulabilir veya önemli ölçüde azaltılabilir:

• - güvenlik gereksinimlerini karşılamak için güvenlik sistemini geri yüklemek;
• - işletmenin bilgi ortamının kaynaklarını geri yüklemek;
• - güvenlik sistemi içindeki değişiklikler için;
• - yasal anlaşmazlıklar ve tazminat ödemeleri hakkında;
• - güvenlik ihlallerinin nedenlerini belirlemek.

Gerekli maliyetler, güvenlik tehditlerinin düzeyi yeterince düşük olsa bile gerekli olan maliyetlerdir. Bunlar, kurumsal bilgi ortamının elde edilen güvenlik düzeyini korumanın maliyetleridir.

Kaçınılmaz maliyetler şunları içerebilir:

• a) teknik koruma araçlarının bakımı;
• b) gizli ofis işleri;
• c) güvenlik sisteminin işleyişi ve denetimi;
• d) uzman kuruluşların katılımıyla asgari düzeyde teftiş ve kontrol;
• e) personelin bilgi güvenliği yöntemleri konusunda eğitimi.

Ancak, belirlenmesi zor olan başka maliyetler de vardır. Onların arasında:

• a) yeni bir pazar stratejisinin ek araştırma ve geliştirme maliyeti;
• b) bilimsel araştırmalarda azaltılmış öncelikten ve bilimsel ve teknolojik başarılar için lisansların patentlenmesinin ve satılmasının imkansızlığından kaynaklanan kayıplar;
• c) ürünlerin tedariki, üretimi ve pazarlanmasındaki "darboğazların" ortadan kaldırılmasıyla ilgili maliyetler;
• d) teşebbüs tarafından imal edilen ürünlerin taviz vermesinden ve bunun için daha düşük fiyatlardan kaynaklanan kayıplar;
• e) onlar için fiyatlarda bir artış, tedarik hacminin sınırlandırılması da dahil olmak üzere ekipman veya teknolojilerin edinilmesinde zorlukların ortaya çıkması.

Listelenen maliyetler, örneğin tasarım, teknolojik, ekonomik planlama, hukuk, ekonomi, pazarlama departmanı, tarife politikası ve fiyatlandırma gibi çeşitli departmanlardan personelin eylemlerinden kaynaklanabilir.

Tüm bu departmanlardaki çalışanların dış kayıplarla tam zamanlı meşgul olma olasılığı düşük olduğundan, maliyet tutarının belirlenmesi, harcanan fiili süre dikkate alınarak yapılmalıdır. Dış kayıpların unsurlarından biri doğru bir şekilde hesaplanamaz - bunlar şirketin imajını baltalamakla, şirketin ürün ve hizmetlerine tüketici güvenini azaltmakla ilişkili kayıplardır. Bu nedenle birçok şirket hizmetlerinin güvenli olmadığını gizler. Şirketler, bu tür bilgilerin açığa çıkmasından şu ya da bu şekildeki saldırılardan daha fazla korkarlar.

Bununla birlikte, birçok işletme, herhangi bir doğruluk derecesi ile tahmin edilemeyecekleri gerekçesiyle bu maliyetleri göz ardı eder - bunlar yalnızca spekülatiftir. Önleyici tedbirlerin maliyetleri. Önleme faaliyetleri departmanlar arasında yürütüldüğünden ve birçok hizmeti etkilediğinden, bu maliyetlerin tahmin edilmesi muhtemelen en zor olanlardır. Bu maliyetler, kurumsal bilgi ortamının kaynaklarının yaşam döngüsünün tüm aşamalarında ortaya çıkabilir:

• - planlama ve organizasyon;
• - satın alma ve devreye alma;
• - teslimat ve destek;
• - bilgi teknolojisini oluşturan süreçlerin izlenmesi.

Buna ek olarak, bu kategorideki maliyetlerin çoğu güvenlik personelinin işi ile ilgilidir. Önleme maliyetleri esas olarak maaşları ve genel giderleri içerir. Bununla birlikte, belirlemelerinin doğruluğu, büyük ölçüde, her çalışanın ayrı ayrı harcadığı zamanı belirlemenin doğruluğuna bağlıdır. Önlem maliyetlerinin bazılarının doğrudan belirlenmesi kolaydır. Özellikle, üçüncü tarafların çeşitli çalışmaları için ödeme içerebilirler, örneğin:

• - yazılım ve donanım koruma araçlarının, işletim sistemlerinin ve kullanılmış ağ ekipmanlarının bakımı ve konfigürasyonu;
• - Alarmları kurmak, gizli belge depolarını donatmak, telefon iletişim hatlarını, bilgisayar ekipmanını vb. korumak için mühendislik ve teknik çalışmalar yapmak;
• - gizli bilgilerin teslimi;
• - istişareler;
• - Eğitim Kursları.

Değerlendirilen maliyetler hakkında bilgi kaynakları. Bilgi güvenliğini sağlamanın maliyetlerini belirlerken şunları unutmamalısınız:

• - yazılım ve donanım araçlarını edinme ve işletmeye alma maliyeti, faturaların, depo belgelerindeki kayıtların vb. analizinden elde edilebilir;
• - personele yapılan ödemeler beyannamelerden alınabilir;
• - maaş ödemelerinin hacmi, bilgi güvenliğini sağlamak için işlerin yürütülmesi için harcanan fiili süre dikkate alınarak, çalışanın zamanının yalnızca bir kısmı bilgi güvenliğini sağlamaya yönelik faaliyetlere harcanıyorsa, o zaman bileşenlerin her birini değerlendirmenin fizibilitesi dikkate alınmalıdır. zamanının maliyeti sorgulanmamalıdır;
• - güvenlik maliyetlerinin sınıflandırılması ve unsurlara göre tahsisi, işletme içindeki günlük işin bir parçası haline gelmelidir.

2018-08-21T12: 03: 34 + 00:00

Büyük ticari şirketler, yıllık gelirlerinin yaklaşık %1'ini işletmelerinin fiziksel güvenliğini sağlamaya harcarlar. Kurumsal güvenlik, teknolojiler ve üretim araçları kadar bir kaynaktır. Ancak veri ve hizmetlerin dijital olarak korunması söz konusu olduğunda, finansal riskleri ve gerekli maliyetleri hesaplamak zorlaşıyor. Siber güvenlik için BT bütçesinden ne kadar para ayırmanın makul olduğunu, vazgeçilebilecek minimum bir araç seti olup olmadığını size söylüyoruz.

Güvenlik maliyetleri artıyor

Dünya çapındaki ticari kuruluşlara göre, bildiri Gartner, 2017 yılında yazılım, özel hizmetler ve donanım dahil olmak üzere siber güvenlik ihtiyaçlarına yaklaşık 87 milyar dolar harcadı. Bu, 2016'dan %7 daha fazla. Bu yıl rakamın 93 milyara ulaşması bekleniyor ve gelecek yıl 100 sınırını geçecek.

Uzmanlara göre, Rusya'daki bilgi güvenliği hizmetleri pazarı yaklaşık 55-60 milyar ruble (yaklaşık 900 bin dolar). 2/3'ü devlet emriyle kapatılmıştır. Kurumsal sektörde, bu tür maliyetlerin payı büyük ölçüde işletmenin biçimine, coğrafyasına ve faaliyet alanına bağlıdır.

Ortalama olarak yerli bankalar ve finansal yapılar yatırım siber güvenliklerinde yılda 300 milyon ruble, sanayiciler - 50 milyona kadar, ağ şirketleri (perakende) - 10 ila 50 milyon arasında.

Ancak Rusya siber güvenlik pazarının birkaç yıldır büyüme rakamları, küresel ölçekten 1,5-2 kat daha yüksek. 2017'de büyüme, 2016'ya göre (müşteri parası bazında) %15 oldu. 2018'in sonunda, daha da etkileyici olabilir.

Yüksek büyüme oranları, pazarın genel olarak canlanmasından ve kuruluşların BT altyapılarının gerçek güvenliğine ve veri güvenliğine keskin bir şekilde artan ilgisinden kaynaklanmaktadır. Bir bilgi koruma sistemi kurmanın maliyetleri artık bir yatırım olarak görülüyor, bunlar önceden planlanıyor ve sadece arta kalan olarak alınmıyor.

Pozitif Teknolojilertekler büyümenin üç itici gücü:

1. Son 1.5-2 yıldaki yüksek profilli olaylar, bugün sadece tembellerin bir işletmenin finansal istikrarı için bilgi güvenliğinin rolünü anlamamasına neden oldu. Beş üst düzey yöneticiden biri, işleri bağlamında pratik güvenlikle ilgileniyor.

Geçtiğimiz yıl, temel bilgileri göz ardı eden işletmeler için öğretici oldu. ... Güncel güncellemelerin olmaması ve zafiyetlere aldırmadan çalışma alışkanlığı, Fransa'da Renault, Japonya'da Honda ve Nissan fabrikalarının kapanmasına; bankalar, enerji, telekomünikasyon şirketleri etkilendi. Örneğin Maersk, bir seferde 300 milyon dolara mal oldu.

1. WannaCry, NotPetya, Bad Rabbit fidye yazılımı salgınları, yerli şirketlere antivirüs ve güvenlik duvarları kurmanın kendilerini güvende hissetmek için yeterli olmadığını öğretti. Kapsamlı bir stratejiye, BT varlıklarınızın envanterine, özel kaynaklara ve bir tehdit yanıt stratejisine ihtiyacınız var.
2. Bir anlamda, tüm alanları (sağlık ve eğitimden ulaşım ve finansa) kapsayan bir dijital ekonomiye doğru bir rota açıklayan devlet tarafından belirlenir. Bu politika, genel olarak BT sektörünün ve özel olarak bilgi güvenliğinin büyümesini doğrudan etkiler.

Güvenlik açıklarının maliyeti

Bütün bunlar öğreticidir, ancak her iş benzersiz bir hikayedir. Şirketin genel BT bütçesinden bilgi güvenliğine ne kadar harcanacağı sorusu doğru olmasa da, müşteri açısından en acil sorudur.

Kanada pazarı örneğinde uluslararası araştırma şirketi IDC aramalar kurumdaki toplam BT bütçesinin siber güvenliğe yapılan yatırımların optimum %9,8-13,7'si. Yani, şu anda Kanada işletmesi bu ihtiyaçlar için ortalama %10 civarında harcama yapıyor (bunun sağlıklı bir şirketin göstergesi olduğuna inanılıyor), ancak anketlere bakılırsa, %14'e yakın olmak istiyor.

Şirketlerin, kendilerini sakin hissetmek için bilgi güvenliğine ne kadar harcamaları gerektiğini merak etmeleri için hiçbir sebep yok. Günümüzde siber güvenlik olaylarından kaynaklanan riskleri değerlendirmek, fiziksel tehditlerden kaynaklanan kayıpları hesaplamaktan daha zor değil. dünya çapında varİstatistik , buna göre:

• Hacker saldırıları küresel ekonomiye yılda 110 milyar dolardan fazlaya mal oluyor.
• Küçük işletmeler için her olayın maliyeti ortalama 188.000 ABD dolarıdır.
• 2016'daki hack'lerin %51'i, belirli bir şirkete karşı organize suç gruplarını hedef aldı.
• Saldırıların %75'i maddi zarar verme amacıyla, maddi motivasyonla gerçekleştirilmektedir.

2018 baharında Kaspersky Lab, büyük ölçekli Araştırma ... Dünya çapında 6 bin şirket uzmanının katıldığı bir ankete göre, kurumsal ağların ve veri sızıntılarının hacklenmesinden kaynaklanan hasar son birkaç yılda %20-30 arttı.

Büyüklüğü, faaliyet kapsamı ne olursa olsun ticari kuruluşlar için Şubat 2018 için ortalama hasar maliyeti 1,23 milyon dolardı. KOBİ'ler için bir personel hatası veya bilgisayar korsanlarının başarılı eylemleri 120 bin dolara mal oluyor.

Bilgi güvenliği için fizibilite çalışması

İşletmede bilgi güvenliğinin organize edilmesi için gerekli finansal kaynakların doğru bir şekilde değerlendirilmesi için bir fizibilite çalışması yapılması gerekmektedir.

1. BT altyapısının bir envanterini çıkarır ve riskleri değerlendirir, azalan önem sırasına göre bir güvenlik açıkları listesi derleriz. İtibar kayıpları (sigorta oranlarında artış, kredi notunda düşüş, hizmetlerin aksama süresinin maliyeti), sistemi geri yükleme maliyeti (ekipman ve yazılımın güncellenmesi) de burada yer almaktadır.
2. Bilgi güvenliği sisteminin çözmesi gereken görevleri sıralıyoruz.
3. Sorunları çözmek için ekipman, araçlar seçiyoruz ve maliyetini belirliyoruz.

Şirketin siber güvenlik tehditlerini ve risklerini değerlendirme yetkinliği yoksa, her zaman bir bilgi güvenliği denetimi sipariş edebilirsiniz. Bugün bu prosedür kısa ömürlü, ucuz ve ağrısızdır.

Yüksek düzeyde proses otomasyon uzmanlarına sahip endüstriyel şirketlerönermek uyarlanabilir bir güvenlik mimarisi modeli kullanın (Uyarlanabilir Güvenlik Mimarisi), Gartner tarafından 2014 yılında önerildi. Tehditleri tespit etmeye ve bunlara yanıt vermeye yönelik araçlara daha fazla dikkat ederek bilgi güvenliği maliyetlerini uygun şekilde yeniden tahsis etmenize olanak tanır ve BT altyapısı için bir izleme ve analitik sisteminin uygulanmasını ima eder.

Küçük şirketler için siber güvenlik maliyeti ne kadar?

Capterra blogunun yazarları karar verdi saymak küçük ve orta ölçekli işletmeler için bilgi güvenliği sisteminin ilk kullanım yılında ortalama maliyeti ne kadardır. Bunun için seçildi liste piyasadaki 50 popüler "kutu" teklifinden.

Fiyat aralığının oldukça geniş olduğu ortaya çıktı: yılda 50 dolardan (küçük şirketler için 2-3 ücretsiz çözüm bile var) 6 bin dolara (tek paketler var ve her biri 24 bin var, ancak bunlar dahil edilmedi) hesaplama). Ortalama olarak, küçük bir işletme, ilkel bir siber savunma sistemi kurmak için 1.400 dolara güvenebilir.

İş VPN'si veya e-posta koruması gibi en ucuz teknik çözümler, belirli tehdit türlerine (kimlik avı gibi) karşı korunmaya yardımcı olabilir.

Yelpazenin diğer ucunda, "gelişmiş" olay yanıtı ve kapsamlı koruma araçlarına sahip eksiksiz izleme sistemleri bulunur. Kurumsal ağı büyük ölçekli saldırılara karşı korumaya yardımcı olurlar ve hatta bazen görünümlerini tahmin etmeye ve onları erken bir aşamada durdurmaya izin verirler.

Şirket, bilgi güvenliği sistemi için birkaç ödeme modeli seçebilir:

• Lisans başına fiyat, Ortalama fiyat - 1000-2000 ABD Doları veya lisans başına 26 ila 6000 ABD Doları.
• Kullanıcı başına fiyat. Bir şirkette bir bilgi güvenliği sisteminin kullanıcı başına ortalama maliyeti 37 ABD dolarıdır; aralık, kişi başına aylık 4 ila 130 ABD dolarıdır.
• Bağlı cihazın fiyatı. Bu modelin ortalama maliyeti cihaz başına 2,25 dolardır. Fiyatı aylık 0,96 ila 4,5 dolar arasında değişiyor.

Bilgi güvenliğinin maliyetini doğru bir şekilde hesaplamak için küçük bir şirketin bile risk yönetiminin temellerini uygulaması gerekecektir. 24 saat içinde düzeltilemeyen ilk olay (site, hizmet, ödeme sistemi düştü) işletmenin kapanmasına neden olabilir.

Kaspersky Lab Küresel Kurumsal BT Güvenlik Riskleri Anketi, dünya çapında kurumsal bilgi güvenliğine ilişkin eğilimlerin yıllık bir analizidir. Bilgi güvenliğinin maliyeti, çeşitli şirket türleri için mevcut tehdit türleri ve bu tehditlerle yüzleşmenin finansal sonuçları gibi siber güvenliğin önemli yönlerini dikkate alıyoruz. Ek olarak, yöneticilerden bilgi güvenliği bütçelemesi hakkında bilgi edinerek, dünya çapındaki şirketlerin tehdit ortamındaki değişikliklere nasıl tepki verdiğini görebiliriz.

2017 yılında şirketlerin bilgi güvenliğini bir maliyet kaynağı (para harcamak zorunda oldukları gerekli bir kötülük) olarak mı yoksa stratejik bir yatırım olarak mı (yani iş sürekliliğini sağlayan bir araç olarak) görmeye başladıklarını anlamaya çalıştık. hızla gelişen siber tehditler çağında önemli faydalar).

Bu, özellikle dünyanın çoğu bölgesinde BT bütçesi düştüğü için çok önemli bir konudur.

Ancak Rusya'da 2017, ortalama güvenlik bütçesinde - %2 - hafif bir artış gördü. Rusya'daki ortalama bilgi güvenliği bütçesi yaklaşık 15.4 milyon ruble idi.

Bu rapor, her büyüklükteki şirketin karşılaştığı tehdit türlerinin yanı sıra BT maliyetlerinin nasıl dağıtıldığına ilişkin kalıpları ayrıntılı olarak açıklamaktadır.

Genel bilgi ve araştırma metodolojisi

Kaspersky Lab'ın küresel kurumsal BT Güvenlik Riskleri Anketi, kuruluşlarındaki BT yöneticilerine yönelik 2011'den beri her yıl gerçekleştirilen bir ankettir.

En son veriler Mart ve Nisan 2017'de toplanmıştır. 30'dan fazla ülkeden toplam 5.274 katılımcıyla görüşülmüştür, çalışmaya çeşitli büyüklükteki şirketler katılmıştır.

Raporda bazen aşağıdaki tanımlamalar kullanılır: küçük işletme - 50'den az çalışan, KOBİ (orta ve küçük işletme - 50 ila 250 çalışan) ve büyük işletme (250 kişilik bir kadroya sahip şirketler). Mevcut rapor, anketteki en gösterge niteliğindeki parametrelerin bir analizini sunar.

Ana sonuçlar:

Her büyüklükteki şirket, siber tehditlerle mücadele etmekte zorlanıyor ve koruma maliyetleri de artıyor. Rusya'da orta ve küçük işletme segmentinde, tek bir siber olayın sonuçlarını ortadan kaldırmanın ortalama maliyeti 1,6 milyon ruble iken, büyük işletme segmenti için maliyet 16,1 milyon ruble.

Bilgi güvenliğine ayrılan BT bütçesinin payı artıyor. Bu, her büyüklükteki şirket için geçerlidir. Aynı zamanda, bütçenin toplam miktarı düşük kalıyor ve Rusya'da büyüme sadece %2 oldu, bu nedenle uzmanlar görevlerini az kaynakla yürütmek zorunda kalıyor.

Tek başına bir olaydan kaynaklanan hasar büyüyor ve bilgi güvenliği maliyetlerine öncelik vermeyen şirketler yakında büyük zorluklarla karşı karşıya kalabilir. Araştırma, KOBİ segmentinde şirketlerin ek çalışan haklarına yönelik her güvenlik olayı için yaklaşık 300.000 RUB harcadığını, büyük şirketlerin ise marka hasarını azaltmak için 2,7 milyon RUB harcayabileceğini gösterdi.

Güvenlik olaylarından kaynaklanan hasarlar

Şirketler, ek halka erişimden yeni çalışanları işe almaya kadar sayısız sonuçla uğraşmak zorunda kaldıklarından, siber güvenlik olaylarından kaynaklanan hasar büyümeye devam ediyor. 2017 yılında veri bütünlüğü ihlalleri durumunda mali kayıplarda daha fazla artış olmuştur. Bu, bu konuya yaklaşımı etkilemeli: şirketler, siber güvenlik maliyetlerini gerekli bir kötülük olarak görmekten vazgeçecek ve bunları bir saldırı durumunda önemli parasal kayıpları önleyecek yatırımlar olarak görmeye başlayacak.

Ciddi veri bütünlüğü ihlalleri giderek daha pahalı hale geliyor

CTO'ların en büyük endişesi, milyonlarca kaydı sızdıran büyük saldırılardır. Bunlar, İngiltere Ulusal Sağlık Servisi'ne (NHS), Sony'ye veya "Game of Thrones" dizisiyle ilgili gizli verilerin açıklanmasıyla HBO hackine yapılan saldırılardı. Ancak gerçekte, bu tür büyük olaylar kuraldan ziyade istisnadır. Çoğu siber saldırı geçen yıla kadar manşetlere çıkmadı ve uzmanlar için özel raporların alanı olarak kaldı. Tabii ki, fidye yazılımı salgınları durumu biraz değiştirdi, ancak yine de işin kurumsal segmenti resmin tamamını anlamıyor.

Nispeten az sayıda bilinen büyük ölçekli siber saldırılar, çoğu saldırıdan kaynaklanan hasarın önemsiz olduğu anlamına gelmez. Peki, şirketler "tipik" bir veri bütünlüğü ihlalini düzeltmek için ortalama ne kadar harcıyor? Anket katılımcılarından, şirketlerinin geçen yıl meydana gelen herhangi bir güvenlik olayı sonucunda ne kadar harcadığını/kaybettiğini tahmin etmelerini istedik.

50 veya daha fazla çalışanı olan tüm şirketlerin, aşağıdaki kategorilerin her birinde ortaya çıkan maliyetleri tahmin etmesi gerekiyordu:

Kategorilerin her biri için, bilgi güvenliği olaylarıyla karşılaşan şirketlerin maruz kaldığı ortalama maliyetleri hesapladık ve tüm kategorilerin toplamı, bir bilgi güvenliği olayının neden olduğu toplam zarar miktarını tahmin etmemizi sağladı.

KOBİ segmenti ve büyük işletmeler için sonuçlar, istatistikler birçok açıdan farklılık gösterdiğinden aşağıda ayrıca gösterilmiştir. Örneğin, Rus KOBİ şirketleri için ortalama hasar yaklaşık 1,6 milyon ruble iken, büyük işletmeler için neredeyse on kat daha yüksek - 16,1 milyon ruble. Bu, siber saldırıların her büyüklükteki şirket için maliyetli olduğunu gösteriyor.

Büyük işletmelerin veri bütünlüğü ihlal edildiğinde ortalama olarak daha fazla kayıp yaşaması şaşırtıcı değildir, ancak zararın kategorilere göre dağılımını analiz etmek ilginçtir.

Geçen yıl, çalışanlara sağlanan faydalar hem KOBİ'ler hem de büyük işletmeler için en büyük giderdi. Bununla birlikte, bu yıl, farklı büyüklükteki şirketler için farklı harcama türlerinin ana harcamalar haline gelmesiyle resim değişti. Küçük ve orta ölçekli işletmeler, çalışanlara sağlanan faydalardan hala en çok zararı görmektedir. Ancak büyük şirketler, markanın itibarına verilen zararı azaltmak için ek PR'a yatırım yapmaya başladı. Ayrıca, büyük işletmeler için önemli bir maliyet kalemi, teknik ekipman geliştirme ve ek yazılım satın alma maliyetiydi.

Tüm şirketler için çalışan eğitiminin maliyeti arttı. Güvenlik olayları genellikle şirketlerin siber okuryazarlığı artırmanın ve tehdit istihbaratını geliştirmenin önemini fark etmelerini sağlar.

Büyük şirketlerin daha geniş iç kaynakları ve faaliyetlerinin düzenlenmesinin özellikleri, tehdidin kendisini ortadan kaldırma maliyetleri ile zararın tazmin edilmesi maliyetleri arasında farklı bir denge belirler. Ciddi bir gider kalemi, sigorta primlerindeki artış, kredi notlarının bozulması ve şirkete olan güvenin sarsılmasıydı: ortalama olarak, büyük şirketler her olaydan sonra yaklaşık 2,3 milyon ruble kaybediyor.

Araştırmamız, maliyet artışlarının çoğunun kredi notu, marka imajı ve tazminat şeklindeki itibar kayıplarını önleme - veya en azından azaltma - ihtiyacından kaynaklandığını gösterdi.

Yeni düzenlemelerin yaygın olarak uygulanması nedeniyle, şirketlerin tüm olayları kamuya açık bir şekilde bildirmesi ve veri koruma şeffaflığını artırması gerekeceğinden, ortalama zararın büyümeye devam etmesi muhtemeldir.

Bu tür eğilimler, örneğin bir güvenlik ihlalinin sonuçlarını ortadan kaldırmanın ortalama maliyetinin iki kattan fazla arttığı Japonya'da tipiktir: 2016'da 580.000 dolardan 2017'de 1,3 milyon dolara. Japon hükümeti, siber güvenlik tehditlerindeki artışa yanıt olarak düzenleyici gereklilikleri sıkılaştırmak için adımlar attı. 2017 yılında, maliyetlerde ani bir artışa neden olan yeni yasalar yürürlüğe girdi.

Ancak yasaların geliştirilmesi ve uygulanması zaman almaktadır. Hızla gelişen kurumsal BT ortamı ve gelişen siber tehditle birlikte, düzenleyici gecikme büyük bir zorluk haline geliyor. Örneğin, 2015 yılında yeni Japon standartları üzerinde anlaşmaya varıldı, ancak bunların yürürlüğe girmesi tam iki yıl ertelenmek zorunda kaldı. Birçokları için bu gecikmenin bir bedeli oldu: son iki yılda bir dizi büyük Japon şirketi maliyetli saldırıların kurbanı oldu. Bir örnek, 2016 yılında büyük bir sızıntıyla karşı karşıya kalan seyahat şirketi JTB Corp. İsimler, adresler ve pasaport numaraları dahil olmak üzere 8 milyon müşteri bilgisi çalındı.

Bu, küresel bir sorunun belirtilerinden biridir: tehditler hızla gelişiyor ve hükümetlerin ve şirketlerin ataleti çok yüksek. Vidaları sıkmanın başka bir örneği, Mayıs 2018'de yürürlüğe giren ve AB vatandaşlarının verilerinin kabul edilebilir işleme ve saklama yollarını önemli ölçüde sınırlayan Avrupa Veri Koruma Yönetmeliği'dir (GDPR).

Tüm dünyada yasalar değişiyor, ancak siber tehditlere ayak uyduramıyorlar - 2017'de Rusya'da üç fidye yazılımı dalgası bunu hatırlattı. Bu nedenle, işletmeler yasal kusurlara dikkat etmeli ve fiili koşullara göre korumayı güçlendirmeli - ya da itibarına ve müşteriye verilen zararı önceden karşılamalıdır. Son teslim tarihlerini beklemeden yeni düzenleyici gereklilikler için hazırlanmaya değer. Şirketler, ilgili kanunlar çıktıktan sonra politikaları değiştirerek sadece para cezalarını değil, aynı zamanda kendi ve müşteri verilerinin güvenliğini de riske atıyor.

Yabancı güvenlik açıkları yok: ortak koruma açıkları pahalı

Veri sızıntılarına karşı korunmak için saldırganlar tarafından hangi saldırı vektörlerinin kullanıldığını anlamak çok önemlidir. Buna karşılık, bu bilgi, hangi tür saldırıların en maliyetli olduğunu anlamanıza yardımcı olacaktır.

Anket, aşağıdaki olayların orta ve küçük işletmeler için en ciddi mali sonuçlara yol açtığını gösterdi:

• Üçüncü taraf ekipmanlarda barındırılan altyapıyı etkileyen olaylar (17,2 milyon RUB)
• Şirket tarafından kullanılan üçüncü taraf bulut hizmetlerini etkileyen olaylar (3,6 milyon ruble)
• Mobil cihazlar aracılığıyla hatalı veri alışverişi (2,5 milyon RUB)
• Kuruluşu risklere maruz bırakan mobil cihazların fiziksel kaybı (2,1 milyon RUB)
• İnternete bağlı bilgisayar dışı cihazlarla ilgili olaylar (örneğin, endüstriyel kontrol sistemleri, Nesnelerin İnterneti) (1,7 milyon ruble)

Büyük işletmelerde durum biraz farklıdır:

• Hedefli saldırılar (75 milyon RUB)
• Üçüncü taraf bulut hizmetlerini etkileyen olaylar (19 milyon RUB)
• Virüsler ve kötü amaçlı yazılımlar (9 milyon RUB)
• Mobil cihazlar aracılığıyla hatalı veri alışverişi (7,3 milyon RUB)
• Şirketlerin veri alışverişinde bulunduğu tedarikçileri etkileyen olaylar (4,4 milyon ruble)

Bu verilerden, çoğu zaman iş ortakları ile güvenlik sorunlarından kaynaklanan saldırıların her büyüklükteki şirkete en pahalıya mal olduğu görülebilir. Bu, hem üçüncü taraf sağlayıcılardan bulut veya başka altyapı kiralayan kuruluşlar hem de verilerini iş ortaklarıyla paylaşan şirketler için geçerlidir.

Başka bir şirkete verilerinize veya altyapınıza erişim izni verdiğinizde, onların zayıflıkları sizin sorununuz haline gelir. Ancak, çoğu kuruluşun buna yeterince önem vermediğini zaten gözlemledik. Bu nedenle, bu tür olayların en pahalıya mal olması şaşırtıcı değildir: herhangi bir boksör size genellikle nakavt olanın beklenmedik bir darbe olduğunu söyleyecektir.

Ayrıca, orta ölçekli işletmeler için ilk 5 tehdide beklenmedik bir şekilde giren başka bir vektör de hemen göze çarpıyor: bilgisayarlar dışındaki bağlı cihazlarla ilgili saldırılar. Günümüzde Nesnelerin İnterneti (IoT) trafiği, diğer teknolojilerin ürettiği trafikten çok daha hızlı büyüyor. Bu, yeni gelişmelerin iş altyapısındaki olası güvenlik açıklarının sayısını nasıl artırdığının bir başka örneğidir. Özellikle, IoT cihazlarında fabrika varsayılan parolalarının ve zayıf güvenlik özelliklerinin yaygın kullanımı, onları, çok sayıda savunmasız cihazı tek bir ağda birleştirebilen kötü amaçlı yazılım olan Mirai gibi botnet'ler için ideal bir yakalama haline getirdi. seçilen hedefler

Büyük iş segmentinde hedefli saldırılardan kaynaklanan kayıpların miktarına dikkat çekilmektedir - bu tehdide karşı koymak son derece zordur. Geçtiğimiz birkaç yıl içinde, bankalara yönelik bir dizi yüksek profilli hedefli saldırı biliniyor ve bu da bu hayal kırıklığı yaratan istatistikleri güçlendiriyor.

Riski azaltmaya yatırım yapmak

Araştırmamızın gösterdiği gibi, bilgi güvenliğine yönelik tehditler daha ciddi hale geliyor. Bu koşullar altında, bilgi güvenliği bütçelerinin durumu hakkında endişelenmemek mümkün değil. Değişikliklerini analiz ederek, kuruluşların güvenliğini bir maliyet kaynağı olarak mı yoksa dengenin yavaş yavaş değişip değişmediği ve gerçek bir rekabet avantajı sağlayan yatırımlar için bir alan görmeye başladıkları konusunda karar verebiliriz.

Bütçenin büyüklüğü, şirketin BT güvenliğine yönelik tutumunu, güvenlik sisteminin yönetim açısından rolünün önemini ve kuruluşun risk alma istekliliğini gösterir.

Bilgi güvenliği bütçesi: pay büyüyor, "pasta" azalıyor

Bu yıl, tasarrufların ve dış kaynak kullanımının BT bütçelerinin küçülmesine yol açtığını görüyoruz. Buna rağmen (ve belki de bundan dolayı), bu BT bütçelerinde bilgi güvenliğinin payı artmıştır. Rusya'da, her büyüklükteki şirkette olumlu bir eğilim görülebilir. Kaynak eksikliği koşullarında faaliyet gösteren mikro işletmeler arasında bile, bilgi güvenliğine ayrılan BT bütçelerinin payı yüzde küçük de olsa arttı.

Bu, şirketlerin nihayet bilgi güvenliğinin önemini anlamaya başladığı anlamına geliyor. Belki de bu, bilgi güvenliğinin birçok kişi tarafından bir maliyet kaynağı olarak değil, potansiyel olarak yararlı bir yatırım olarak algılanmaya başladığını gösteriyor.

Dünyada BT bütçelerinin önemli ölçüde azaldığını görüyoruz. Siber güvenlik pastadan daha büyük bir pay alırken pastanın kendisi daralıyor. Özellikle bu alandaki risklerin ne kadar yüksek olduğu ve her bir saldırının ne kadar pahalı olduğu düşünüldüğünde, eğilim endişe verici.

Rusya'da, 2017 yılında büyük işletmeler için ortalama bilgi güvenliği bütçesi 400 milyon rubleye ve SMB için - 4,6 milyon rubleye ulaştı.

Örnek: Rusya'da bütçeyi değerlendirebilen 694 kişi

Şaşırtıcı olmayan bir şekilde, dünya çapında devlet hizmet sağlayıcıları (savunma sektörü dahil) ve finans kurumları bu yıl en yüksek bilgi güvenliği harcamasını bildiriyor. Bu sektörlerin her ikisindeki işletmeler, güvenlik için ortalama 5 milyon ABD dolarından fazla harcamıştır. Bilişim ve telekomünikasyon sektörünün yanı sıra enerji endüstrisindeki şirketlerin de bütçelerinin 5 dolara değil 3 milyon dolara yakın olmasına rağmen bilgi güvenliğine ortalamanın üzerinde harcama yaptığını belirtmekte fayda var.

Ancak toplam maliyeti çalışan sayısına bölerseniz devlet kurumları listenin sonuna doğru ilerliyor. Ortalama olarak, BT ve telekomünikasyon siber güvenliğe kişi başına 1258 dolar harcarken, enerji sektörü 1344 dolar ve finans şirketleri 1436 dolar harcıyor. Buna karşılık, devlet kurumları siber güvenlik için kişi başına yalnızca 959 ABD Doları tahsis etmektedir.

Hem BT ve telekomünikasyon segmentinde hem de enerji tedarik endüstrisinde, çalışan başına yüksek maliyetler, büyük olasılıkla, ekonominin bu sektörlerinde özellikle acil olan fikri mülkiyeti koruma ihtiyacıyla ilişkilidir. Kamu hizmetleri söz konusu olduğunda, yüksek koruma maliyetleri, bu şirketlerin kötü niyetli grupların hedefli saldırılarına karşı giderek daha savunmasız hale gelmesinden de kaynaklanabilir.

Bu sektörde, iş sürekliliği güç kaynağı için kritik öneme sahip olduğundan, bilgi güvenliğine yatırım hayatta kalmak için çok önemlidir. Bu sektördeki başarılı bir siber saldırının sonuçları özellikle zordur, bu nedenle bilgi güvenliğine yapılan yatırımlar çok somut faydalar sağlar.

Rusya'da, BT ve telekomünikasyon, öncelikle bilgi güvenliğine ve endüstriyel işletmelere yatırım yapıyor - birincisi için ortalama maliyet, ikincisi için 300 milyon rubleye ulaşıyor - 80 milyon ruble. Sanayi ve imalat şirketleri, üretim süreçlerinin sürekliliğini sağlamak için genellikle otomatik kontrol sistemlerine (ICS) güvenirler. Aynı zamanda, ICS'ye yönelik saldırıların sayısı artıyor: son 12 ayda sayıları %5 arttı.

Bilgi Güvenliğine Yatırım Yapmanın Nedenleri

Bilgi güvenliğine yapılan yatırım miktarlarının sektörler arası dağılımı oldukça fazladır. Bu nedenle, şirketleri bilgi güvenliği konusunda sınırlı kaynak harcamaya iten nedenlerin ortaya çıkarılması özellikle önemlidir. Sebepleri bilmeden, şirketin BT altyapısının güvenliği için harcanan parayı boşa mı, yoksa karlı bir yatırım olarak mı değerlendirdiğini anlamak mümkün değil.

2017'de, dünya çapında önemli ölçüde daha fazla şirket, beklenen yatırım getirisinden bağımsız olarak siber güvenliğe yatırım yapacaklarını itiraf etti: 2016'daki %56'dan %63'e yükseldi. Bu, giderek daha fazla şirketin bilgi güvenliğinin önemini anladığını gösteriyor.

Bilgi güvenliği bütçesindeki artışın ana nedenleri, Rusya

Tüm şirketler hızlı bir yatırım getirisi beklemiyor, ancak birçok küresel şirket, bilgi güvenliği bütçelerindeki artışın nedeni olarak şirketin üst yönetimi (%32) dahil olmak üzere kilit paydaşlardan gelen baskıyı gösterdi. Bu, şirketlerin bilgi güvenliği maliyetlerinin artmasında stratejik avantajlarını görmeye başladığını gösteriyor: güvenlik önlemleri, yalnızca bir saldırı durumunda kendilerini korumalarına izin vermekle kalmıyor, aynı zamanda müşterilere verilerinin emin ellerde olduğunu da gösteriyor. şirket yönetiminin ilgilendiği iş sürekliliğini sağlamak amacıyla. ...

Bilgi güvenliğinin maliyetini artırmanın en popüler nedeni, çoğu yerli şirket, giderek karmaşıklaşan bir BT altyapısını koruma ihtiyacı (%46) olarak adlandırdı ve bilgi güvenliği uzmanlarının niteliklerini %30 oranında iyileştirme ihtiyacı kaydetti. Bu rakamlar, kendi çalışanlarının becerilerini geliştirerek şirket için mevcut olan uzmanlık düzeyini iyileştirme ihtiyacını göstermektedir. Gerçekten de, hem küçük ve orta ölçekli hem de büyük işletmeler, siber tehditlere karşı mücadelede iç işgücünü desteklemeye giderek daha fazla yatırım yapıyor.

Aynı zamanda, Rus işletmeleri arasında yeni iş operasyonları veya şirket genişlemesi nedeniyle bilgi güvenliği maliyetlerini artırma ihtiyacı azaldı: geçen yılki %36'dan 2017'de %30'a. Belki de şirketlerimizin son zamanlarda yüzleşmek zorunda kaldığı makroekonomik faktörleri yansıtıyor.

Çözüm

WannaCry, exPetr ve BadRabbit gibi toplu saldırılar 2017'de büyük hasara yol açtı. Özellikle Rus bankalarına yönelik hedefli saldırıların verdiği zarar da büyüktür. Tüm bunlar, siber tehdit ortamının hızla ve kaçınılmaz bir şekilde değiştiğini gösteriyor. Şirketler savunmalarını uyarlamalı veya iş dışı bırakılmalıdır.

İşle ilgili karar vermede giderek daha önemli bir faktör, siber saldırıları savuşturmaya hazırlanmanın maliyeti ile kurbanın maruz kaldığı maliyetler arasındaki farktır.

Rapor, kamuoyunu ilgilendirmeyen nispeten küçük veri ihlallerinin bile bir şirket için çok maliyetli olabileceğini ve operasyonlarını ciddi şekilde etkileyebileceğini gösteriyor. Güvenlik olayları yaşanması durumunda maliyetlerin artmasının bir diğer nedeni de dünya genelindeki mevzuat değişiklikleridir. Şirketler ya uyum sağlamalı ya da hem uyumsuzluğu hem de olası korsanlığı riske atmalıdır.

Bu koşullarda, tüm sonuçları ve maliyetleri göz önünde bulundurmak özellikle önemli hale gelir. Belki de bu nedenle, farklı ülkelerden giderek daha fazla şirket, BT bütçelerinde bilgi güvenliğinin payını artırıyor. 2017'de, dünya çapında önemli ölçüde daha fazla şirket, beklenen yatırım getirisinden bağımsız olarak siber güvenliğe yatırım yapacaklarını itiraf etti: 2016'daki %56'dan %63'e yükseldi.

Büyük olasılıkla, siber güvenlik olaylarının artan zararı nedeniyle, BT maliyetlerini güvenliğe yatırım olarak gören ve bunlar için önemli fonlar harcamaya hazır olan kuruluşlar, olası sıkıntılara daha iyi hazırlanacaklardır. Şirketinizde durum nedir?

Bilgi güvenliğinin maliyetini haklı çıkarmak için iki ana yaklaşım vardır.

Bilimsel yaklaşım... Bunu yapmak için, şirketin (veya sahibinin) yönetimini bilgi kaynaklarının maliyetini değerlendirmeye, bilgi koruma alanındaki ihlallerden kaynaklanan potansiyel zararların değerlendirilmesine karar vermeye dahil etmek gerekir.

1. Bilginin maliyeti düşükse, şirketin bilgi varlıklarına yönelik önemli bir tehdit yoktur ve potansiyel hasar minimumdur, bilgi güvenliğini sağlamak daha az finansman gerektirir.

2. Bilginin belirli bir değeri varsa, tehditler ve olası zararlar önemli ve tanımlanmışsa, bilgi güvenliği alt sisteminin maliyetlerinin bütçelenmesi sorunu ortaya çıkar. Bu durumda kurumsal bir bilgi güvenlik sistemi kurmak gerekir.

Uygulamalı bir yaklaşım diğer alanlardaki benzer sistemlere dayalı bir kurumsal bilgi güvenliği sisteminin gerçek maliyeti seçeneğinin belirlenmesinden oluşur. Bilgi güvenliği alanındaki uzmanlar-uygulayıcılar, bilgi güvenliği rejiminin özel gereksinimlerine bağlı olarak, bir bilgi güvenliği sisteminin maliyetinin bir kurumsal bilgi sisteminin maliyetinin yaklaşık %10-20'si olması gerektiğine inanmaktadır.

Bilgi güvenliği rejimini sağlamak için genel olarak kabul edilen gereksinimler (pratik deneyime dayalı), örneğin ISO 17799 gibi bir dizi standartta resmileştirilmiş, bir bilgi güvenliği sisteminin etkinliğini değerlendirmek için özel yöntemler geliştirilirken pratikte uygulanmaktadır.

Bilgi güvenliği maliyetlerini değerlendirmek için modern yöntemlerin kullanılması, donanım ve yazılımın doğrudan ve dolaylı maliyetleri, organizasyonel önlemler, çalışanların eğitimi ve ileri eğitimi, yeniden yapılanma, işin yeniden yapılandırılması dahil olmak üzere bir kuruluşun bilgi varlıklarının tüm harcama kısmını hesaplamanıza olanak tanır. , vb.

Mevcut kurumsal güvenlik sistemlerinin maliyet etkinliğini kanıtlamak ve bilgi güvenliği yöneticilerinin bilgi güvenliği bütçesini haklı çıkarmalarının yanı sıra ilgili hizmetin çalışanlarının etkinliğini kanıtlamak için gereklidirler. Yabancı şirketler tarafından kullanılan maliyet tahmin yöntemleri şunları sağlar:

Dağıtılmış bir bilgi işlem ortamının güvenlik düzeyi ve bir kurumsal bilgi güvenliği sisteminin toplam sahip olma maliyeti hakkında yeterli bilgi edinin.

Bir kuruluşun bilgi güvenliği bölümlerini hem kendi aralarında hem de sektördeki diğer kuruluşların benzer bölümleriyle karşılaştırın.

Kuruluşunuzun bilgi güvenliği yatırımlarını optimize edin.

Bir bilgi güvenliği sistemi ile ilgili olarak en iyi bilinen maliyet tahmin tekniklerinden biri, toplam sahip olma maliyeti (TCO) Gartner Group'un CER göstergesi, yıl boyunca kurumsal bilgi güvenliği sisteminin düzenlenmesi (yeniden düzenlenmesi), işletilmesi ve bakımının doğrudan ve dolaylı maliyetlerinin toplamıdır. Bir kurumsal bilgi güvenliği sisteminin yaşam döngüsünün tüm önemli aşamalarında pratik olarak kullanılır ve belirli organizasyonel ve teknik önlemler ile bilgi güvenliği araçlarının tanıtılması ve kullanılmasının ekonomik fizibilitesini nesnel ve bağımsız olarak doğrulamayı mümkün kılar. Kararın nesnelliği için, örneğin işletmenin teknolojik, personel ve finansal gelişiminin göstergeleri gibi işletmenin dış ve iç ortamının durumunu da dikkate almak gerekir.

Belirli bir TCO göstergesinin sektördeki benzer TCO göstergeleriyle (benzer şirketlerle) karşılaştırılması, kuruluşun bilgi güvenliği maliyetlerini nesnel ve bağımsız olarak doğrulamayı mümkün kılar. Gerçekten de, bu maliyetlerin doğrudan ekonomik etkisini değerlendirmek çoğu zaman oldukça zor, hatta neredeyse imkansız olduğu ortaya çıkıyor.

Bir bilgi güvenliği sistemi için toplam sahip olma maliyeti genellikle aşağıdaki maliyetlerden oluşur:

Tasarım çalışması,

Güvenlik duvarları, kriptografi araçları, antivirüsler ve AAA (kimlik doğrulama, yetkilendirme ve yönetim araçları) dahil olmak üzere yazılım ve donanım koruma araçlarının satın alınması ve ayarlanması,

Fiziksel güvenliği sağlamanın maliyeti,

Personel eğitimi,

Sistem yönetimi ve desteği (güvenlik yönetimi),

Bilgi güvenliği denetimi, - bilgi güvenliği sisteminin periyodik olarak modernizasyonu.

Bununla birlikte, doğrudan maliyetler, hem maliyetlerin (sabit varlıklar veya "mülk" ile ilişkili) sermaye bileşenlerini hem de operasyonlar ve yönetim kategorilerinde muhasebeleştirilen emeği içerir. Bu aynı zamanda, kuruluşun faaliyetlerini desteklemekle ilişkili uzak kullanıcılar vb. için hizmetlerin maliyetini de içerir.

Buna karşılık, dolaylı maliyetler, kurumsal bilgi sistemi ve bilgi güvenliği alt sisteminin, kesinti süresi ve kurumsal bilgi güvenliği sisteminin ve bir bütün olarak bilgi sisteminin "donmaları" gibi ölçülebilir göstergeler aracılığıyla kuruluşun çalışanları üzerindeki etkisini, operasyonların maliyetleri ve bilgi güvenliği alt sisteminin etkisini yansıtır. destek (doğrudan maliyetlerle ilgili değil). Çoğu zaman, dolaylı maliyetler önemli bir rol oynar, çünkü bunlar genellikle başlangıçta bilgi güvenliği bütçesine yansıtılmazlar, ancak daha sonra bir maliyet analizinde tanımlanırlar.

Kuruluşun TCO göstergelerinin hesaplanması aşağıdaki alanlarda gerçekleştirilir.

Kurumsal bilgi sisteminin bileşenleri(bilgi güvenlik sistemi dahil) ve kuruluşun bilgi faaliyetleri (sunucular, istemci bilgisayarlar, çevre birimleri, ağ cihazları).

Donanım ve yazılım bilgilerinin korunması için giderler Sunucular, istemci bilgisayarlar (masaüstü ve mobil bilgisayarlar), çevre birimleri ve ağ bileşenleri için sarf malzemeleri ve amortisman maliyetleri.

Bilgi güvenliği organizasyon maliyetleri: bilgi güvenliği sisteminin bakımı, çevresel aygıtları, sunucuları, ağ aygıtlarını korumanın standart yolları, bilgi güvenliği süreçlerini planlama ve yönetme, bir güvenlik konsepti ve politikası geliştirme ve diğerleri.

Bilgi yönetimi maliyetleri Kaynaklar: Kullanıcılara teknik destek ve altyapı bakım işlemleri sağlamak için bir bütün olarak kuruluş tarafından veya hizmet tarafından yapılan doğrudan personel maliyetleri, işçilik maliyetleri ve dış kaynak kullanımı.

Yönetim giderleri: bilgi sistemlerinin yönetimi, finansmanı, edinimi ve eğitimi dahil olmak üzere operasyonları desteklemek için personelin doğrudan maliyetleri, faaliyetlerin sürdürülmesi ve dahili / harici tedarikçilerin (satıcıların) maliyetleri.

Son kullanıcı işlem maliyetleri: son kullanıcılar için kendi kendine destek maliyetleri, son kullanıcılar için resmi eğitim, düzensiz (resmi olmayan) eğitim, bağımsız uygulama geliştirme, yerel dosya sistemi desteği.

Arıza süresi maliyetleri: İstemci bilgisayarlar, paylaşılan sunucular, yazıcılar, uygulama programları, iletişim kaynakları ve iletişim yazılımları dahil olmak üzere ağ kaynaklarının planlı ve plansız kesintilerinden kaynaklanan yıllık son kullanıcı üretkenliği kaybı.