С ростом киберрисков и количества хакерских атак, приводящих к серьезным последствиям, руководители ИБ-подразделений все чаще появляются в кабинетах первых лиц компании. Если они и не становятся пока равноправными членами команды топ-менеджеров, то точно больше не воспринимаются как «IT-охранники» или навязанная законодательством расходная часть бюджета. С ростом уровня цифровизации повысился и уровень ответственности CISO (Chief Information Security Officer, директор по ИБ): от него требуется организовать эффективную, реально работающую ИБ, которая обеспечит киберустойчивость бизнес-процессов компании.
Однако повышение степени ответственности не всегда означает получение большей свободы в принятии решений, особенно в части финансов: до сих пор в некоторых компаниях нет выделенного бюджета на ИБ, который является частью общего IT-бюджета — это повторяет эволюцию всей индустрии кибербезопасности, которая изначально была лишь одним из направлений IT. Обосновать необходимость затрат на определенное средство защиты информации (СЗИ), расширение команды или реализацию проекта по защите информации бывает сложно. Основные вопросы у владельцев компаний связаны с оценкой соотношения затрат и выгод, сопутствующих издержек (обновления и поддержка защитных решений), срока полезного использования средства защиты и с прогнозированием дальнейших трат.
Пока далеко не во всех компаниях есть выделенное подразделение риск-менеджмента и департамент ИБ, во главе которого стоит эксперт, способный грамотно обосновать затраты на защиту информации, — деньги выделяются либо по остаточному принципу, либо сразу на несколько разнородных ИБ-продуктов. Это малоэффективно и чаще всего происходит после серьезной кибератаки на компанию. В вопросе распределения бюджета на управление рисками и кибербезопасность нет простых решений и рекомендаций, которые подойдут всем. Руководителю, принимающему финансовые решения, остается либо прислушаться к советам доверенных лиц, либо самостоятельно сделать выводы о целесообразности тех или иных затрат на ИБ. Чтобы принять точное управленческое решение по выделению ресурсов на кибербезопасность, можно принять во внимание следующую информацию.
Пересмотреть структуру
В основе кибербезопасности лежит управление рисками ИБ, в том числе их минимизация за счет применения технических, организационных, физических мер защиты. Технические меры — это не только приобретение и внедрение очередного СЗИ; часто необходимые для минимизации конкретного киберриска функции уже встроены в операционную систему (ОС) или прикладное ПО, достаточно их настроить.
Там, где нецелесообразно внедрять технические средства защиты, можно рассмотреть перестройку процессов компании для снижения угрозы ИБ. Например, некоторые киберриски можно купировать, применив принцип наименьших полномочий с помощью настройки гранулированных прав доступа к информационным ресурсам — это обычно реализуется штатными средствами ОС и прикладного ПО.
Таким образом, структура расходов на ИБ необязательно будет включать в себя значительные затраты непосредственно на СЗИ: по данным отчета, подготовленного IANS и Artico Search в 2023 году на основе опроса 550 директоров по ИБ со всего мира, распределение бюджета на кибербезопасность включает в себя в том числе затраты на персонал (в среднем 38% от всего ИБ-бюджета), на облачные и локальные установки СЗИ (30%), аутсорсинг (11%), проектную деятельность (9%).
Панацея не существует
В отчете PwC почти 2000 бизнес-респондентов со всего мира обозначили приоритеты инвестиций в ИБ на 2024 год. В лидерах — модернизация инфраструктуры, оптимизация технологий и инвестиций и обучение сотрудников вопросам кибербезопасности. Кроме того, 79% респондентов ответили, что повысят затраты на ИБ в 2024 году, в прошлом году такие планы были у 64% опрошенных. При этом, несмотря на инвестиции в ИБ, только примерно половина IT/ИБ-специалистов удовлетворена техническими возможностями компании в области кибербезопасности.
Вывод: проблема не в недостатке финансирования и не в отсутствии средств защиты, а в неэффективности использования результатов предыдущих вложений в ИБ. В условиях объективной сложности защищаемых инфраструктур и проводимых кибератак компаниям не хватает не еще одного СЗИ, создатели которого обещают «серебряную пулю» от всех киберугроз. Проблемы зачастую кроются в том, что бизнес не оптимизирует парк средств защиты, не может максимально задействовать весь штатный защитный функционал уже использующихся ОС и ПО (так называемый харденинг), не пополняет команду ИБ-подразделения новыми экспертами и не обучает пользователей правилам кибербезопасности.
Трудности с оценкой
Указанный отчет IANS и Artico Search содержит данные о примерном соотношении ИБ- и IT-бюджетов: средний бюджет на кибербезопасность в мире демонстрирует уверенный рост и в 2023 году составляет почти 12% от IT-бюджета. Но в отчете подчеркивается, что указанное соотношение — всего лишь метрика для отчетности и бенчмаркинга, которая вовсе не означает, что бюджет на ИБ выделяется из IT. Сравнение структуры затрат на IT и ИБ в принципе не совсем корректно из-за различия целей использования ресурсов: цель IT — развитие и поддержание работы информационной инфраструктуры, а цель ИБ — минимизация киберрисков, защита информации и интересов бизнеса. Поэтому затраты на IT можно сравнивать с потенциальной выгодой от автоматизации того или иного процесса, а затраты на ИБ корректно сравнивать со стоимостью защищаемых активов.
Без сомнения, оценка стоимости информации — сложнейшая задача, и практически невозможно с точностью до рубля заранее оценить потери компании от нарушения свойств безопасности произвольного файла, например. Не менее сложно оценить качественные и косвенные потери при непрямом ущербе от реализации кибератаки — такие как снижение эффективности деятельности компании, отток клиентов, недополученная прибыль, потеря деловой репутации. Однако в случае прямого ущерба финансовые последствия подсчитать проще: выплата штрафа (например, за утечку персональных данных), простой процессов (в результате недоступности инфраструктуры из-за DDoS-атаки или уничтожения данных вирусом-вайпером), хищение денежных средств со счетов компании (в результате атаки на систему дистанционного банковского обслуживания), а в некоторых случаях даже выплата выкупа злоумышленникам (в результате атаки вируса-вымогателя).
Предупредить риски
Несмотря на предпринимаемые меры, мировые данные по ущербу от киберинцидентов из отчета PwC выглядят неутешительно: так, средний ущерб в секторе здравоохранения составил $5,3 млн, в финансовом секторе — $5 млн, в ретейле — $3,2 млн. Получается, что все затраты напрасны и компанию рано или поздно все равно взломают?
С точки зрения риск-менеджмента после выполнения всех защитных мероприятий все равно остается остаточный киберриск реализации угрозы ИБ: даже хорошо обученный сотрудник может кликнуть по фишинговой ссылке, тонко настроенное СЗИ может не распознать угрозу, а скорость обнаружения хакерами критичных уязвимостей в ПО такова, что производители софта просто не успевают своевременно устранять их и оповещать клиентов. Потери от реализации остаточных рисков разумно компенсировать с помощью киберстрахования. Реализовав все необходимые и достаточные меры защиты, компания передает страховщику оставшийся риск, получая при наступлении страхового случая необходимое возмещение для расследования инцидента, восстановления инфраструктуры, выплаты компенсации пострадавшим.
Регулятор как угроза
Затраты на обеспечение кибербезопасности компании зависят от размеров компании и ее риск-аппетита, зависимости бизнеса от устойчивости информационной инфраструктуры, регуляторных требований и сектора экономики. Например, по данным отчета Positive Technologies по актуальным киберугрозам в третьем квартале 2023 года, среди самых частых жертв кибератак — госсектор, медицинские учреждения, финансовые организации, промышленность, наука и образование. Требования регуляторов атакующие тоже учитывают при выборе жертвы: криптовымогатели предпочитают компании, которые обязаны выплатить существенный штраф при наступлении киберинцидента, затрагивающего охраняемые законом сведения, например персональные данные. Операторы вирусов-шифровальщиков на Западе уже угрожают своим жертвам жалобами в государственные органы на допущенную утечку персональных данных или за не отправленное регулятору вовремя уведомление о киберинциденте.
Передача бремени
В условиях ограниченных бюджетов целесообразно рассмотреть возможность замены капитальных затрат операционными расходами — такую возможность предлагает модель Security as a Service (кибербезопасность как услуга). Провайдер может настроить и поддерживать парк СЗИ, внедрить новые системы кибербезопасности, подключить ИБ-мониторинг для предотвращения кибератак и реагирования на них.
Кроме того, есть и варианты комплексного аутсорсинга всей ИБ-функции, включая управление киберрисками, выстраивание процессов ИБ в компании, соблюдение требований законодательства и разработку внутренних документов. Некоторые провайдеры предлагают даже услуги стратегического уровня: vCISO (virtual CISO, «виртуальный директор по ИБ») поможет обеспечить ситуационную осведомленность первых лиц компании и выстроить взаимодействие с ними по вопросам обеспечения киберустойчивости бизнеса.
В заключение следует отметить, что, согласно указу президента №250 от 1.05.2022, в госорганах, госкомпаниях и субъектах КИИ должно функционировать выделенное структурное подразделение по ИБ, а на заместителя руководителя организации возлагаются полномочия по обеспечению кибербезопасности. В коммерческих компаниях также заметен тренд на подчинение CISO напрямую первому лицу или совету директоров, вовлечение ИБ-функции в реализацию бизнес-проектов и в обсуждение планирующихся изменений в компании (развитие направлений бизнеса, предоставление новых услуг, слияния и поглощения, выход на новые рынки). С таким переходом кибербезопасности на качественно новый уровень становится логичным формирование компаниями выделенных бюджетов на ИБ, независимых от ресурсного обеспечения других подразделений.
Мнение редакции может не совпадать с точкой зрения автора