Половина британских организаций не сообщает об инцидентах ИБ

Согласно последнему отчету правительства Соединенного Королевства об инцидентах ИБ, киберпреступники совершили 7,78 млн кибератак на британские организации и почти 1 млн на благотворительные. Однако менее половины этих компаний сообщили об инцидентах ИБ регулятору.

В начале апреля Министерство науки, инноваций и технологий Соединенного Королевства опубликовало отчет «Обзор нарушений кибербезопасности» по итогам прошлого года.

В исследовании изучены подходы к кибербезопасности у коммерческих, благотворительных организаций и образовательных учреждений. В нем также рассмотрены кибератаки и киберпреступления, с которыми столкнулись организации, воздействие и реагирование на инциденты ИБ.

Обнаружение инцидентов информационной безопасности

Согласно исследованию, половина опрошенных организаций (50%) и около трети благотворительных (32%) за последние 12 месяцев сталкивались с нарушениями кибербезопасности или кибератаками.

Крупные организации с большей вероятностью выявляют нарушения, чем малые. Данный показатель оказался выше у организаций среднего (70%) и крупного бизнеса (74%), а также у благотворительных организаций с высоким годовым доходом, от 500 тыс. фунтов стерлингов и более (66%).

Влияние кибератак сильнее отражается на крупном бизнесе:

• 30% крупных организаций потребовалось дополнительное время для устранения инцидента (по сравнению с 14% от всех предприятий, столкнувшихся с нарушениями или кибератаками);
• 34% крупных предприятий сообщили, что им пришлось принять новые меры для ликвидации или защиты от будущих атак (против 14% в целом).

Среди организаций, столкнувшихся с нарушениями за последний год, более половины (53%) и чуть менее половины благотворительных организаций (45%) сообщили, что это происходит 1 раз в месяц или чаще, а треть предприятий (32%) и пятая часть благотворительных (20%) говорят, что они сталкиваются с кибератаками как минимум 1 раз в неделю.

Уведомления об инцидентах ИБ

По поводу уведомления об инцидентах ИБ в регулирующие органы было опрошено 2000 организаций и 1004 благотворительных организации. Большинство случаев показало, что организации сообщают о нарушениях только своим внешним поставщикам услуг по кибербезопасности и никому больше: только 34% организаций сообщили о серьезных инцидентах ИБ за пределами своей организации.

По мнению экспертов по кибербезопасности, многие организации не желают сообщать об инцидентах информационной безопасности, потому что опасаются огромных штрафов со стороны регулирующих органов, а также репутационного ущерба, который будет нанесен из-за раскрытия информации такого характера.

Управление комиссара по информации Великобритании требует от организаций сообщать о киберинцидентах в течение 72 часов, при этом обязанность об отчетности зависит от серьезности инцидента ИБ и количества пострадавших клиентов.

Поскольку кибератаки на небольшие организации, как правило, менее серьезны, то отчетность для них является добровольной, что позволяет некоторым организациям-жертвам избежать контроля со стороны регулирующих органов. По словам специалистов, одним из способов решения этой проблемы является сделать информирование о всех кибератаках обязательным.

Последствия кибератак и оценка ущерба

При проведении опроса исследователи рассмотрели различные аспекты стоимости каждого нарушения, с которым организации столкнулись за прошедший год.

Среди организаций, выявивших нарушения кибербезопасности, самый серьезный инцидент ИБ за последние 12 месяцев обошелся предприятию любого размера, в среднем, примерно в 1205 фунтов стерлингов (около $1500). Для среднего и крупного бизнеса сумма была гораздо выше и составила порядка 10 830 фунтов стерлингов (около $13500) на один инцидент ИБ.

Стратегии кибербезопасности, риски и киберстрахование

• Официальные планы реагирования на инциденты информационной безопасности есть только у 22% организаций (и 19% благотворительных организаций). Однако этот показатель выше у среднего бизнеса — 55%, 73% у крупного бизнеса и 50% у благотворительных организаций с высокими доходами.
• 66% организаций крупного бизнеса, 58% среднего и 47% благотворительных организаций с высоким доходом имеют официальную стратегию кибербезопасности.
• 31% британских организаций за последний год провели оценку рисков кибербезопасности, среди компаний среднего бизнеса этот показатель выше и составляет 63%, среди крупного бизнеса — 72%.
• За год доля застрахованных от рисков кибербезопасности организаций выросла с 37% до 43%. При этом киберстрахование чаще встречается у среднего бизнеса, чем у крупного — 62% и 54% соответственно.