Презентация мастер-класса Романа Чаплыгина
Download
Report
Transcript Презентация мастер-класса Романа Чаплыгина
Корпоративные
киберугрозы и
киберриски:
восприятие бизнесом
Роман Чаплыгин
Киберриски: серьезная и реально существующая угроза
тема кибербезопасности затрагивается в новостях ежедневно
PwC
Киберриски: серьезная и реально существующая угроза
тема кибербезопасности затрагивается в новостях ежедневно
PwC
Киберриски: серьезная и реально существующая угроза
все под прицелом
PwC
•
Государственные учреждения
•
СМИ
•
Энергетический сектор
•
Розничная торговля
•
Электроэнергетика и ЖКХ
•
Сельское хозяйство
•
Металлургия и горнодобывающая
промышленность
•
Банковские и финансовые организации
•
Страховые компании
•
Инвестиционные компании
•
Нефтегазовый сектор
•
Телекоммуникации
•
Промышленное производство
Киберриски – бизнес-риски
киберриски оказывают влияние на международный бизнес…
Десять самых серьезных угроз для развития бизнеса
По результатам проведенного PwC ежегодного опроса руководителей крупнейших компаний мира,
степень влияние киберугроз на бизнес поднялась с 10-й на 6-ю позицию
2015
PwC
2014
Киберриски – бизнес-риски
…. на российский бизнес…
Десять самых серьезных угроз для развития бизнеса
Руководители российского бизнеса так же испытывают беспокойство в отношении киберугроз
PwC
2015
Киберриски – бизнес-риски
… и на глобальную экономику
ТОП-5 наиболее вероятных рисков
По данным доклада Всемирного экономического форума
«Глобальные риски – 2014»
PwC
«Глобальные риски – 2015»
Число инцидентов ИБ причиненный ими ущерб растут
и это только вершина айсберга
Некоторые компании не
раскрывают информацию
об инцидентах, а многие о
них даже не знают.
PwC
Результаты ежегодного опроса, в котором
приняли участие более 9 700 респондентов,
показали, что общее число инцидентов
информационной безопасности, резко
возросло – на 48 % - по сравнению с 2013
годом, составив в общей сложности 42,8
миллионов инцидентов. Это означает, что в
среднем каждый день совершалось 117 339
кибератак.
Число инцидентов ИБ причиненный ими ущерб растут
более крупные компании выявляют больше инцидентов
Небольшие компании располагают
меньшими возможностями для
обнаружения атак.
Но крупные компании более
привлекательны.
5%
PwC
64%
44%
Число инцидентов ИБ причиненный ими ущерб растут
инциденты ИБ наносят больший ущерб крупному бизнесу
Размер ежегодных убытков от киберпреступности
для мировой экономики составляет
от 375 млрд до 575 млрд
долларов США
PwC
Число инцидентов ИБ причиненный ими ущерб растут
крупным компаниям приходится вкладывать больше средств в защиту
Крупные корпорации имеют собственные центров
обеспечения
информационной
безопасности
с
функциями разведки киберугроз, отражение атак и
расследование инцидентов.
Малый бизнес может обеспечить наличие таких же
функций кибербезопасности путем аутсерсинга.
Еще одним вариантом решения проблемы рисков могло
бы стать приобретение страховки от киберрисков.
PwC
Разведслужбы, хакеры и организованная киберпреступность—
это «киберзлодеи», которыми восхищаются и которых
ненавидят
Сотрудники компаний —
наиболее часто упоминаемые
виновники инцидентов в
сфере информационной
безопасности.
Тем не менее это вовсе не означает,
что все сотрудники демонстрируют
злонамеренное поведение.
Во многих случаях они могут
непреднамеренно стать
виновниками разглашения
секретной информации, потеряв
свои мобильные устройства или
став объектом фишинга.
Число громких преступлений растет
стремительными темпами
PwC
Разведслужбы, хакеры и организованная киберпреступность—
это «киберзлодеи», которыми восхищаются и которых
ненавидят
В 2014 году процентная доля
инцидентов информационной
безопасности, связанных с действиями
нынешних и бывших поставщиков услуг
и партнеров, увеличилась
соответственно до 18% и 15%.
PwC
Разведслужбы, хакеры и организованная киберпреступность—
это «киберзлодеи», которыми восхищаются и которых
ненавидят
…украсть интеллектуальную собственность и коммерческую тайну проще, дешевле и
быстрее, нежели делать соответствующие разработки самостоятельно
PwC
Разведслужбы, хакеры и организованная киберпреступность—
это «киберзлодеи», которыми восхищаются и которых
ненавидят
Растет и число успешных
атака со стороны
организованной
киберпреступности.
Организованные преступные группировки, как
правило, руководствуются стремлением к
финансовой выгоде. Благодаря одной успешной
кибератаке можно заполучить сведения о
реквизитах миллионов платежных карт, которые
можно быстро монетизировать.
Помимо данных кредитных и дебетовых карт,
преступники все чаще пытаются похитить
данные, содержащиеся в медицинских картах
пациентов, или другие персональные данные,
имеющие большую ценность в преступной среде.
PwC
Основными объектами
кибератак по-прежнему
остаются компании
финансового сектора.
Разведслужбы, хакеры и организованная киберпреступность—
это «киберзлодеи», которыми восхищаются и которых
ненавидят
Разведслужбы: новый
источник беспокойства
Благодаря раскрытию
фактов электронной
слежки со стороны
государственных служб,
которые опубликовал
Эдвард Сноуден, в число
источников киберугроз
вошли службы внутренней
разведки
PwC
59% респондентов сказали, что
руководители их организаций
обеспокоены фактами слежки
со стороны государственных служб.
Число инцидентов растет, а расходы на ИБ сокращаются
сколько средств нужно выделять на безопасность и как рассчитать
отдачу от инвестиций
Средний бюджет на информационную безопасность
опустился до отметки 4,1 млн долларов США, что на
4% меньше прошлогоднего значения. Расходы на
безопасность по-прежнему находятся на уровне всего
лишь 3,8% от общего ИТ-бюджета.
PwC
Число инцидентов растет, а расходы на ИБ сокращаются
в то же время, лишь некоторые компании обеспокоены величиной
киберриска и пытаются ее подсчитать
PwC
Число инцидентов растет, а расходы на ИБ сокращаются
так каким образом следует расходовать выделенный бюджет
PwC
Prevent
Protect
Число инцидентов растет, а расходы на ИБ сокращаются
так каким образом следует расходовать выделенный бюджет
PwC
Смена фундаментальных основ обеспечения ИБ
методы защиты информации должны поспевать за постоянно
эволюционирующими угрозами и требованиями ИБ
Наличие лишь технических
средств защиты недостаточно.
Зачастую большее значение имеет
надлежащее выстраивание
процессов кибербезопасности:
•
•
•
PwC
согласованность целей и задач бизнеса
и безопасности;
надлежащее управление процессами
ИБ с привлечением представителей
бизнеса;
управление поставщиками и
контроль состояния ИБ
контрагентов.
Лишь 49% респондентов сказали, что в их
организации сформирована рабочая группа с
участием представителей всех заинтересованных
служб, которая регулярно проводит встречи для
обсуждения вопросов обеспечения
информационной безопасности, координации
усилий в этой области и надлежащего
информирования сотрудников организации.
Кроме того, в решении стратегических задачь
должен принимать непосредственное участие
совет директоров и высшее руководство.
Оценку рисков, связанных с поставщиками,
проводят только 50% респондентов (в 2013 году
этот показатель составлял 53%) и всего 50%
участников исследования провели
инвентаризацию всех третьих лиц, имеющих
доступ к персональным данным клиентов и
сотрудников. Всего лишь немногим более
половины (54%) респондентов имеют
документально оформленную политику,
обязывающую третьих лиц соблюдать
установленные ими требования к защите
персональных данных (в 2013 году этот
показатель составлял 58%).
Смена фундаментальных основ обеспечения ИБ
повышение значимости информационной безопасности в развитии
организации
Руководители компаний
включают информационную
безопасность в тройку
наиболее важных аспектов при
использовании
информационных технологий.
И воспринимают инвестиции в
эту область не только как
вложения в повышение
защищенности от угроз, но и
как инструмент для создания
доверия к бизнесу, которое в
наше время является
ключевым элементов для
сотрудничества.
PwC
Клиентские
мобильные
технологии
Интеллектуальный
анализ данных
Кибербезопасность
Интернет вещей
Социально ориентированные
бизнес процессы
Облачные технологии
Батареи и энергетика
Робототехника
Носимые компьютеры
3-D принтеры
Смена фундаментальных основ обеспечения ИБ
совет директоров начинает принимает участие в ключевых
мероприятиях ИБ
PwC
Успешность отдельных инициатив ИБ
участники исследования начинают осознавать пользу от совместной
работы
В числе других
улучшений можно назвать
приобретение страховки в
качестве инструмента по
управлению
киберрисками.
Южная Америка лидирует в области
страхования от киберрисков:
соответствующий страховой полис в этом
регионе приобрели 58% респондентов. В
США, где доля таких респондентов
составила 44%, инвестиции в
страхование от киберрисков менее
популярны.
PwC
Успешность отдельных инициатив ИБ
от обеспечения безопасности к управлению киберрисками
По мере того как число
инцидентов по всему
миру продолжает
стремительно расти,
становится ясно, что
киберриски никогда не
будут полностью
ликвидированы.
Сформировавшаяся в наши дни
взаимозависимая экосистема бизнеса
требует перехода от политики
обеспечения информационной
безопасности с акцентом на
профилактике и контроле к подходу,
основанному на оценке рисков, в рамках
которого самые ценные активы
организации и наиболее актуальные для
нее угрозы будут ранжированы по
приоритетности
Следующий важный шаг – привязка бюджета на
безопасность к ценности стратегических активов
компании и инвестирование в методы защиты,
которые лучше всего подходят компании и
эффективно
противостоят
современным
изощренным кибератакам
PwC
Как PwC помогает клиентам управлять современными
киберрисками
Высокое качество и профессионализм
180 000 38 000
сотрудников PwC
по всему миру
консультантов PwC
по всему миру
Для достижения целей, поставленных
клиентами при реализации различных
проектов, в PwC в равной степени
привлекаются как местные, так и
международные специалисты на
всех этапах выполнения проекта – от
разработки стратегии до ее внедрения.
Лидер на рынке услуг по
трансформации бизнеса
на базе ИТ-решений
Forrester, 3-й квартал 2012
года
PwC
9 600
2 000
консультантов PwC
консультантов PwC
в ИТ-сфере
в области кибербезопасности
по всему миру
по всему миру
Фирмы нашей международной сети работают в
776 офисах в 158 странах мира
Специалисты PwC
обладают богатым
опытом оказания
консультационных услуг
вузам
Лидер в области
бизнесконсультирования
Отчет MarketScape компании
IDC за 2012 год
В штате PwC CEE
работает множество
квалифицированных
специалистов:
CISA – 39 человек
CISM– 7 человек
PMP – 8 человек
CRISC – 5 человек
CISSP – 4 человека
ISO 27001– 12 человек
Спасибо за внимание!
Роман Чаплыгин
Директор
Отдел анализа и контроля рисков
Услуги по информационной безопасности
PwC
Моб.: +7 (903) 272 1620
E-mail: [email protected]
Материалы наших
исследований доступны
на сайте
pwc.ru/ru/publications/
www.pwc.ru/cybersecurity
Настоящая публикация подготовлена исключительно для создания общего
представления об обсуждаемых в ней вопросах и не является профессиональной
консультацией. Информация, содержащаяся в данной публикации, не может служить
основанием для каких-либо действий в отсутствие профессиональных консультаций
специалистов. В отношении точности или полноты информации, содержащейся в
настоящем издании, не дается никаких заверений или ручательств (явно выраженных
или подразумеваемых), и в той степени, в какой это допустимо законодательством, PwC
(Россия), ее участники, сотрудники и представители не берут на себя никакой
ответственности и снимают с себя всякую ответственность за последствия ваших или
чьих бы то ни было действий или бездействия исходя из достоверности содержащейся в
настоящем издании информации и за любое основывающееся на ней решение.
PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнесконсультирования, управления информационной безопасностью, а также налоговые и
юридические услуги компаниям разных отраслей. В офисах PwC в Москве, СанктПетербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-Дону, Краснодаре,
Воронеже, Южно-Сахалинске и Владикавказе работают более 2 600 специалистов. Мы
используем свои знания, богатый опыт и творческий подход для разработки
практических советов и решений, открывающих новые перспективы для бизнеса.
Глобальная сеть фирм PwC объединяет более 195 000 сотрудников в 157 странах.
© 2015 ООО «ПрайсвотерхаусКуперс Консультирование». Все права защищены.
Под "PwC" понимается ООО "ПрайсвотерхаусКуперс Консультирование" или, в
зависимости от контекста, другие фирмы, входящие в глобальную сеть
PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является
самостоятельным юридическим лицом.