За последние два года для многих российских компаний кибератаки стали серьезным риском. В то же время, многие руководители до сих пор не осознают ценность, которую приносит правильно настроенная система информационной безопасности (ИБ). Если удалось преодолеть первый барьер, то сталкиваешься с другой сложностью — обоснованием расходов. Эта проблема актуальна как для компаний среднего бизнеса, так и для крупных корпораций, включая государственные структуры.
Сегодня уровень цифровизации всех секторов бизнеса очень высок. Это приносит множество положительных моментов: экономика получает стимул к развитию, появляются современные производства, увеличивается количество компаний, разрабатывающих программное обеспечение. Но есть и негативные последствия. Одним из них является уязвимость государственных и бизнес-структур перед кибератаками.
Недостаточное внимание к кибербезопасности привело к серьезному разрыву между цифровыми технологиями и уровнем защиты информационных систем. Это видно и на примере бюджетов на ИБ. Даже после более чем полутора лет интенсивных киберугроз отрасль остается без того объёма финансирования, который требуется. В мировой практике компании тратят на кибербезопасность 8-12% от общего ИТ-бюджета. В России эта цифра значительно ниже.
Финансирование обеспечения кибербезопасности представляет собой важный аспект современного ИТ-мониторинга. По предварительным
оценкам, в 2023 году бюджетов на кибербезопасность будет примерно 11,6% от общего бюджета на ИТ, что является заметным ростом по сравнению с 8,6% в 2020 году. Этот тренд к увеличению доли инвестиций в ИБ наблюдается уже четвертый год подряд.
Хотя рост бюджетов на кибербезопасность в период 2022-2023 годов составил 6%, это относительно скромные показатели по сравнению с двузначным ростом, зафиксированным в 2020 и 2021 годах. Наименьший прирост бюджетов зафиксирован в отраслях, уже достаточно развитых с точки зрения кибербезопасности, таких как технологии, финансы и здравоохранение.
Основная причина значительного разрыва в финансировании кибербезопасности между финансовой и другими отраслями заключается в том, что банки и другие финансовые учреждения в первую очередь привлекают внимание злоумышленников, поэтому они были вынуждены придать приоритет вопросам ИБ.
С 2022 года финансирование кибербезопасности стало еще более актуальным из-за серьезных изменений в онлайн-среде. Среди наиболее значимых изменений стоит отметить:
- Снижение стоимости проведения кибератак и увеличение их частоты.
- Использование сотрудниками незащищенных устройств при удаленной работе, что увеличивает уязвимость перед киберугрозами.
- Появление новых техник и методов киберпреступников, позволяющих быстрее и эффективнее совершать атаки и скрывать свои действия.
Также стоит отметить, что преступники стали более открыто популяризировать свои атаки и привлекать новичков, обучая и снабжая их необходимыми ресурсами. В результате появилось новое поколение киберпреступников, способных участвовать в более сложных атаках, чем традиционные DDoS или дефейс.
Расходы на убытки.
Помимо прямых затрат, существуют и косвенные расходы, которые значительно превышают прямые. Это такие как:
- Компенсации клиентам и удержание доли рынка.
- Юридические и PR-издержки.
- Репутационные потери и снижение доверия.
- Регуляторные штрафы и выплаты по искам.
К сожалению, на сегодняшний день нет единой методики оценки ущерба от инцидентов ИБ. Потери могут варьироваться от небольших до катастрофических, которые могут привести к прекращению деятельности компании. Наиболее серьезные инциденты включают в себя кражу денег, контроль сетевого оборудования, утечку данных и множество других.
Как показать высокую важность комплексной кибербезопасности руководству организации?
Для профессионалов в области информационной безопасности (ИБ) важно понимать, как функционирует бизнес, его ключевые задачи и особенности. Это необходимо для того, чтобы найти оптимальное сочетание между безопасностью и практичностью.
ИБ должна рассматриваться как партнер бизнеса как для ИТ-отдела, так и для всей компании. Она помогает объяснить важность безопасной работы бизнес-систем и правильной настройки ИТ-инфраструктуры. Руководитель по информационной безопасности должен принимать активное участие в инициативах по цифровизации, иначе существует риск провала этих инициатив из-за недооценки киберрисков.
Целью ИБ является достижение такого уровня защиты, при котором компания не только использует Центры мониторинга и информационной безопасности и специальные средства защиты информации, но и внедряет элементы безопасности в бизнес- и ИТ-процессы.
Чаще всего руководители возражают против выделения бюджета на ИБ, оправдываясь тем, что «мы никогда не подвергались атакам», «у нас есть другие приоритеты» и «посмотрим, нужна ли нам настоящая защита». Для опровержения этих возражений ИБ-специалисту необходимо обладать финансовым анализом текущих рисков и проверенными сценариями их реализации.
Например, компания с годовым доходом в 200 миллиардов рублей и чистой прибылью в 17 миллиардов рублей оперирует с риском ИБ, составляющим половину от чистой прибыли. Проведенные исследования подтверждают возможность осуществления основных рисковых сценариев, при этом оценивается, что одна целенаправленная атака может привести к операционным убыткам в размере около миллиарда рублей.
Служба ИБ обязана предпринять комплекс мер, чтобы обнаружить подозрительные события на ранних этапах, противодействовать злоумышленникам и минимизировать потери. При этом расходы на мероприятия ИБ не превысят 5% от общего объема риска, что составляет примерно 350 миллионов рублей в год. Это соотношение суммы рисков ИБ к затратам на безопасность является показателем эффективности.
Еще одним аргументом в пользу ценности ИБ может быть то, что надежная киберзащита оказывает положительное воздействие на клиентский опыт. Чем меньше клиенты сталкиваются с проблемами при получении цифровых услуг, тем выше уровень их лояльности к компании. Это дает дополнительное конкурентное преимущество бизнесу.
В современном мире организации стремятся ускорить цифровую трансформацию, чтобы стать более гибкими, эффективными и ориентированными на обслуживание клиентов. Однако безопасность информации также является неотъемлемой частью этого процесса, и сегодня ее роль заключается в том, чтобы быть фактором, способствующим развитию бизнеса.
Изучение и анализ потенциальных опасностей
Изучение и оценка рисков в области информационной безопасности играют ключевую роль в обосновании финансовых вложений в защиту данных и планировании бюджетов. Это позволяет оптимизировать расходы, направляя их на наиболее приоритетные задачи, и получать эффективную отдачу от инвестиций в область кибербезопасности.
Самыми передовыми методами оценки рисков являются те, которые объединяют сценарный анализ с количественным моделированием, а также с участием экспертов по информационной безопасности.
Один из признаков развитой кибербезопасности в компаниях — это переход от стратегии простого усиления защиты к стратегии формирования киберустойчивости. Невозможно полностью исключить все возможные угрозы заранее. Более разумным подходом является сосредоточение на том, чтобы компания могла успешно справиться с любым киберинцидентом и быстро восстановить основные бизнес-процессы, обеспечивая тем самым стабильность своей деятельности
Эффективное управление финансами в области кибербезопасности
Внедрение многочисленных технологических решений в области безопасности требует значительных финансовых затрат и наличия обширной команды специалистов. Однако такой подход может привести к избыточности и сложности системы, что затрудняет ее эффективное функционирование. Это часто становится преградой на пути к достижению целей организации, и принимающие решения лица склонны сомневаться в целесообразности усиления кибербезопасности.
Одной из самых значительных статей расходов в области безопасности остается затрата на персонал и его оплату труда, которая составляет до 38% от общего бюджета на безопасность. Несмотря на то, что рост численности персонала в сфере безопасности замедлился, объем средств, выделенных на его найм, продолжает увеличиваться. Это свидетельствует о том, что у специалистов в области кибербезопасности не хватает ресурсов для эффективной работы.
Технологии и персонал центра мониторинга и информационной безопасности играют важную роль в обнаружении, предотвращении и реагировании на события в области безопасности, а также в устранении последствий кибератак. Автоматизация процессов совместно с совместимыми решениями позволяет перейти от реактивного подхода к превентивному, что способствует сокращению рисков для бизнеса.
Современным подходом к созданию надежного защитного контура является использование экосистемных продуктов и услуг, которые взаимодействуют между собой и интегрируются в единую логику работы.
*материал подготовлен с использованием искусственного интеллекта (генеративного контента) на основе открытых источников
