Равив Марчиано-Горофф представил исследование о влиянии калифорнийского закона 2002 года о раскрытии инцидентов с утечками данных на инвестиции в информационную безопасность. В России после принятия ФЗ-152 ситуация с ИБ не менялась до 2008-го года, когда было принято первое «четверокнижие» ФСТЭК с требованиями по защите ПДн. После этого многие службы ИБ «подняли» денег на выполнении требований регулятора. А вот закон Калифорнии, как оказалось, не сильно повлиял на американский бизнес и его инвестиции по ИБ. Исследование проводилось среди 214 тысяч компаний, которые оценивались по одному параметру — установка обновлений безопасности на web-сайтах, обрабатывающих персданные. Выглядит достаточно нестандартно, но, видимо, это единственно публичная и унифицированная информация, которую нашел Равив. Так вот оказалось, что только 1,8-2,8% компаний обновили свои сервера после выхода закона американского штата. Это позволило сделать вывод, что принятие аналога ФЗ-152 не сильно повлияло на инвестиции в ИБ. Примерно тоже самое мы видим и в России сейчас (хотя у нас таких исследований и не проводилось). Думаю, что GDPR немного изменит эту статистику, но только по одной причине — сумма потенциального штрафа.
Второе исследование посвящено поиску ответа на вопрос — как влияет публикация сведений об инцидентах ИБ на рынки, стоимость компаний и т.п. экономические вопросы. Авторы отмечают, что связь между инцидентами и шумихой в СМИ и ростом активности со стороны регуляторов достаточно очевидна, а вот экономическая значимость инцидентов пока не доказана. Они и попробовали это сделать, оценив не столько прямые потери пострадавших компаний, сколько влияние на рынок в целом. Среди выводов можно отметить:
- Инвесторы не реагируют однозначно негативно на инциденты с безопасностью.
- Невзломанные компании сталкиваются с отрицательной доходностью после объявления инцидентов в своей отрасли, а также с ростом затрат на аудиты на 6%.
- Доходность акций страховых компаний также падает.
- Для фирм гораздо выгоднее запускать программу bug bounty для поиска уязвимостей в своих системах, чем искать высоквалифицированного и дорогого хакера (пентестера).
- Bug bounty не заменяет внутреннюю ИБ. При отсутствии системы защиты выплаты вознаграждений по программе bug bounty будут слишком велики. При этом внедрение системы ИБ в компании приводит к снижении выплат и нахождению определенного баланса между размером выплат и стоимостью системы защиты.
Только сдал экзамен и получил сертификат ведущего аудитора по ISO 27001:2013 в BSI в связи с планом по сертификации одного из бизнес процессов компании. Полагаю проблема в том, что по стандарту проводится сертификация некоторого бизнес процесса в части его соответствия рекомендациям по управлению ИБ, но не предусмотрено никакой сертификации собственно системы защиты информации на соответствие каким-то рекомендуемым или обязательным мерам защиты. Например, профилям защиты по ISO 15408, NIST, приказам ФСТЭК России № 21 и т.п. Толку от сертификации только в части управления ИБ мало. Если оно имеется, то это хорошо, но этого явно не достаточно для достижения уровня зрелости компании по ИБ. Разве что, только для участия в конкурсах с иностранными компаниями, где наличие сертификата является обязательным. Для РФ наличие сертификата вообще сложно обосновать для бизнеса, потому что надо реализовать требования законодательства по ИБ, в котором то же самое, но в иной форме, указано в НПА регуляторов. И, кроме того, установлены обязательные для выполнения меры защиты. А сертификаты по ISO нечего дают при проверках регуляторов.
Идея сертификации конкретного бизнес-процесса в контексте ИБ вообще выглядит странной… А остальные процессы могут быть не защищены?
Да. Могут. При сертификации указывается конкретный процесс и проверяется организация управления ИБ только для этого процесса.
Я знаю что могут. Это и странно 🙂