Современный бизнес критически зависит от цифровой инфраструктуры. Даже несколько часов простоя могут привести к срыву поставок, остановке сервисов, потере клиентов и штрафам за утечку данных.
В современных условиях уже не только ставится вопрос, произойдет атака или нет, но и когда она произойдет. Но перевести эти риски в денежный эквивалент удается далеко не всегда. Поэтому CISO и ИТ-директорам приходится защищать бюджеты, опираясь на отраслевые рекомендации, требования регуляторов или общий уровень угроз.
Чтобы донести важность угроз безопасности, важно знать, что именно завязано на цифровые сервисы, от чего зависит успех бизнеса и возможно ли перестроиться при приостановке или недоступности необходимых бизнес-систем. Также, необходимо учитывать, есть ли у компании запасные поставщики или возможность перевести процессы в ручной формат. Именно поэтому на рынке постепенно растет интерес к инструментам количественной оценки киберрисков. Они показывают, сколько компания может потерять при конкретной атаке и насколько потери снижаются после защитных мероприятий. Такой инструмент недавно представили «Лаборатория Касперского» и «Технологии Доверия». Они приложили к продуктам «Лаборатории Касперского» запатентованную методологию количественной оценки рисков ИБ «Кибер Радар 360». Данная программа единственная в России, которая переводит киберриски в точные денежные показатели (ALE — Annualized Loss Expectancy). В отличие от традиционных методов (опросов, экспертных оценок и матриц рисков), эта модель позволяет использовать вероятностный подход к расчётам, формирует прозрачную связь между инвестициями и снижением риска для защиты бюджета на уровне инвестиционного комитета.
Исследователи смоделировали типовой профиль крупной российской компании: около 10 тысяч сотрудников, 13 тысяч рабочих станций, 1000 серверов, распределенная инфраструктура и выручка порядка 100 млрд рублей в год. Для такой организации совокупный профиль киберриска был оценен почти в 7 млрд рублей.
Важно, что речь идет о вполне типичных последствиях атак: утечках персональных данных и коммерческой информации, шифровании инфраструктуры, простоях сервисов или DDoS-инцидентах. В современных условиях именно такие события чаще всего становятся причиной прямых финансовых потерь.
Главная проблема для ИБ-подразделений заключается в том, что руководство компаний обычно видит стоимость защитных решений, а не цену отсутствия защиты. Поэтому сегодня акцент постепенно смещается от «нужен ли продукт» к «какой финансовый эффект даст снижение риска».
Количественные модели позволяют говорить с топ-менеджментом на языке бизнеса. Например, не только утверждать, что внедрение SIEM-системы расширит мониторинг, но и показывать, что она снижает ожидаемый ущерб на сотни миллионов рублей.
По данным исследования, внедрение различных классов ИБ-решений в типовой крупной компании дает заметный экономический эффект уже в пределах трех лет. Так, системы защиты конечных устройств обеспечивают снижение потенциального ущерба почти на 397 млн рублей при расчетном ROI на уровне 656%. Для SIEM-систем снижение риска оценивается примерно в 678 млн рублей при ROI около 340%. Интересно, что наибольший коэффициент возврата инвестиций показывают решения класса Threat Intelligence — 848%. При этом они не сильнее всех снижают ущерб. Однако их внедрение обходится дешевле всех. Такие решения помогают раньше выявлять угрозы и предотвращать атаки.
Экономический эффект информационной безопасности формируется не только за счет предотвращения катастрофических инцидентов. У них есть и операционные преимущества — снижение нагрузки на аналитиков, сокращение числа ложных срабатываний, уменьшение времени реагирования и простоев бизнеса.
По оценкам «Лаборатории Касперского» и «Технологий Доверия», за трехлетний период экономия операционных расходов после внедрения ИБ-решений может составлять от 21 до 146 млн рублей. Для компаний с дефицитом кадров в области кибербезопасности это становится особенно важным фактором: автоматизация процессов позволяет эффективнее использовать ограниченные ресурсы команд SOC и ИБ-подразделений.
При этом эксперты отмечают, что универсального набора решений не существует. Наибольшую ценность количественная оценка рисков дает именно в момент приоритизации инвестиций. Компания получает возможность понять, какие угрозы наиболее критичны для нее и какие вложения дают максимальный эффект. Например, для организаций с высокой зависимостью от непрерывности сервисов ключевым фактором могут стать риски простоя, для финансового сектора — утечки данных и регуляторные санкции, для промышленности — остановка технологических процессов и т.д. Соответственно, экономическая эффективность разных классов решений будет различаться.
Стоит отметить, что, если раньше информационная безопасность воспринималась как техническая функция, то теперь она рассматривается как часть системы управления бизнес-рисками. На этом фоне количественные методы оценки эффективности ИБ, вероятно, будут становиться все более востребованными. Для бизнеса это возможность принимать решения не интуитивно, а на основе сценариев и прогнозируемых последствий, а для ИБ-подразделений — шанс наконец перейти от абстрактных разговоров о «повышении уровня защищенности» к понятным для руководства аргументам.
Источник:
Оставьте первый комментарий