За последние два года для большинства российских компаний кибератаки перешли в категорию значительных рисков. Несмотря на это, многие руководители все еще не осознают ценность, которую создает выстроенная система информационной безопасности (ИБ). Если первый рубеж преодолен, то далее ИБ-руководитель сталкивается с другой трудностью - обоснование бюджета. Такая ситуация может быть как в компании сегмента среднего бизнеса, так и в более крупных организациях, в том числе государственных.
Глубина цифровизации всех отраслей бизнеса сегодня крайне высока. У этого есть очевидные для всех положительные моменты: экономика получила мощный стимул для развития, стали появляться современные производства и выросло число компаний-разработчиков программного обеспечения. Но есть и отрицательные последствия. К последним относится зависимость государственных и бизнес-структур от цифровых технологий и подверженность кибератакам.
Отсутствие должного внимания к кибербезопасности привело к огромному разрыву между цифровыми технологиями и уровнем защиты информационных систем. Это можно заметить на примере бюджетов на информационную безопасность (ИБ). В России даже после более чем полутора лет жизни в условиях колоссально возросшего уровня угроз и числа атак отрасль недофинансирована в разы. В мире на кибербезопасность компании расходуют 8-12% от общего бюджета на ИТ. В нашей стране эта цифра гораздо меньше.
Финансирование ИБ в мире
По прогнозу IANS и Artico Search, в 2023 году бюджеты на кибербезопасность составят в среднем 11,6% от общих расходов на ИТ, что заметно выше 8,6% в 2020 году. Неуклонный рост доли ИБ отмечается в течение последних четырех лет.
Рост бюджетов на кибербезопасность за период 2022-2023 годов составил 6%. Это довольно скромно после двузначных показателей 2020 и 2021 годов. Наименьший рост бюджетов наблюдался в достаточно развитых, с точки зрения ИБ, отраслях, таких как технологии, финансы и здравоохранение.
Увеличению бюджета предыдущих периодов, как правило, способствовали чрезвычайные обстоятельства, например инцидент безопасности, перепозиционирование компании или крупный отраслевой сбой.
По данным исследования ГК "Солар", на информационную безопасность финансовой сферы в 2022 году суммарно было направлено 15 миллиардов рублей. При этом общие затраты банков на ИТ составили 276 миллиардов рублей. Для сравнения: металлургия и добывающая промышленность тратят 39 миллиардов рублей на финансирование ИТ и 3,5 миллиарда рублей на ИБ. Крупные и средние компании энергетической отрасли при том же уровне ИТ-бюджета на обеспечение безопасности выделяют уже 5,9 миллиарда рублей. Это составляет 9 и 15% соответственно.
Причина существенного разрыва между финансовой и другими отраслями заключается в том, что банковские и другие организации сектора на начальных этапах представляли наибольший интерес для злоумышленников, поэтому одними из первых были вынуждены озаботиться вопросами ИБ.
С 2022 года финансирование кибербезопасности стало еще более актуальным из-за серьезных изменений в онлайн-среде. Наиболее существенными из них стали:
- заметное снижение стоимости проведения кибератак и, соответственно, повышение их частоты;
- использование сотрудниками, работающими удаленно, незащищенных устройств, что расширяет поверхность кибератак;
- появление в арсенале киберпреступников новых техник и методов, которые позволяют нападать гораздо быстрее, чем раньше, и эффективно скрывать свои действия.
Кроме того, преступники теперь открыто популяризируют результаты своих действий и готовы привлекать к атакам любителей, обучая их и снабжая необходимыми ресурсами. В итоге появляется новое поколение киберпреступников, которое может участвовать в более сложных атаках, чем обычные DDoS или дефейс.
Стоимость потерь
Согласно отчету IBM, средняя стоимость утечки данных в 2022 году достигла 4,35 миллиона долларов, что на 2,6 % больше, чем в 2021 году, и на 12,7 % больше, чем в 2020 году. И это только прямые затраты. Косвенные расходы гораздо выше. К ним относятся:
- компенсации клиентам и удержание доли рынка;
- юридические и PR-издержки;
- репутационные потери и снижение доверия;
- регуляторные штрафы и выплаты по искам.
При этом кибератаки и инциденты происходят в организациях почти каждый месяц, но найти достоверную публичную информацию зачастую можно только по зарубежным компаниям. К примеру, в 2022 году компания Metro AG, управляющая одноименной сетью гипермаркетов, пострадала от кибератаки, в результате которой часть ИТ-инфраструктуры была отключена, наблюдались проблемы с оплатой в магазинах и доставкой интернет-заказов, в том числе и в России. Ущерб для международной части бизнеса сети от такого простоя мог составить более 230 миллионов евро (около 14 миллиардов рублей), в то время как российские магазины ощутили на себе лишь кратковременные проблемы.
К сожалению, на сегодняшний день отсутствует общепринятая методика оценки ущерба от ИБ-инцидентов. Потери могут варьироваться от относительно небольших в размере забюджетированных рисков до фатальных, влекущих за собой прекращение деятельности компании. По оценке "Солара", одна только фишинговая атака, относящаяся к категории простейших, приводит к ущербу минимум в 2,25 миллиона рублей, а в течение года на одну компанию приходится порядка девяти таких атак. К наиболее серьезным инцидентам участники исследования "Солара" отнесли хищение денег со счетов компании, контроль сетевого оборудования, кражу данных, вирусное заражение и вымогательство, атаку через подрядчика, подмену и нарушение работы сайта и веб-приложений.
Как донести ценность комплексной кибербезопасности до руководителя компании
Для специалистов по ИБ крайне важно понимать, как работает бизнес, какие у него ключевые задачи и особенности. Это необходимо, чтобы найти оптимальный баланс между безопасностью и пользой. ИБ - бизнес-партнер как для ИТ, так и для компании в целом. Она разъясняет значимость безопасной эксплуатации бизнес-систем и правильной настройки ИТ-инфраструктуры. CISO (Chief Information Security Officer - руководитель по ИБ) должен являться неотъемлемым участником инициатив по цифровизации, в противном случае есть существенный риск краха этих начинаний по причине реализации неучтенных киберрисков. Целевым уровнем киберзащиты является состояние, при котором компания не только использует SOC (Security Operation Center - центры мониторинга и информационной безопасности) и специальные средства защиты информации, но и интегрирует элементы ИБ в бизнес- и ИТ-процессы.
Самые распространенные возражения руководителей при обосновании бюджета на ИБ обычно включают такие аргументы, как "На нас никогда не нападали", "Есть другие приоритеты" и "Давайте посмотрим, действительно ли нам нужна защита". Чтобы ответить на эти возражения, ИБ-специалист должен обладать финансовой оценкой текущих рисков и верифицированными сценариями их реализации. Например, компания с выручкой в 200 миллиардов рублей и чистой прибылью в 17 миллиардов рублей ведет свою операционную деятельность с суммарным риском ИБ в размере половины от чистой прибыли. Компания подтвердила техническую возможность реализации основных рисковых сценариев, понимает, что одна целенаправленная атака повлечет операционные потери в размере примерно миллиарда рублей, и осознает реалистичность суммарного риска. Задачей службы ИБ является системное выполнение комплекса мер, которые обеспечат выявление подозрительных событий на ранних стадиях, противодействие злоумышленнику и недопущение потерь. При этом затраты на задачи ИБ составят менее 5% от общей суммы риска, то есть примерно 350 миллионов рублей в год. Соотношение суммы рисков ИБ к затратам на нее и является рентабельностью.
Еще одним аргументом в пользу ценности ИБ может стать тот факт, что надежная киберзащита оказывает положительное влияние на клиентский опыт. Чем меньше клиент сталкивается с невозможностью или трудностями в получении цифровых услуг, тем выше его лояльность компании. В конечном итоге это создает дополнительное конкурентное преимущество для бизнеса.
Организации постоянно ускоряют цифровую трансформацию в стремлении к большей гибкости, повышению эффективности и производительности, улучшению качества обслуживания клиентов и принятию решений на основе данных. Но ИБ также является неотъемлемой частью цифровой трансформации, поэтому сегодня ее следует рассматривать как фактор, способствующий развитию бизнеса.
Анализ и оценка рисков
Анализ и оценка рисков ИБ позволяют экономически обосновать внедрение средств защиты и планирование бюджетов. Кроме того, они способствуют оптимизации расходов, направляя их в нужное русло, и эффективной отдаче от инвестиций в информационную безопасность (ROSI).
Наиболее продвинутыми методами оценки рисков являются те, которые совмещают сценарный анализ и количественное моделирование с экспертизой специалистов по кибербезопасности. По данным исследования ГК "Солар", 39% российских компаний использует анализ рисков для планирования бюджета и 37% - для экономического обоснования инвестиций в ИБ.
"К признакам развитой кибербезопасности компаний, на мой взгляд, стоит в первую очередь отнести переход от парадигмы усиления защиты (киберзащиты) к парадигме формирования киберустойчивости. Заранее исключить все существующие или потенциальные угрозы невозможно. Правильнее сосредоточиться на способности компании справиться с любой атакой или киберинцидентом и в короткие сроки восстановить ключевые процессы, тем самым обеспечить стабильность деятельности организации", - комментирует Роман Чаплыгин, директор по консалтингу ГК "Солар".
Оптимизация бюджета кибербезопасности
Обширный стек технологий безопасности требует большой команды профессионалов и значительного вложения средств. Применение большого количества продуктов может означать высокую сложность и избыточность (перекрывающиеся функциональные возможности). Обычно это становится препятствием для эффективной и результативной работы компании, а это, конечно, серьезный аргумент против усиления кибербезопасности для лиц, принимающих решения в организации.
Расходы на персонал и оплату труда остаются самой большой категорией расходов, составляя 38% от общего бюджета на безопасность. В этом году рост штата сотрудников служб безопасности в мире замедлился, но объем средств, выделенных на найм персонала, увеличился на 16%. Для сравнения - годом ранее рост составил 31%. Тем не менее, это все же выше темпов увеличения ИБ-бюджетов. CISO объясняют, что у них достаточно инструментов, но им не хватает людей для их оптимизации.
Консолидация и аутсорсинг решений и сервисов ИБ - подходящий вариант на начальном этапе формирования киберустойчивости или в период экономического спада. В первую очередь это касается услуг мониторинга и реагирования на киберинциденты, а также консалтинга. ГК "Солар" осуществляет аутсорсинг с момента основания, а также у компании есть различные сервисы в рамках MSSP-модели, в том числе защита инфраструктуры и ресурсов заказчика (WAF, Sandbox, Anti-DDoS, UTM, SEG, VM), и сервисы мониторинга и выявления инцидентов информационной безопасности (SOC).
Технологии SOC-центра и эксплуатирующий их персонал обеспечивают обнаружение, предупреждение и реагирование на события ИБ, а также участвуют в ликвидации последствий кибератак и устранении "закладок", оставленных злоумышленниками. Автоматизация процессов наряду с интероперабельными решениями дает возможность совершить скачок от реактивной кибербезопасности к превентивной, что также способствует сокращению потерь бизнеса при наступлении киберрисков.
И наконец, наиболее современным подходом для формирования надежного защитного контура является использование экосистемных продуктов и сервисов, которые связаны общей логикой работы и нативной интеграцией. ГК "Солар" идет по пути доменов, помогающих полностью закрывать отдельные масштабные области информационной безопасности с использованием комплиментарных продуктов.
Как повысить шансы на согласование бюджета на кибербезопасность
1. Поработайте над повышением общей осведомленности о кибербезопасности в вашей компании, подчеркнув, что безопасность - это ответственность каждого.
2. Установите тесные отношения и развивайте ИБ-амбассадорство внутри вашей организации.
3. Убедите другие отделы, что разработка проектов без учета кибербезопасности может поставить под угрозу вашу организацию. Это означает, что бюджетные стратегии должны оставлять для нее место.
4. Проанализируйте общую экономику и расходы на технологии в вашей организации за предыдущий год. Оцените риски ИБ и покажите окупаемость вашего бюджета и инвестиций в безопасность.
5. Продемонстрируйте риск отказа от инвестирования, то есть объясните, что отсутствие адекватных инвестиций подвергает вашу организацию риску.
Несмотря на все усилия, инциденты с кибербезопасностью практически неизбежны. Если масштаб атаки привлекает внимание совета директоров или правления, это почти наверняка означает сбой в работе основных бизнес-процессов или утечку важных данных. Не только информационная безопасность, но и бизнес-подразделения должны быть готовы к реагированию на инциденты ИБ. Развитие готовности к отражению кибератак достигается практическими тестированиями и киберучениями.
"Ключевая задача киберустойчивости - динамично и адаптивно отвечать на инициативы и изменения бизнеса. Эксперты кибербезопасности должны понимать, как работает бизнес, отслеживать появление у компании новых видов и способов деятельности и применять свои знания и опыт по защите от кибератак во благо таких перемен", - заключил Роман Чаплыгин.