Разделы

Безопасность ИТ в банках ИТ в госсекторе Ритейл Техника

В российских госкомпаниях смехотворно маленький штат ИБ-специалистов из-за низких зарплат

В госкомпаниях самый малочисленный ИБ-штат, подсчитали эксперты. Поэтому они наиболее уязвимы для кибератак. Такое положение дел обусловлено низкими зарплатами в таких компаниях. В штатах компаний из сферы ритейла обычно устроены не более пяти ИБ-специалистов.

Безопасность превыше всего

В российских госкомпаниях самый малочисленный штат ИБ-специалистов. Их количество варьируется от одного до пяти человек. Это следует из отчета «Особенности организации службы ИБ в разных сферах бизнеса» компании «Инфосистемы джет», с которым ознакомился CNews.

«Такая ситуация связана в большей степени со сложностью обоснования в данной отрасли необходимости расширения штатного расписания», — отмечают авторы отчета. Зачастую за безопасность в госкомпаниях и компаниях с госучастием отвечают два специалиста.

Из-за недостаточного кадрового обеспечения госкомпании наиболее уязвимы к кибератакам, рассказал CNews Александр Моисеев, ведущий консультант по ИБ компании Aktiv.Consulting. Это вызвано низким уровнем заработной платы для специалистов в этих учреждениях.

Согласно исследованию, от одного до пяти безопасников также можно насчитать в штате компаний из сферы промышленности и ритейла.

Исследование основывается на данных, полученных в ходе аудита ИБ в 100 компаниях среднего и крупного бизнеса в 2019–2021 гг., а также на данных опроса ключевых заказчиков «Инфосистемы джет». География их деятельности включает в Россию, Азербайджан и Узбекистан (90% опрошенных компаний — российские).

Кто защищен больше всего

Наиболее зрелые процессы по ИБ выстроены в компаниях финансового сектора, пришли к выводу авторы отчета. В среднем численность специалистов в этих компаниях варьируется от 10 до 20 человек. А в 32% выборки ИТ-штат составляет более 20 человек.

В госкомпаниях из-за низких зарплат работает в среднем до пяти безопасников

«Бизнес таких компаний особенно привлекателен для киберзлоумышленников, а также находится в постоянном фокусе регуляторов, что требует большого числа специалистов для выполнения обязательных требований», — объясняют авторы отчета.

Чуть менее — от пяти до десяти ИБ-специалистов в телекоме, страховании и топливно-энергетическом комплексе.

Много или мало

В 2022 г. в связи с острой международной повесткой потребность в ИБ специалистах только усилилась, подчеркнул Александр Моисеев. «При этом ИБ-кадров сейчас просто нет, а за тех, что остались, идет острая борьба», — отмечает он.

По его мнению, в связи с последними громкими утечками в ритейле требуется ужесточение мер к организациям, допустившим утечки. В самих же организациях нужно будет усилить технические меры по защите информации, особенно в части маскирования (псевдонимизации) персональных данных при передаче их из продуктивных в какие-либо тестовые контуры (сторонним коллективам разработки, для аналитической обработки и тому подобное), говорит Моисеев.

При этом в некоторых компаниях и вовсе отсутствует ИБ-штат, говорится в исследовании. В 8% компаний до сих пор нет отдельно выделенного ИБ-подразделения. «Поддержанием процессов ИБ в таких компаниях, как правило, неформально занимаются работники ИТ, которые рассматривают такие обязанности как дополнительную нагрузку, вследствие чего они выполняются «по остаточному принципу», — отмечается в отчете. Такими компаниями обычно являются небольшие организации коммерческого сектора.

Как рассказал CNews Рустем Хайретдинов, независимый эксперт по ИБ, количество требуемых специалистов по информационной безопасности довольно сложно оценить в штуках. Он отметил, что для обеспечения безопасности не обязательно нанимать ИБ-штат. Компании, например, делегируют эти обязанности аутсорсинговым компаниям. По его словам, обеспечить безопасность можно и передав их внутри компании: безопасную разработку поручить разработчикам, борьбу с цифровым мошенничеством — антифрод подразделению, инфраструктурную безопасность можно частично делегировать ИТ-подразделению и пр.

Общий уровень зрелости в плане ИБ в российских компаниях по-прежнему остается достаточно низким. Такая ситуация обусловлена как недостатком кадровых ресурсов, так и недостаточным финансированием со стороны бизнеса, заключают авторы отчета.

Громкие утечки 2022 года

Напомним, 2022 г. был отмечен огромным количеством утечек персональных данных из российских компаний. Так, в начале марта 2022 г. «Яндекс.еда» сообщила об утечке номеров телефонов 58 тыс. клиентов, Роскомнадзор затем наказал компанию на 60 тыс. рублей. В мае 2022 г. в сети оказались сведения о 30 млн клиентах сети лабораторий «Гемотест». Сразу после этого Delivery Club заявила, что в открытый доступ попала база данных сотрудников из 350 млн строк.

Весной 2022 г. в свободном доступе также оказались данные сервисов СДЭК (два файла по 466 и 822 млн строк). В июне 2022 г. бывший сотрудник «Ростелекома» слил в сеть персональные данные ста тысяч коллег. А в августе 2022 г. знаменитый взломщик выложил данные 7,5 миллионов клиентов Tele2.

Кристина Холупова