Информационная безопасность в нефтегазовой сфере. Положительная динамика при существующих недочетах

Новое исследование, подготовленное экспертами подразделения IDC Energy Insights, специализирующимися на научно-исследовательской работе и консультационных услугах в области рынков энергетики и коммунального хозяйства, базируется на результатах двух исследований IDC -  «IDC Energy Insights' International Survey on Security Governance, Risk, and Compliance» и «2011 North American Vertical IT and Communications Survey». Основной фокус исследования направлен на освещение вопросов обеспечения информационной безопасности в компаниях, относящихся к сфере нефтяной и газовой промышленности.

В исследовании IDC отмечается, что с исторической точки зрения сложилось так, что компании из нефтяного и газового сектора не были «в первых рядах» среди тех, кто занимался развитием программ обеспечения информационной безопасности в своих компаниях. Однако, эта ситуация быстро меняется. По мере постепенного увеличения цифровизации во всей цепочке создания конечного продукта, вопросам безопасности будет уделяться более пристальное внимание.

Нефтяные и газовые компании все в большей степени уделяют внимание вопросам информационной безопасности и начинают рассматривать это направление как одно из стратегически важных для развития всего бизнеса в рамках компании. В ходе опроса представителей компаний нефтегазового сектора были среди прочего выделены три угрозы информационной безопасности, которые воспринимаются такими компаниями как наиболее опасные для их бизнеса. Наибольшей опасностью для себя нефтяные и газовые компании считают угрозу промышленного шпионажа. За ней следует так называемый «человеческий фактор», то есть угроза ошибки сотрудника при работе с важными данными или случайная потеря важной информации. Также среди актуальных угроз отмечены уязвимости системы, которые могут быть использованы вредоносными программами.

Кстати, если говорить о российском рынке, то здесь у компаний нефтегазовой отрасли наиболее актуальными вопросам в части обеспечения информационной безопасности являются практически те же темы. Российские эксперты в области информационной безопасности говорят следующее: «Прежде всего - это угроза утечки конфиденциальной информации, в первую очередь относящейся к коммерческой тайне. Кроме того, повышение эффективности механизмов расследования инцидентов в области ИБ, в том числе, необходимость создания системы мониторинга событий информационной безопасности. Подобных систем, несмотря на большое количество ИТ-решений и решений по информационной безопасности, которые внедрили компании нефтегазового сектора за годы существования, на сегодняшний день нет», - говорит руководитель направления информационной безопасности компании «КРОК» Михаил Башлыков.

Возвращаясь к исследованию IDC, специалисты этой компании относительно темы исследования отмечают следующее: «Информационная безопасность на сегодняшний день имеет большое значение для бизнеса и она заключается не только в обеспечении безопасности при операциях с ИТ-инфраструктурой.  В компаниях нефтяной и газовой отрасли осведомленность о соответствующих политиках безопасности и применение лучших практик из этой сферы по-прежнему реализуется недостаточно хорошо. Компаниям этой отрасли необходимо быть лучше подготовленными для обеспечения профилактики и устранения последствий нарушений в области информационной безопасности. Сейчас не то время, когда следует проводить сокращение бюджетов на ИТ-безопасность», - отмечает руководитель отдела по странам Европы, Ближнего Востока и Африки подразделения IDC Energy Insights Роберта Биглиани (Roberta Bigliani).

В рамках исследования экспертами IDC были выделены основные недочеты, которые существуют у компаний нефтегазового сектора в части обеспечения информационной безопасности, а также определены «пробелы», которые существуют между намерениями компаний в указанной области и текущей реализацией проектов. 

Среди ключевых результатов, которые были получены в ходе исследования, эксперты IDC отмечают следующие:  В исследовании в частности говорится о том, что компаниям рассматриваемой отрасли необходимо «догонять остальной рынок» в области развития внутрикорпоративной политики безопасности. Нефтяные и газовые компании по-прежнему отстают от показателей межотраслевых компании в целом  в части разработки политики безопасности (а также утверждения и выполнения этих стандартов).  

Кроме того, бюджеты, выделяемые в компаниях отрасли на информационную безопасность в целом не увеличиваются или вовсе снижаются. Так, по данным опроса IDC лишь 55% респондентов указали, что ожидают увеличения бюджета на ИТ-безопасность в своих компаниях в течение ближайших 12 месяцев. А в Северной Америке расходы на новые решения еще скромнее, и только 29% респондентов указали, что планируют инвестиции во внедрение новых решений в сфере ИТ-безопасности в своих компаниях. 

Необходимость соблюдения жестких нормативных требований в отрасли является по данным исследования одним из самых больших барьеров для обеспечения информационной безопасности в компаниях, относящихся к нефтегазовой промышленности. Почти 25% респондентов указали существующую нормативно-правовую среду в качестве барьера для обеспечения ИТ-безопасности. Кроме того, 20% респондентов отмечают рост ландшафта угроз в качестве одной из основных проблем. 

Что же касается отечественной отрасли нефтяной и газовой промышленности, то отличие по  словам Михаила Башлыкова состоит как раз в том, что для отечественных компаний нефтегазового сектора не разработано специальных нормативных требований в области информационной безопасности на государственном уровне. «В связи с этим, российские компании имеют возможность самостоятельно определять стратегию, методы и средства обеспечения информационной безопасности. Исключение составляют только вопросы защиты персональных данных», - говорит Михаил Башлыков.