Банки и госорганизации тратят на информационную безопасность (ИБ) 5–100 млн руб. в год, следует из опроса Positive Technologies, в котором участвовали 170 компаний. Среди них выделяются десять финансовых организаций с бюджетом 50–300 млн руб. и пять госорганизаций с бюджетом 100–800 млн руб. Организации в IT, промышленности и транспорте выделяют на ИБ до 50 млн руб., а меньше всего тратят СМИ и образовательные организации (до 20 млн и 10 млн руб. соответственно).
Бюджет расходуется в первую очередь на приведение инфраструктуры в соответствие требованиям регуляторов (разработку документов и внедрение минимальных технических средств защиты), полагают авторы исследования. Бюджеты на ИБ обычно составляют до 5% от общего бюджета на IT, а в редких случаях — до 10%, говорит Максим Филиппов, директор по развитию бизнеса Positive Technologies в РФ. Похожую оценку дает Антон Фишман, директор проектного направления Group-IB: в среднем на ИБ тратят 4–8% IT-бюджета. В целом инвестиции в ИБ среди российских компаний недостаточны, констатирует он.
В 2017 году расходы на ИБ в компаниях выросли на 30–40%, считает Виталий Земских, технический директор ESET Russia: очевидно влияние массовых атак шифраторов WannaCry, NotPetya, Bad Rabbit. В 2018 году расходы на ИБ вырастут на 50%, прогнозирует господин Земских. В числе факторов роста — требования регуляторов к обеспечению защиты госсектора, новые резонансные кибератаки и повышение осведомленности компаний в области ИБ, считает он.
Участники опроса также оценили свои убытки при остановке работы всех корпоративных систем на сутки. Треть организаций (33%) считают, что потеряют 0,5–2 млн руб. 19% организаций дают оценку минимум в 50 млн руб. Четверть респондентов (23%) уверены, что за сутки потеряют до 0,5 млн руб., причем среди них большинство IT-компаний, деятельность которых напрямую зависит от работоспособности информационных систем. По мнению авторов, некоторые респонденты недооценивают ущерб от простоя корпоративной инфраструктуры. Так, атака NotPetya обошлась Moller-Maersk в $200–300 млн.
В течение суток готовы восстановить свою корпоративную инфраструктуру 21% компаний. Дороже всего ее восстановление оценили 60% транспортных компаний и 11% госорганизаций: по собственным подсчетам, им потребуется более 50 млн руб., чтобы вернуться к работе.
Если же в результате атаки будет нарушена работа сайтов, то наибольшие потери понесут банки, показал опрос. Более половины банков (52%) оценивают свои потери в 2–10 млн руб., почти четверть (23%) — 10–50 млн руб., 25% банков — менее 2 млн руб. Именно к сайтам банков и госорганизаций злоумышленники проявляют наибольший интерес при атаках на веб-ресурсы, указано в исследовании. А вот в случае краж баз данных многие респонденты (41%) вообще не ждут финансовых потерь: прибыль некоторых организаций не зависит напрямую от количества клиентов.
Кристина Жукова