Згідно з підсумками опитування, проведеного Positive Technologies в ході дослідження «Скільки коштує безпека», більшість компаній витрачають на інформаційну безпеку менш ніж суму втрати за один день простою інфраструктури внаслідок кібератаки.

Величина збитків у разі виникнення інциденту інформаційної безпеки багато в чому залежить від готовності компанії до реагування на інцидент та коректності дій співробітників. Однак у сфері промисловості цей напрямок знаходиться на не найвищому рівні. У 23% опитаних організації із цієї сфери відсутня практика виявлення та розслідування інцидентів ІБ. У тому випадку, коли вони все ж таки розслідуються, 64% компаній займаються цією роботою самостійно без залучення професіоналів. При цьому внутрішні відділи SOC є лише у 20% промислових організацій.

Спеціалізовані інструменти забезпечення безпеки також використовуються досить рідко – міжмережеві екрани рівня додатків (WAF) застосовують менше ніж чверть (23%) усіх опитаних промислових компаній, SIEM-системи – ще менше (17%).

Регулярні тести на проникнення (2 рази на рік) проводять лише 13% промислових компаній, у 44% вони ніколи не проводилися. У 33% компаній інвентаризація та контроль за появою небезпечних ресурсів у периметрі мережі не проводиться ніколи. У 40% організацій ніколи не проводили аналіз захищеності корпоративних бездротових мереж. У 23% промислових компаній відсутній контроль установки оновлень софту.

У 17% компаній відсутня практика моніторингу публікації інформації про вразливості нульового дня та пошуку їх у ІТ-ресурсах компанії. У 40% промислових організацій дані про нові вразливості беруться до уваги, але їх виправлення відкладається на невизначений термін - при тому, що хакери готові до атаки протягом трьох днів після оголошення про вразливість.

Тільки 23% промислових компаній проводять регулярне навчання співробітників основ інформаційної безпеки з подальшою перевіркою ефективності такого навчання, а 40% компаній не організують його в принципі.

Промисловим компаніям, насамперед, важлива працездатність використовуваних систем і безперервність технологічного процесу, а інформаційна безпека є справою другорядною, тому й бюджет, що виділяється на забезпечення ІБ, у більшості випадків не настільки значний, як у державних чи фінансових компаніях. У сфері промисловості будь-які зміни в інфраструктурі АСУ ТП можуть серйозно вплинути на технологічний процес, тому всі додаткові засоби захисту застосовуються з обережністю. Крім того, не завжди існує можливість швидко внести зміни до конфігурації обладнання та прикладного програмного забезпечення або встановити оновлення. І хоча організації знають про проблеми, пов'язані з ІБ, в даний час не всі готові їх вирішувати ефективно через нюанси, пов'язані з технологіями, що використовуються, і внутрішніми бізнес-процесами, а також у зв'язку з неготовністю керівництва вкладати в безпеку значні суми.