ИТ против ИБ — кому доверить безопасность компании?
Как бизнес перестраивает процессы под новые угрозы.
83% крупных российских компаний заявили, что уделяют внимание вопросам безопасной разработки собственного программного обеспечения. Об этом свидетельствуют результаты совместного исследования компаний «К2 Кибербезопасность» и Positive Technologies. В опросе участвовали ИТ- и ИБ-руководители 103 организаций из ключевых отраслей экономики — от промышленности и финансов до телекоммуникаций, ритейла и медицины.
Безопасная разработка чаще всего (в 48% случаев) находится в зоне ответственности ИТ-отдела, в 41% — её курирует подразделение ИБ. Даже среди тех, у кого процессы еще не выстроены, 59% уже осознают необходимость их внедрения.
Почти половина (49%) компаний использует отечественные решения для защиты разработки, причем треть (30%) полностью полагается на российские инструменты. Еще 19% комбинируют их с иностранными продуктами, столько же остаются на стороне зарубежных решений. Основным фактором при выборе российского ПО названа его доступность: наличие технической поддержки, обновлений и возможности закупки. При этом респонденты признают, что пока не хватает комплексных платформ, закрывающих весь цикл безопасной разработки.
Контейнеризация становится стандартом — 65% компаний строят приложения на микросервисной архитектуре с использованием контейнеров. Это упрощает развертывание и масштабирование, но одновременно открывает новые векторы для атак. На этом фоне растёт спрос на DevSecOps-методологии и инструменты, позволяющие интегрировать безопасность на всех этапах жизненного цикла ПО.
Чаще всего для этого применяются инструменты анализа и тестирования безопасности кода — SAST, DAST и IAST (42%). Также используются сканеры уязвимостей (19%) и платформенные решения (13%). Многие опрошенные отметили наличие конкурентоспособных отечественных продуктов в этих категориях.
Среди главных угроз для собственных разработок компании назвали DDoS-атаки (24%) и утечки данных (15%). Кроме того, упоминаются атаки нулевого дня, эксплуатация уязвимостей в open source-компонентах, ошибки персонала и устаревшие модули.
Наиболее распространённые типы разрабатываемого ПО — это бизнес-приложения (CRM, ERP, ECM, WMS) — 23%, специализированные промышленные решения (ПО для проектирования, PLM, автоматизация) — 14%, а также финансовые и учётные системы — 12%.
По словам экспертов, растущий интерес к безопасности разработки указывает на переход российского бизнеса к зрелому пониманию ИБ: защита начинается не на этапе эксплуатации, а с первых строк кода.