15.06.2017
Многие российские компании используют устаревшее программное обеспечение
Интернет-портал lawmix.ru, июнь, 2017<br>
Экспертный комментарий Дениса Суховея, руководителя департамента развития технологий компании "Аладдин Р.Д."
Экспертный комментарий Дениса Суховея, руководителя департамента развития технологий компании "Аладдин Р.Д."
По Вашему мнению, с чем связан высокий процент компаний, которые не обновляют ПО? Как их можно стимулировать делать ИТ-системы безопасными?
- Высокий процент компаний, не обновляющих ПО, связан с экономией денежных средств. Несколько видов экономии приводит к подобным результатам:
- экономия на расходах сервисной поддержки используемой в компании ПО. Зачастую обновления программного обеспечения предоставляются, только в рамках действующих соглашений (при соответствующей оплате) о сервисной поддержке. Компании частенько на этом экономят;
- экономия на персонале. Компании сокращают финансирование ИТ и в первую очередь постоянные расходы. К сожалению, заработная плата входит в эту категорию расходов. Почти всегда в средних и крупных компаниях не хватает ресурсов ИТ-персонала. Перегрузка персонала и низкая квалификация "недорогих" ИТ-сотрудников выливается в игнорирование базовых принципов поддержки жизненного цикла ИТ-систем. Все это, в конечном счёте, приводит к плачевному состоянию вопросов безопасности;
- менталитет руководства подобных компаний. Безопасность ИТ неосязаема для многих людей, не связанных с ИТ-технологиями. Выделять существенные денежные средства ввиду этого достаточно сложно, психологически.
- Стимуляция компаний, игнорирующих вопросы безопасности, - "вопрос" весьма абстрактный. Все дело в том, что существует прямая связь между зависимостью бизнеса от ИТ и желанием бизнеса заниматься вопросами безопасности. Другими словами, чем больше компания зависит от своих компьютерных систем, тем вероятнее, что эта компания будет заниматься вопросами ИТ-безопасности. Весьма заметный рост доли "ИТ-зависимых" компаний за последние 10 лет является тем самым естественным, стимулирующим фактором.
Попытки искусственной/насильственной стимуляции приводят к обесцениванию самой темы информационной безопасности. Выполнение формальных требований различных стандартов по ИБ приводит в "формальному" выполнению этих требований. Реальная защита от актуальных киберугроз выходит далеко за рамки стимулирующих воздействий. Мотивация приходит от знаний или в результате приобретения собственного "печального" опыта.