Киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева прокомментировала для CISOCLUB инициативу российских компаний о пересмотре штрафов за утечки данных при условии инвестиций в кибербезопасность.
По словам эксперта, запрос бизнеса на снижение штрафов возник незадолго до вступления в силу актуальных требований ФЗ-420 и ФЗ-421.
«Вероятно, компании произвели перерасчёт рисков «в последний момент» и неприятно впечатлились потенциальными потерями от оборотных штрафов. Сильнее всего компании удручает неопределённость в вопросах корректности внедрённых средств защиты информации и методик защиты данных, а в данной плоскости вопрос независим от финансовых инвестиций. Таким образом, результат расследования инцидента и оценка инвестиций может стать манипуляцией», — отметила Дмитриева.
Эксперт также подчеркнула проблему с недостаточной глубиной самого требования инвестировать «0,1% выручки».
«Наиболее правдивым кажется отсутствие глубины в требовании инвестировать «0,1% выручки», в связи со слабым учётом специфики компаний и отраслевого воздействия. Глобально для малого бизнеса эта сумма недостаточна, для крупного — аналогично. Например, компания с выручкой 10 млрд рублей потратит 10 млн рублей на обеспечение защиты данных, что непропорционально мало», — пояснила она.
Кроме того, Дмитриева указала на риск формального подхода к защите данных без интеграции решений в реальные процессы безопасности компании.
«Отсутствие понятных критериев оценки эффективности инвестиции компании могут ограничиться покупкой «коробочных» решений без интеграции в процессы защищённости, что не поможет снизить риск реализации утечек», — добавила эксперт.
Ирина Дмитриева подчеркнула важность разработки конкретных критериев и метрик оценки результата инвестиций в безопасность.
«Важно разработать не только чёткие критерии, но и создать метрики оценки полученных результатов, в числе которых независимый анализ защищённости и отсутствие критических уязвимостей на продовых активах по внешней поверхности атаки. Чтобы избежать имитации деятельности, необходимо сместить фокус с «потраченных денег» на «достигнутые результаты»», — заключила эксперт.
Оригинал публикации на сайте CISOCLUB: "Эксперт Дмитриева: российским компаниям следует сместить фокус с «потраченных денег» на «достигнутые результаты» в кибербезопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.