Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Исследование «СёрчИнформ»: только треть субъектов КИИ оснащены средствами мониторинга угроз

13/09/22

Компания «СёрчИнформ» провела исследование практического применения систем мониторинга и управления событиями информационной безопасности (SIEM) в российском бизнесе. В опросе приняли участие 300 коммерческих, государственных и некоммерческих организаций из разных отраслей экономики.

По данным «СёрчИнформ», SIEM-системами в 2021 году были оснащены только от 14% до 25% компаний. Основной акцент во время опроса делался на проблемы эксплуатации и внедрения систем, в т.ч. на субъектах КИИ (58% опрошенных), где применение софта фактически обязательно.

Как показал опрос, две трети из них не оснащены SIEM-системой. 

Представители некоторых субъектов КИИ заявляют, что не нуждаются в системах мониторинга событий. Например, большинство (56%) респондентов из здравоохранения заявляют об отсутствии задач для SIEM в своих организациях и не знают, что внедрять такие системы их как субъекты КИИ обязывают нормативные требования. Среди всех опрошенных об отсутствии задач для SIEM заявили 19% компаний.

Еще 12% участников опроса уверены, что имеющиеся у них средства ИБ вполне компенсируют отсутствие SIEM. Это субъективные оценки: на деле у организаций практически нет инструментов, которые потенциально могли бы составить альтернативу SIEM и решать схожие задачи. Так, например, SOC/SOAR используют 6% опрошенных, EDR/XDR – 3%. Лучше ситуация со сканерами уязвимостей, они установлены в 47% компаний. Однако даже этот инструмент в отдельности не отвечает всем задачам по оперативному мониторингу угроз.

image005

Но главные причины, которые тормозят внедрения – это отсутствие бюджетов, сложность внедрения и отсутствие кадров для работы с SIEM.

Нехватка бюджетов

37% опрошенных сообщили, что считают SIEM слишком дорогой – они не смогли найти средства на закупку и отказались от идеи. Даже среди компаний, где SIEM установлена, 47% назвали согласование бюджета на закупку самой большой сложностью, связанной с решением.

Ситуацию усложняет то, что эксплуатация SIEM может предполагать дополнительные затраты: на профильного специалиста для работы с ней, для оплаты технической поддержки и доработок, на расширение числа лицензий, если они рассчитываются по пиковому трафику (число событий от источников в единицу времени), а лимиты были превышены.

Сложности внедрения

Совокупно более 70% респондентов считают работу с SIEM сложной – опасаются чрезмерных трудозатрат на внедрение, настройку и кастомизацию. Для 14% опрошенных компаний без SIEM потенциальные трудозатраты на внедрение стали главной причиной отказа от закупки.

Те компании, которые уже владеют системой, жалуются на сложности кастомизации.  Недостаточно функционала, доступного «из коробки»: готовых коннекторов для подключения источников не хватает трети, правил корреляции, т.е. вычленения инцидента – 17% респондентов. Справиться с проблемой самостоятельно удается только 46% компаний, большинство же прибегает к помощи вендоров и интеграторов. Это наглядно демонстрирует еще одну проблему – нехватку компетентных кадров для работы с SIEM.

Проблемы с кадрами

Для каждой пятой организации отсутствие профильных специалистов послужило причиной для отказа от закупки решения. На нехватку кадров пожаловались и 58% компаний, где SIEM уже внедрена.

image007

Исследование показало, что только 11% компаний смогли выделить для работы с SIEM профильного специалиста. В подавляющем большинстве случаев это дополнительная нагрузка на ИБ-специалистов.

image009 (2)-1

При всех сложностях никто из респондентов не сомневается в эффективности SIEM – даже те, у кого решение не внедрено, признают его пользу. Компании понимают, что это важная система, чтобы противостоять растущему количеству угроз – для 41% владельцев решения это стало главным мотиватором внедрения. Другая популярная причина, почему компании решаются на закупку – расширение инфраструктуры и наличие в ней специфических источников, например, отечественного ПО и оборудования (40%). Еще 36% на это мотивируют требования регулятора.

«Широкое внедрение SIEM тормозит скорее имидж этого класса продуктов как «дорогих и сложных», предназначенных исключительно для крупных компаний. Однако на деле все зависит от конкретного решения. Так, идеальная SIEM, судя по нашему опросу, должна быть недорогой на старте и в эксплуатации, с хорошим функционалом и соответствующей требованиям регуляторов. SIEM регулярно используют не только IT- специалисты, но и специалисты других профилей, которые могут не иметь специальной подготовки администратора или разработчика. Поэтому большинство респондентов рассчитывают на расширенную поддержку вендора: помощь в обучении, доступ к базе знаний, помощь в кастомизации и настройке системы. В этом смысле разворот рынка к отечественным SIEM заказчикам только на руку: российские разработчики ближе к клиенту и лучше понимают его запрос», – отмечает системный аналитик «СёрчИнформ» Павел Пугач.

image011 (1)

Темы:КиберзащитаОпросКИИОтрасль"СёрчИнформ"
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Быстрое импортозамещение в КИИ: проблема или задача?
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Со студенческой скамьи мы помним, что проблема и задача – это совершенно разные вещи, и их важно не путать.
  • Что мешает быстрому импортозамещению на объектах критической информационной инфраструктуры?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    О беспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.
  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • "Ассистент": безопасное решение для удаленного доступа на промышленных предприятиях
    Оксана Шабанова, генеральный директор ООО “САФИБ”
    "Ассистент" – кросс-платформенное решение, поддерживающее работу на большинстве операционных систем семейства Windows, Linux, Android, macOS. Проведены испытания, подтверждающие совместимость "Ассистент" с российскими операционными системами, в том числе сертифицированными ФСТЭК России
  • Облако перспектив для объектов критической инфраструктуры
    Алексей Кубарев, директор по информационной безопасности Т1 Облако
    В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.
  • Комплексная защита КИИ на производственном объекте
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...