​​ 🔊 ГОСТ | Системы автоматизированного управления учетными записями и правами доступа

Опубликован национальный стандарт ГОСТ Р 71753-2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования».

Указанный стандарт вводится в действие 20.12.2024.

▶️ Бюджеты в ИБ вырастут на 9%

Обновили данные нашего регулярного опроса руководителей ИТ и ИБ, IT Security Economics. В целом по миру бюджеты на ИБ растут в компаниях всех размеров, в крупных компаниях чуть меньше чем в средних и малых. Сложнее всего приходится как раз небольшим бизнесам, которые вынуждены направлять непропорционально много сил своей ИТ-команды на задачи ИБ.
Защита сетей и конечных точек внедрена повсеместно, защита облачных решений применяется в 80% компаний, а вот тренинги по ИБ есть лишь в каждой второй фирме.

Самые распространённые виды инцидентов отличаются для компаний разного масштаба (на иллюстрации). У малого бизнеса значительно чаще проблемы с публичными облаками и недобросовестными сотрудниками.
При этом потери от серьёзных инцидентов практически всегда превышают годовой бюджет на ИБ — для небольших компаний в 1,5 раза, для крупных — в 1,1.

🔎 Данные по типичным проблемам и расходам каждой индустрии можно изучить в полной версии отчёта или поиграть с цифрами в нашем калькуляторе.

#статистика #CISO @П2Т

ExtraHop тут выпустила интересный отчет, в котором они оценили финансовые последствия от утечек информации, что особенно интересно в контексте принятого законодательства об оборотных штрафах за инциденты с персданными. Ключевые выводы из отчеты следующие:
1️⃣ Средняя стоимость утечки данных значительно выше предполагаемой:
➖ Традиционные оценки, такие как отчет IBM за 2024 год, называют среднюю стоимость утечки данных в США около $9,36 млн. При этом анализ ExtraHop обнаружил, что долгосрочные затраты некоторых утечек могут достигать $531 млн (в среднем).
➖ В 2023-2024 годах одна из утечек оценивается в $2,8 млрд, что поднимает среднюю стоимость инцидента до $677 млн.
2️⃣ После утечки данных акции компаний падают в среднем на 7% через месяц после раскрытия инцидента. А исследование Comparitech 2024 года показывает, что акции пострадавших компаний за полгода после утечки снижаются на NASDAQ на 3,2%.
3️⃣ Многочисленные виды затрат. Основные прямые и косвенные затраты включают:
➖ Услуги цифровой криминалистики и реагирования на инциденты.
➖ Устранение последствий атаки.
➖ Повышение затрат на кибербезопасность.
➖ Потерю доходов.
➖ Регуляторные штрафы.
➖ Юридические издержки.
➖ Рост страховых премий.
➖ Репутационные потери.
4️⃣ По данным Kovrr (2024), у 8 компаний из S&P 500 утечка данных может привести к убыткам, превышающим 10% их годовой прибыли, что ставит их под угрозу финансовой несостоятельности и банкротства.
5️⃣ Недооценка реальных затрат отраслью. Традиционные методики оценки базируются на количестве украденных записей или пострадавших, что приводит к занижению реальной стоимости. Например, ExtraHop указала на семь крупных инцидентов, где ущерб для клиентов, корпоративных доходов и капитализации превышал сотни миллионов или даже миллиарды долларов.
6️⃣ Все компании, изученные в отчете, зафиксировали значительное снижение квартальной прибыли после инцидентов.
7️⃣ ExtraHop подчеркивает, что предоставленные данные должны помочь компаниям обосновать необходимость инвестиций в системы защиты, чтобы снизить финансовые риски и повысить устойчивость бизнеса.
8️⃣ Финансовые последствия киберинцидентов включают не только мгновенные убытки, но и долгосрочные проблемы с восстановлением репутации, доходов и рыночной позиции.

Иными словами, отчет ExtraHop подтверждает, что инциденты ИБ несут огромные долгосрочные финансовые риски, значительно превышающие первоначальные оценки.

ЗЫ. Также напоминаю про наш вебинар, где я описывал составные части расчета финансовой стоимости инцидента ИБ.