Про возможные потери в случае кибератаки, частоту нападений хакеров, репутационные потери, постоянное совершенствование инструментария преступников и прочие риски сегодня пишут все ресурсы, начиная от сайтов газет отдаленных районов.

Директора многих компаний могут развести руками: угрозы понятны, но как мне поступить с инвестициями в безопасность. Рассказываем. А основываться мы будем на данных исследования «Лаборатории Касперского», решения которой мы регулярно описываем.

От кого мы защищаемся

Для начала определимся с тем, кто организует кибератаки на бизнес. Специалисты «Лаборатории Касперского» делят всех хакеров на несколько групп.

Первая – кибер-злоумышленники. Их интересуют либо деньги, которые они похищают со счетов организации, либо данные, пригодные для последующей перепродажи. Орудия преступлений они либо разрабатывают сами, либо покупают на черном рынке.

АРТ-группировки тоже ставят перед собой целью получение денег. Достигают они своих целей в результате атак, массовых или частных, которые проводятся с использованием максимально возможного арсенала средств нападения, от утилит и ПО до методов социальной инженерии.

Атаковать организацию могут и ее конкуренты. Они либо занимаются шпионажем, либо стремятся осложнить или остановить работу предприятия-жертвы. В таких нападениях чаще всего используются услуги «наемников»-профессионалов.

Еще одна группа – так называемые хактивисты. Это группы, которые нацелены на достижение политических, социальных и других целей. Свои действия они обосновывают идеологически, а цели их, на словах, всегда «справедливы».

Наконец, пятую группу составляют… правительственные структуры разных стран. Они часто следят и за отдельными лицами, и за компаниями, хотя, в большинстве случаев, отрицают это. Инструментарий, который используется правительственными органами, может быть очень сложным и использоваться вместе с такими элементами, как разведывательная и контрразведывательная деятельность. Для примера можно погуглить историю об операции «Олимпийские игры», которую провела израильская разведка.

Цена рисков

Компании очень не любят сообщать об убытках, которые они понесли в результате кибератак. Но в прессу иногда просачиваются данные о выплаченных выкупах, украденных со счетов в банках средствах и т. п. В 2020 году «Лаборатория Касперского» провела собственное глобальное исследование, в котором подсчитала средние (!) финансовые потери компании в результате атаки киберпреступников. Выборка была весьма масштабной: 5266 респондентов из 31 страны, включая Россию и СНГ. Итак, средние расходы компании, пережившей кибератаку.

Прямые потери от кибер-инцидента, связанного с потерей данных, составляют 745 тыс. долларов. Сюда входят упущенная выгода (это самые большие потери, в среднем $141 тыс.), дополнительные выплаты сотрудникам, обращение к сторонним экспертам, снижение кредитного рейтинга, антикризисный PR. Компенсации и штрафы оказались самыми «дешевыми» потерями: какие-то $51 тыс. и $31 тыс. соответственно.

Но, помимо прямых убытков, есть и косвенные. Их усредненная оценка – 347 тыс. долларов, из которых $126 тыс. приходится на приобретение нового ПО, $112 тыс. – на обучение персонала. А остальные – на найм нового персонала.

Инвестиции в информационную безопасность

Итак, хотя бы примерный объем потерь – известен, и необходимость инвестиций в средства безопасности очевидно. Но, как и для любой инвестиции, она требует расчета окупаемости.

Наибольшие затраты придутся на приобретение специального ПО и оборудования, услуг технической поддержки и расходы на персонал, который необходимо как минимум обучить. Возможны и другие статьи расходов, но они будут принципиально меньшими, чем основные. Вместе она составят совокупную стоимость владения инструментами ИБ. Возможный материальный ущерб представляет собой произведение средней стоимости одного инцидента и их количества в течение года.

Таким образом, формула расчета окупаемости инвестиций в информационную безопасность будет выглядеть следующим образом:

Возможный материальный ущерб – Совокупная стоимость владения / Совокупная стоимость владения х 100%.

Требования регуляторов

Но есть еще одно обстоятельство, которое делает необходимыми инвестиции в информационную безопасность. Масштаб угроз вырос настолько, что киберпреступники стали угрожать работоспособности информационных инфраструктур уже в государственном масштабе. И многие организации должны учитывать требования законодательства хотя бы ради того, чтобы избегать штрафов за их невыполнение. Кстати, эти возможные штрафы – еще одна потенциальная статья убытков.

На первый взгляд требования регуляторов, которые необходимо соблюдать, весьма просты и сводятся к четырем пунктам:

• использование решений, входящих в Реестр отечественного ПО и имеющих сертификаты ФСБ и ФСТЭК России;

• сбор и централизованное хранение данных, вердиктов и иной информации, связанной с произошедшими инцидентами, которые позволяют оказывать содействие специалистам ФСБ России, предоставляя им необходимую информацию об обнаруженных угрозах;

• выполнение обязательств по информированию об инцидентах;

• проверка инфраструктуры на наличие получаемых от регуляторов индикаторов компрометации и проведения оперативных мер по реагированию и пр.

На деле эти правила сужают возможность маневра. Объектом инвестиций для компаний, обязанных следовать регуляторным правилам, могут стать комплексные решения, которые не только сами по себе соответствуют предъявляемым требованиям, но и учитывают специфику организации. 

Ими могут быть, например, требования Банка России (для финансовых организаций), требования законодательства в отношении персональных данных (как российского, так и GDPR, требования к безопасности платежей, осуществляемых при помощи платежных карт (PCI DSS) и, наконец, требования российского законодательства по защите критической информационной инфраструктуры.

Эксперты Сиссофт будут рады помочь защитить бизнес-процессы вашей компании:

+7 (495) 646-14-71 (в Москве), +7 (800) 333-33-71 (бесплатно в регионах России) или info@syssoft.ru