У каждого в компании свой фетиш: кто-то мечтает об очередной «железке» из правого верхнего угла квадранта Гартнера, а кто-то — о снижении издержек и росте маржи. Одни играют в «поставим DLP — и пусть будет», другие считают: «Если это не приносит доход, то зачем вообще тратить?» В этой статье разберемся, почему CEO и CFO смотрят на кибербез не как на «щит и меч», а как на статью расходов с непонятной рентабельностью. И как безопасникам перестать быть невидимыми самураями, и начать приносить бизнесу реальную, понятную и осязаемую пользу. С цифрами, доводами и без капчи.

Привет, Хабр! Меня зовут Алексей Лукацкий и последние три года я работаю в Positive Technologies бизнес-консультантом по безопасности и Chief Evangelist Officer. До этого больше 18 лет проработал в CISCO. За свою карьеру совмещал множество ролей, я — программист, админ, аудитор, маркетолог, продавец, консультант, преподаватель, rCISO, писатель и ИТ-евангелист. Автор проекта «Бизнес без опасности, написал пять книг и больше 30 курсов по ИБ. А в кибербезе уже, страшно сказать, больше 30 лет.

Отношение к ИБ

В разных компаниях, да и даже внутри одной, к безопасникам относятся по-разному, часто специфически. Мне это напоминает фрагмент мультфильма «Ну погоди!», где Волк крутит педали, достигает сумасшедшей скорости больше 100 км/ч. Но его никто не видит, потому что он даже не выехал на стадион.

Это очень похоже на ситуацию с безопасностью. ИБ’шники что-то делают, вроде даже хорошо, но никто не понимает, что именно. А поскольку специалисты по кибербезу зачастую даже больше интроверты, чем программисты, то многие считают, что у них, как у самураев, есть путь, но нет цели.

Это приводит к серьёзным расхождениям в восприятии безопасности даже на уровне топ-менеджмента. Хотя безопасность мало чем отличается от разработки, извлечения прибыли и любой другой бизнес-функции в любой компании, хоть коммерческой, хоть государственной. Но такое отношение приводит к тому, что в большинстве случаев кибербез никогда не выходит на уровень борда.

Вот пример типичного отношения к инфобезу.

Многие люди, отвечающие за кибербезопасность, пишут на визитках, что они CISO (Chief Information Security Officer). Они считают, что приносят пользу компании, но подчиняются либо CIO, то есть главному айтишнику, либо CTO, либо CDTO, либо CFO.

Это означает, что CISO не сидят за одним столом с «большими мальчиками», распределяющими бюджеты и решающими бизнес-вопросы. Они находятся у них в подчинении. И так происходит потому, что кибербезопасники, зачастую, не могут объяснить, зачем они нужны бизнесу. А бизнес не может понять, зачем ему нужны ИБэшники, кроме «так принято», так записано кровью в каком-то 666ДСП приказе ФСБ, или так у всех, значит, нам тоже надо.

За что не любят безопасников

В реальности, бизнес очень редко воспринимает пользу от кибербезопасности, потому что большинство безопасников своей деятельностью отвечает на вопрос, ЧТО надо сделать.

Посмотрите на иллюстрацию выше, Здесь мы должны поставить Next Generation Firewall, настроить антивирус, внедрить DevSecOps, и так далее. Все эти действия отвечают на вопрос: что?

Как только человек поднимается выше по иерархической лестнице в сторону директора по безопасности, начинает отвечать на вопрос КАК? То есть, ему уже не просто нужно что-то сделать, а понять, как это сделать наилучшим образом. Например, можно выстроить защиту периметра, увести все затраты в CAPEX, а можно уйти в аутсорсинг и отдать это на сторону оператора связи, интернет-провайдера или облачного провайдера в рамках OpEX модели.

Это важный вопрос, который вряд ли находится в зоне компетенций обычного ибэкшиника. ему нужны игрушки: поиграться с новомодной железкой, особенно если она в правом верхнем углу квадрата Гартнера. А бизнесу это не нужно. Бизнесу нужно, чтобы эффективно решались задачи и безопасным образом развивался бизнес.

Но и это не всё. Нормальный бизнесмен, любой генеральный, финансовый, операционный директор, если он действительно занимается развитием бизнеса, отвечает не на вопрос КАК (этим занимаются люди уровнем ниже). Он отвечает на вопрос ЗАЧЕМ.

Думаю, многие уже слышали про оборотные штрафы за повторные утечки персональных данных и задумались, а надо ли на этот счёт напрягаться. И любой руководитель на эту тему не напрягается, потому что у него есть дилемма — либо заплатить на текущий момент 60 тысяч рублей штрафа за утечку, либо внедрить новую фичу на сайте, которая позволит, например, зарабатывать миллион рублей в месяц. Что выберет любой руководитель? Безопасник, конечно, скажет, что нужно бороться с утечками, потому что это важно, мы за благие намерения, защиту граждан и так далее. Бизнес гораздо более прагматичен. Он взвешивает: на одной чаше весов 60 тысяч рублей. Если не повезет и произойдёт утечка, Роскомнадзор это докажет в суде, а суд встанет на сторону Роскомнадзора. То есть, если куча «если» сойдутся, то потеря составит 60 тысяч рублей штрафа. На другой чаше весов — миллион, который он заработает прямо здесь и сейчас.

Любой бизнесмен скажет: «Я хочу заработать миллион», и это нормальное желание, потому что бизнесмен отвечает за зарабатывание денег. А безопасник не думает о зарабатывании денег. И здесь таится огромный разрыв между ожиданиями со стороны бизнеса, который смотрит на любого человека внутри компании, как на элемент бизнес-функции, и между безопасниками, которые считают себя, впрочем как и все айтишники, белой костью, самыми важными людьми в компании, от которых всё зависит и без которых всё встанет. Так думает уборщица, убирающая туалеты, так думает инженер, который разрабатывает, возможно, даже никому не нужную фичу, и так думает безопасник, который внедряет очередные сертифицированные средства защиты, которые никак не продвигают бизнес к достижению его основной задачи — заработать деньги.

Принцип «как бы чего не вышло»

В этом проявляется специфика ибэшников. В отличие от разработчиков, которые всё же двигают бизнес вперёд, ИБ’шники идут по пути не классического айтишного «работает — не трогай», а по принципу «закрутим гайки, чтобы чего-нибудь плохого не произошло». У айтишников немного другой взгляд — давайте открутим гайки, чтобы всем было удобнее пользоваться. Эта дилемма приводит к тому, что все ненавидят безопасность.

Заходите вы на сайт под DDoS-атакой, и вместо того, чтобы вводить капчу, которую, к слову, легко обходит сегодня любой нормальный ИИ, ищете пожарный гидрант и пешеходный переход. Так вот, ненависть к ИБ начинается с того, что эту капчу вешает на вход безопасность, и у сайта падает конверсия. Одна секунда простоя или замедления сайта — это уменьшение к CTR на 7%. Соответственно, чем больше у меня защитных механизмов (WAF, капчи, NGFW и так далее), тем дольше грузится сайт, тем больше времени уходит на то, чтобы пользователь расстался со своими деньгами, и тем выше вероятность, что он уйдёт к другим компаниям, которые меньше думают о безопасности и больше об удобстве.

Таких примеров множество. Речь не только про капчу, но и секретные вопросы, которые давно знают все и большинство никогда не меняет. Девичья фамилия матери — прекрасный же вопрос. Наверняка, никто её не знает, даже наши родители, которые указывают свои девичьи фамилии на страницах Одноклассников или других соцсетей. Повторный ввод пароля после тайм-аута — то же самое. Мы же не подумали о том, что в безопасности важна не только безопасность, но и грамотный UI. Вместо того, чтобы дать подсказку под полем ввода пароля, какой он должен быть, указать переключение раскладки, мы заставляем пользователя мучиться и по 2−3 раза вводить пароль. Хорошо, если он вспомнил, как это сделать, а плохо, если у него после трёх неудачных попыток из-за требований безопасности заблокировалась учётная запись. Тогда ему надо звонить в службу поддержки, у него снижается лояльность, появляется раздражение, и он… снова уходит к конкурентам.

И всё это из-за безопасности, которая не подумала о том, что нужно бизнесу. Всё это недовольство выплёскивается наверх, доходит до генерального, финансового, операционного директоров, и они начинают оценивать безопасность не по той пользе, которую она всё-таки приносит, а по тому, как безопасность воспринимается в глазах других людей.

Бесконечность — не предел

Возникает ещё одна проблема...

Если задаться вопросом, чего больше в мире: листьев на дереве, иголок у ёлки, звезд в нашей галактике Млечный путь или кибератак, многие думают, что, скорее всего звёзд точно много, их миллиарды, а то и триллионы. На самом деле нет, больше всего кибератак, потому что их как раз — бесконечное количество. Это математически доказанный факт. А эффективно управлять бесконечным количеством чего бы то ни было нельзя, невозможно. Сегодня я обнаружил 100 атак, завтра миллион, послезавтра триллион. Но у меня от этого атак меньше не стало, их же всё равно бесконечное количество. В бесконечном множестве заниматься управлением конечным множеством нельзя, поэтому часто эту проблему откладывают. Безопасники её отложить не могут, они за это получают зарплату, а бизнес на неё уже перестаёт смотреть, потому что какая разница, сколько атак мы сегодня зафиксировали в отчетах и представили руководству, всё равно их меньше не стало.

Такое разное управление рисками

Возникает новая проблема. Безопасник начинает думать об угрозах. В этом ему помогает регуляторика. В России ежегодно принимается более 200 нормативных актов в области кибербезопасности, то есть каждый рабочий день, если их распределить равномерно. Все эти нормативные акты безопасник приносит на стол руководителя и говорит, что надо срочно потратить миллион (сто миллионов, миллиард) на защиту от очередного нормативного акта. Любой руководитель спрашивает, что будет, если мы этого не сделаем? Безопасник отвечает, что неважно, что будет, это же нормативка, мы обязаны её выполнять. А любой бизнесмен снова смотрит на это по-другому, и здесь возникает разница восприятия.

С точки зрения ИБ, риск — это всего лишь теоретическая вероятность потерь. Многих безопасников учили управлению рисками ИБ. Айтишников — IT-рисками, бизнесменов — бизнес-рисками. Но для безопасника риск — это вероятность потери, а для бизнеса риск — не только вероятность потери, но и возможность заработать. И бизнес как раз чётко взвешивает на весах потери и приобретения, в то время как безопасник смотрит только на потери.

Здесь возникает большой разрыв, потому что бизнес и генеральный, финансовый, коммерческий директоры готовы вложиться в то, что можно потерять, если они видят, что на этом можно заработать гораздо больше. Потерять 60 тысяч рублей на штрафе за утечку персональных данных и заработать миллион — очевидная выгода. А безопасник миллион не видит, он про него вообще не знает. Он видит только 60 тысяч, для него это проблема.

Здесь возникает ещё одна дилемма. Представьте себе, что вы идёте на встречу с руководителем. Вы прекрасно одеты, купили себе костюм у «Большевички» или «Сударя». Приходите на встречу и говорите, что нам надо потратить сотню миллионов рублей на безопасность и смотрите на руководителя, а он не понимает ваших проблем. Почему? Потому что вы, может быть, одеты также хорошо, неплохо выглядите, но вы меряете совершенно другими мерками чем те, которыми измеряет топ-менеджер.

Была история много лет назад, когда я работал в CISCO. Мы пришли к одному из линейных (даже не высших) руководителей очень крупной компании и рассказывали о проекте на 20 миллионов долларов по кибербезу. Двадцать миллионов долларов — это хорошие деньги даже тогда, не говоря уже про сейчас. Человек посчитал на калькуляторе буквально несколько секунд, сказал: «Два километра трубы, неинтересно», развернулся и при нас стал звонить, заказывать персональный джет, чтобы послушать оперу в Вене. Это разница отношений. А мы вроде тоже непростые были люди, вроде зарабатывали неплохо в американской компании, а разница — огромная.

Представьте себе, что безопасник приходит и говорит, что у нас ущерб от атаки будет в миллион. Для руководителя хорошей компании миллион — это ни о чём. Человек, у которого, условно, на запястье часы Apple Watch за 20 тысяч рублей, не может эффективно и нормально разговаривать с человеком, у которого на запястье часы тоже за 20 тысяч, но только не рублей, а евро или долларов, какой-нибудь Patek Philippe. Это совершенно разная оценка восприятия рисков, потерь, возможностей, которые могут произойти.

Ещё один разрыв между отношением безопасности и любого руководителя компании, который отвечает за бизнес — второй прекрасно понимает, что бизнес может терять, он к этому привык. Вопрос в том, что он заработает на этой потере.

Очень банальный пример. В 2023 году компания United Health Group столкнулась с шифровальщиком, а в 2024 году зафиналила все свои убытки. Официально в финансовом отчете зафиксировали 1,6 миллиардов долларов. Это крупнейшая зафиксированная сумма потерь в истории человечества от инцидента информационной безопасности — 1,6 миллиардов долларов от обычного шифровальщика.

Любой безопасник скажет: «О, это же потери, их надо считать, их надо превращать в план мероприятий по устранению последствий, план реагирования, новые мероприятия по защите и так далее». В годовом финансовом отчете United Health Group была замечательная строка, я её специально здесь стрелками подсветил — они посчитали не только потери, но и выгоду от инцидента, потому что система простаивает, тысячи врачей по всей Америке не могли получать доступ. Они перестали зарабатывать деньги, у них уменьшилась налогооблагаемая база, они сэкономили порядка 400 миллионов долларов на налогах из инцидента. Да, они потеряли 1,6 миллиардов, но они ещё и сэкономили 400 миллионов, и на круг получилось 1,2.

То есть бизнесмен смотрит со всех сторон на любую проблему, а безопасник только на потери. 

А чего боишься ты?

Когда мы начинаем заниматься реальной оценкой риска с точки зрения бизнеса, то должны встать на сторону бизнеса и попробовать понять, чего боится бизнес. Мы все — люди, и боимся разного.

У каждого из нас своя толерантность к рискам, риск-аппетит. Это по-разному называется и трактуется, но суть не меняется. Кто-то занимается паркуром, а кто-то боится встать на скейт или сесть на велосипед, до сих пор не умея кататься. Для кого-то потерять тысячу рублей — это проблема, а кто-то готов за вечер спустить 50 тысяч рублей в баре — разные возможности, разные потери, разное отношение к рискам.

Отсюда начинается нормальный путь любого бизнес-ориентированного безопасника, если он хочет выйти на хорошие взаимоотношения со своим генеральным, коммерческим, финансовым директором.

Важно понимать, что последствия — не одинаковы. В одной и той же компании разные инциденты приводят к разным последствиям. Один и тот же инцидент в разных компаниях приведёт к разным последствиям. Для кого-то что-то норма, для кого-то то же самое является недопустимым событием, которое влечёт за собой катастрофические последствия.

Для того чтобы определить, что для нас недопустимо с точки зрения бизнеса, надо вспомнить, какая основная цель коммерческой компании — заработать денег, увеличить прибыль за счёт роста доходов и снижения расходов.

Соответственно, безопасник должен смотреть на свою деятельность не как на выполнение регулятивных требований, хотя это тоже важно. Он должен научиться видеть, как его деятельность приводит к снижению расходов в первую очередь и увеличению доходов во вторую. Если мы можем показать эту разницу и эта разница существенна, то безопасность начинает бизнес интересовать. Если же эти цифры — в пределах погрешности, то всё равно не будет никому интересны и финансироваться направление будет по остаточному принципу, хотя остаточный принцип тоже у всех бывает разный.

Я был на одном мероприятии в большой российской нефтяной компании, в которой бюджет безопасности измеряется сотнями миллионов долларов. Безопасники жаловались финансовому директору что они очень мало получают, что финансируют их по остаточному принципу и так далее. На что финансовый директор сказал: «Ребята, вы ошибаетесь, вас финансируют не по остаточному принципу, а по тому, что осталось от остаточного принципа». И всё равно это были сотни миллионов долларов. 

Что волнует топ-менеджмент

Занимаясь кибербезом, мы должны смотреть не только на генерального директора, хотя он и самый главный в компании, но и на executive спонсоров и стейкхолдеров, которые находятся в борде, совете директоров, составляют управляющую команду внутри любой организации, хоть государственной, хоть частной. И у каждого из них, будь то IT директор, CTO, CDTO, CMO, главный HR или юрист, есть свои интересы, которые можно перенести в кибербез. Здесь начинается движение ИБ’эшников в сторону бизнеса. Главное, конечно, сильно не навредить, потому что движение может быть разное. Можно двигаться навстречу, но на такой скорости, что произойдёт столкновение со всеми вытекающими отсюда для обеих сторон последствиями. А можно двигаться в одном направлении. Для этого безопасник должен начать думать о том, что он делает с точки зрения бизнеса.

Возьмём в качестве примера банальный сайт, который зарабатывает деньги. Это может быть интернет-банк, маркетплейс, трейдинговая площадка и так далее, множество разных вариантов.

Мы все понимаем, что есть web-атаки и DDoS-атаки. Сегодня наши регуляторы-законодатели предложили 8 лет за DDoS-атаку — прекрасная норма! Любой безопасник скажет: «Ну, наконец-то на нас обратили внимание!». Но бизнесмену всё равно, что какого-то хакера посадят на 8 лет. Поэтому нижняя часть («Я дерусь, потому что я дерусь») никого не интересует, хотя безопасники часто идут именно по этому пути. Они занимаются безопасностью, потому что их этому учили, потому что считают, что это правильно.

Затем они начинают думать, что этого никто не воспринимает, всем плевать, 8 или 15 лет дадут хакеру, или вообще расстреляют. А надо всего лишь увидеть, что интересует бизнес. «Сайт важен для бизнеса» — уже неплохой вывод. Мы ещё не знаем, почему, но мы, как минимум, движемся в правильном направлении.

Дальше безопасники идут по очень банальному пути. Они думают: «Сайт зарабатывает деньги. Я знаю длительность DDoS-атаки из логов своих анти-DDoS решений  или WAF. Знаю доходы, которые заработал сайт или зарабатывал в прошлом году, знаю план продаж, что-то слышал на внутренних совещаниях. Я делю время простоя сайта на заработок сайта и получаю потери от DDoS-атаки на сайт.

Нормальная математика, но она не работает, потому что любой человек, который строит сайты для бизнеса, понимает, что у пользователя сайта есть конкретное поведение. В зависимости от бизнес-модели, того, что мы продаём и кому, у нас не будет практически никогда равномерного уровня продаж. Даже на маркетплейсах есть периоды перед новогодними праздниками, 14 и 23 февраля, 8 марта, когда идёт всплеск продаж, а за ними может быть спад. То есть важно учитывать сезонность, поведение более сотни различных показателей, начиная от среднего чека на покупателя, возвратов в случае простоя, конкурентов на рынке. Если я единственный продаю легальные айфоны на российском рынке, то у людей нет альтернативы. Если сайт простаивает, то они придут ко мне через день, два или неделю, потому что я монополист. И этот факт влияет на то, как мы будем (и будем ли вообще) защищаться от DDoS-атак. Скорее всего, будем, но исходя из другой мотивации. Поэтому конверсия, график спроса-предложения — те данные, которых у безопасников обычно в явном виде нет. Получать их надо у коммерческого директора или айтишников, которые эти данные накапливают в data lake для анализа. Поднявшись наверх, можем реально подсчитать ущерб от того ли иного инцидента.

Некоторое время назад я запускал собственный сайт. Я платил деньги за хостинг, защиту, дизайн сайта и так далее, и столкнулся с этим отношением. До этого я был, наверное, классическим безопасником, и всем рассказывал, как важно защищать сайты, выполнять требования закона о персональных данных при обработке форм обратной связи на сайте и так далее. Когда начинаешь тратить собственные деньги, многие вещи воспринимаются иначе, поэтому здесь я сэкономлю, здесь – делать не буду, здесь, а если что-то произойдет, то и ладно.

Личный сайт, а у многих, наверное, есть личные сайты — это хороший маркер, чтобы понять, а мы вообще готовы общаться с бизнесом на равных или нет. Скорее всего, если вы запустите собственный сайт, вы пересмотрите многие позиции в отношении кибербезопасности, да и не только. Начав считать свой заработок и затраты — а личный сайт — это в первую очередь затраты, вы совершенно иначе посмотрите на рекомендации, которые даёте бизнесу. Начнёте взвешивать, на что тратиться, а на что нет. И в этот момент начинают работать те же самые доводы, что и у любого гендиректора Газпрома, Сбербанка или другой крупной компании. Всё то же самое, но только с поправкой на масштаб.

Сразу возникает вопрос — а как посчитать эти самые потери? Помогает декомпозиция, потому что говорить в целом о потерях, конечно, можно долго. Лучше разобраться, какие виды потерь вообще имеет смысл обсуждать с бизнесом.

Основные категории потерь:

• Продуктивность — то, что может интересовать operations директора. 

• Реагирование — любое реагирование требует привлечения людей, ресурсов, инструментов, сервисов, умноженное на время, зарплату либо стоимость сервиса. Это может обойтись в кругленькую сумму. 

• Замена оборудования либо повторный ввод информации. Например, зашифрованы ли резервные копии в БД, восстанавливается ли оттуда что-то или это нужно делать вручную с бумажных носителей. А это время и зарплата людей, которые будут это делать.

• Штрафы. В России штрафы пока на уровне погрешности, за исключением заработавшей 30 мая этого года новой статьи КоАП РФ (точнее, новых правонарушений), которая ввела оборотные штрафы за повторную утечку персональных данных. Я про неё расскажу чуть дальше.

• Конкуренты. Это более сложная история для расчёта, потому что здесь требуются опросы покинувших нас клиентов. Нужна социология.

• Репутация.

• Другое

Всё это можно посчитать без проблем. Главное — понимать, как провести декомпозицию и на чём компания зарабатывает деньги.

Четыре простых вопроса

Есть четыре простых вопроса, которые позволяют задуматься о том, как компания получает прибыль. Ответив на них, самостоятельно или с привлечением бизнес-подразделений, можно наконец начать копать в верном направлении.

Очевидно, что сами по себе четыре вопроса достаточно абстрактные, вы их будете приземлять на свою бизнес-модель. А любое предприятие, неважно, государственное оно или коммерческое, живёт в рамках бизнес-модели, состоящей из девяти элементов. Исключений не бывает: даже нелегальный бизнес (хакерский, кибер-криминальный, наркобизнес и так далее) живёт в рамках такой бизнес-модели.

Примечательно, что цифровизацию и кибербез можно применить к каждому блоку бизнес-модели любого бизнеса:

1. Ключевые партнеры, кто помогают нам зарабатывать.

2. Ключевые виды деятельности: что именно мы делаем.

3. Ключевые ресурсы: что нам для этого надо.

4. Ценностные предложения: почему обращаются именно к нам.

5. Каналы сбыта продуктов либо услуг.

6. Взаимоотношения с клиентами: как мы взаимодействуем с клиентами (через сайт, онлайн, оффлайн, автообслуживание, киоски, самообслуживание и так далее).

7. Потребительские сегменты: масс-маркет, private banking и так далее.

8. Потоки поступления доходов.

9. Структура издержек.

Мы должны просчитать, как на всё это можно повлиять с точки зрения того или иного инцидента, как нам могут нанести ущерб. Если ущерб незначителен, после всех наших расчетов, к бизнесу даже идти не имеет смысла, они не будут на это смотреть. Поэтому с точки зрения бизнеса мы смотрим на то, что для него недопустимо, что приводит к катастрофическим последствиям. А таких примеров становится всё больше с каждым днём.

На картинке выше — зарубежные примеры, потому что в России не любят публиковать данные об инцидентах. Они просачиваются в СМИ очень редко. И мы не понимаем масштаб ущерба, за исключением, наверное, одной логистической компании, которая на несколько дней вышла из строя в результате атаки с хакеров из сопредельной страны. Несколько дней простоя оценивали в около 1-2 миллиардов рублей убытка. Это больше, чем бюджет службы информационной безопасности этой компании. Также сеть магазинов в ритейле пострадала от рук хакеров из сопредельной страны. Убыток за три дня простоя составил порядка 700 миллионов рублей из-за обычной кибератаки, уничтожения инфраструктуры и так далее.

То есть считать инциденты можно опосредованно по внешним данным. Но, к сожалению, в России пока не принято публиковать такого рода информацию. В ряде случаев это вообще запрещено законодательством — например, в случае инцидентов на субъектах критической информационной инфраструктуры. На западе таких примеров всё больше. Они происходят и у нас, их тоже становится больше, но они не поддаются огласке.

Банкротство

Банкротство от инцидентов происходит, в том числе, и в России. Поскольку я кручусь в этой сфере, знаю немалое количество инцидентов, которые привели к банкротству компаний.

Инциденты могут повлечь за собой катастрофические последствия, но у каждого они свои.

Поэтому вы не можете взять какую-то табличку или чек-лист и сказать — это для меня актуально, а это нет. Это может определить только бизнес. В рамках стратсессии за 3−4 часа определяются 5−7 событий, имеющих катастрофические последствия, если они произойдут в киберпространстве или из него, например, атака на цифровую подстанцию, атака на конвейер и так далее.

Наша компания занимается разработкой решений в сфере информационной безопасности, и у нас всего четыре недопустимых события. При том что атак бесконечное количество и нас постоянно пытаются взломать. Вот они:

1. Финансовые потери на Х миллиардов рублей, исходя из нашего годового оборота.

2. Внедрение вредоносного кода в наши продукты, потому что для компании в области безопасности, если в её продукты внедрили malware, вредоносный код, это удар по репутации и, по сути, своей прекращение серьёзного бизнеса.

3. Проникновение в инфраструктуру заказчиков через наш SOС, который занимается мониторингом безопасности заказчиков — это уже удар по сервисному направлению, не только по продуктовому.

4. Кражи отчётов об оценке защищенности заказчиков, потому что это открытые ворота в инфраструктуру заказчиков, а среди заказчиков есть очень солидные компании, утечка информации о безопасности которых может повлечь собой попадание по 275 статье уголовного кодекса (госизмена).

Оборотные штрафы при повторных утечках

Все спрашивают, надо или не надо бояться оборотных штрафов. Поверьте мне, надо очень постараться, чтобы попасть на них, потому что это должна быть вторая утечка, не первая. Надо быть очень “одарённым” с точки зрения безопасности в компании, чтобы это произошло и стало достоянием гласности. Хотя сегодня проукраинские хакерские группировки осознанно придерживали взломы компаний, чтобы дождаться 30 мая. Они в своих чатах открыто писали, что мы ждём 30 мая, чтобы компании, которые пострадают от наших действий, выбрали либо признать факт повторной утечки и заплатить оборотный штраф, либо скрыть факт утечки и заплатить выкуп хакерской группировке, а это финансирование терроризма. Дилемма — так себе, скажем прямо.

Но если компания всё-таки более-менее начинает задумываться о своей безопасности, то повторная утечка — большая редкость. Сегодня компаний, у которых произошли повторные утечки, на моей памяти не больше десятка, и они все очень небольшие. Поэтому оборотные штрафы — это не самая страшная история.

ИБ — одна, а взгляды на неё — разные

Мы обсудили, что безопасность — это борьба с потерями. Это действительно так, лежит на поверхности. Мы должны понимать, в первую очередь, как посчитать эти потери. История с катастрофическими последствиями, декомпозицией позволяет это сделать. Но безопасность позволяет ещё и зарабатывать.

Да, безопасность не будет основным «зарабатывателем» денег, если компания не продаёт безопасность или не занимается сервисной моделью по ITIL или COBIT, продавая свои услуги внутри подразделений, внутри компании либо внутри группы компаний. Там мы выходим на хозрасчет и безопасность зарабатывает.

Я говорю сейчас про рядовое подразделение ИБ в обычной компании. Оно тоже может внести вклад. Этот вклад не всегда основной, но он будет. Здесь главное уметь его считать. Это примерно как вклад абсолютно любого подразделения. IT не зарабатывают 100% денег своей компании. Разработчики — тоже не зарабатывают 100%. DevSecOps — тоже. Коммерческое подразделение тоже не отвечает за 100% заработанных денег, потому что им помогают IT, безопасность, экономическая безопасность, HR. Так и с безопасностью, вклад безопасности считать можно, главное — поменять своё отношение к тому, а какая у безопасности цель.

Возвращаясь к тому, с чего я начинал: с истории про самурая, у которого нет цели, только путь. В реальности в японских книгах про самураев говорится о том, что у самурая нет цели не потому, что у него только путь, а потому что его цель — это благополучие господина.

Применительно к ИБ, цель безопасности — это достижение целей бизнеса, которому безопасность служит и от которого получает деньги.

Когда безопасник (да не только безопасник) идёт к бизнесу, он должен быть готовым всего к пяти вопросам:

1. Что недопустимо для нас и сколько мы потеряем?

2. Сколько надо заплатить, чтобы этого не произошло? И дальше бизнесмен будет взвешивать.

3. Какие есть альтернативы? Можно купить кучу железа, а можно уйти в облачную сервисную модель и оценивать риски того или иного подхода. 

4. Как проверить, что бизнес получает то, за что платит?

5. Как быть уверенным в результате? Это различные схемы с Bug Bounty, кибериспытания и тому подобное, где эмулируются реальные хакерские атаки, чтобы проверить, что безопасность работает хорошо, и её не взломают те, кто будет делать то же самое, но уже со злым умыслом.

Напоследок, небольшой чек-лист, эти вопросы генеральный или финансовый директор обычно и задаёт своим безопасникам.

Хотите своевременно узнавать самые актуальные темы из мира информационной безопасности. Приходите на новый сезон HighLoad++ обсудим в том числе техническое лидерство!