Количество событий информационной безопасности (ИБ), зафиксированных центром противодействия кибератакам Solar JSOC, за II квартал 2023 года увеличилось на 12% по сравнению с I кварталом и на 38% — по отношению к аналогичному периоду прошлого года.
Сегодня обеспечение ИБ стало острой необходимостью абсолютно для всех. И даже те компании, которые почти не уделяли этому вопросу внимания, задумались о защите своей ИТ-инфраструктуры. Вместе с тем любые финансовые вливания, в том числе и в ИБ, должны быть оправданными и, что немаловажно, экономически выгодными. Насколько экономически целесообразны вложения в ИБ и от каких финансовых потерь они способны уберечь, в какой степени убытки превышают расходы и действительно ли грамотное бюджетирование в ИБ позволит не только сэкономить деньги, но и их заработать, рассказывает руководитель направления аналитики киберугроз «Солар» Дарья Кошкина.
Как инвестируют в ИБ сейчас
ГК «Солар» провела опрос среди ИБ-специалистов, в котором спрашивала о качестве инвестиций в кибербезопасность со стороны компаний. Всего были опрошены 300 респондентов, ответственных за ИБ в компаниях разных отраслей (госвласть, финансы, промышленность, производство и других). Для большинства компаний, как оказалось, наиболее частой мотивацией для увеличения вложений является киберинцидент, то есть хакерская атака, которая привела к реальным убыткам. Так, в 47% случаев после наступления инцидента руководством компании принимается решение об увеличении бюджетирования ИБ, в том числе приобретение новых средств защиты и сервисов, включая системы управления информационной безопасностью и событиями безопасности (SIEM), Центры мониторинга информационной безопасности (SOC), защиту от DDoS-атак. Безусловно, обосновать руководству необходимость дополнительных вложений в ИБ намного легче, когда убыток уже налицо, но едва ли такой подход можно назвать продуктивным.
Как отмечает Кошкина, проблема в том, что бизнес и сотрудники ИБ-служб слишком долго говорили на разных языках, но сейчас все осознают, что необходимо договориться. В итоге начинается трансформация ИБ-службы: массивы непонятных технических регламентов отходят на второй план, сменяясь диалогом об экономической выгоде и эффективности подразделения. В основе этой трансформации лежат новые метрики и методики оценки как рисков, так и непосредственно работы ИБ-подразделений.
Основной аргумент для руководителей компании – экономическая эффективность любых инвестиций. Почти треть опрошенных ИБ-специалистов оценивает этот показатель по стоимости нивелированных рисков, то есть по размеру потенциального ущерба, который наступил бы в случае нереализации конкретного проекта. Это наиболее доступный способ демонстрации эффективности. Ключевой здесь является вероятность, с которой эти нивелированные риски могли бы произойти. Именно она напрямую коррелирует с необходимостью внедрения того или иного средства защиты, сервиса. Еще 23% респондентов оценивают экономическую эффективность ИБ-инструментов через совокупную стоимость владения (TCO). Обычно такие подсчеты проводят для масштабных проектов, например, строительства собственного SOC или подключения к внешнему центру мониторинга. И если прямые затраты, связанные с первоначальной закупкой и эксплуатацией, весьма прозрачны, то посчитать и учесть косвенные затраты, которые могут возникнуть в связи с переобучением сотрудников, перебоями в работе (например, поломки) весьма проблематично.
Что же касается методики подсчета потерь от возможного наступления инцидента, то здесь единого подхода нет. Оценка может производиться на основе мнения сотрудников, суммы прямых финансовых потерь, штрафов регулятора и затрат на новое оборудование, оценки вероятностного уровня недополученной прибыли, риск-ориентированного подхода, оценки на основе нормативных актов РФ (методики ФСТЭК, положения ГОСТов) и по другим методам.
Также у некоторых компаний есть свои внутренние методики, во многих организациях задача их создания возложена на отдел риск-менеджмента или финансовую службу. При этом сотрудники и даже руководители ИБ- и ИТ-подразделений, особенно в больших компаниях, иногда не знают о существовании подобных методик. Сложно в таком случае объяснять топ-менеджерам необходимость увеличения вложений в ИБ, если финансисты и «безопасники» видят лишь каждый свою сторону медали.
Окупаемость ИБ-вложений: миф или реальность
Основной принцип оценки экономической эффективности ИБ-инвестиций – это их окупаемость. То есть размер потенциальных потерь должен превышать средства, затраченные на обеспечение безопасности всей инфраструктуры компании. Здесь важно определить основные риски – те векторы угроз, которые могут быть реализованы в конкретной компании, и финансовый ущерб, который повлечёт каждая из этих угроз в случае наступления. Чтобы выбрать оптимальное решение и обосновать его перед руководством целесообразной представляется следующая цепочка действий: формирование матрицы рисков — определение экономических последствий наступления каждой угрозы — ранжирование угроз по размеру убытков — маппинг угроз и соответствующих ИБ-сервисов для защиты — соотнесение стоимости сервисов и потенциальных убытков — определение срока окупаемости планируемых вложений.
Как же оценить потенциальный ущерб компании в результате киберинцидента? По оценке «Солара», в среднем за год компании теряют от действий киберзлодеев не менее 20 миллионов рублей, при этом инциденты в среднем происходят чуть реже одного раза в месяц.
В качестве наиболее серьёзных киберинцидентов представители опрошенных компаний отмечают компрометацию инфраструктуры и утечку данных, простой бизнес-процессов, шифрование данных вследствие заражения ВПО, взлом веб-приложения. Такие инциденты в среднем случаются раз в полгода и влекут за собой разовые потери примерно в 7 миллионов рублей без учёта затрат на восстановление (от 3 миллионов рублей). Многое зависит от масштаба компании и сферы ее деятельности. Например, недополученная прибыль крупного онлайн-ритейлера от успешной веб-атаки, повлекшей простой сайта, может составить несколько миллионов рублей за считанные минуты и достичь миллиардов, если простой затянется на пару дней.
Можно ли окупить SOC?
В «Соларе» рассмотрели типовой кейс атаки шифровальщика на банк с численностью сотрудников до 2,5 тысяч человек. Согласно анализу, общий ущерб с учётом недополученной прибыли, затрат на восстановление составил 10 миллионов рублей. Если учесть, что подобные атаки происходят в среднем 3 раза за год, потери в итоге эквивалентны 30 миллионам рублей. Средняя же стоимость услуг SOC для компании с таким числом сотрудников составит лишь порядка 17,3 миллиона рублей. Средства, выделяемые на ФОТ сотрудников, в годовом эквиваленте составят не более половины стоимости SOC, в результате чего суммарно затраты составят порядка 25 миллионов рублей. При этом же, как показывает практика, обычно компании выделяют на вопросы ИБ в районе 10 миллионов рублей (без учёта расходов на ФОТ) ежегодно, что зачастую является недостаточным для обеспечения комплексной защиты (в первую очередь, для более крупных компаний).
По словам Кошкиной, ни один SOC не может полностью исключить наступление киберинцидента, но практика показывает, что, благодаря подключению к ИБ-мониторингу вероятность наступления инцидента снижается минимум в 3-4 раза, скорость восстановления после него увеличивается вдвое. При этом объем недополученной прибыли стремится к минимальным значениям против средних 6 миллионов рублей за счет сокращения времени простоя либо его отсутствия вообще. Кроме того, она отметила снижение или даже отсутствие репутационных рисков (71% компаний), оттока клиентов (43%), штрафных санкций регулятора (45%), а также увеличение производительности труда сотрудников за счет сокращения задач по ликвидации последствий инцидента.
В итоге, делают вывод в «Соларе», грамотно налаженная система ИБ не только экономит бюджет, но и способствует увеличению прибыли, особенно после «обкатки» и доработки. После первых 1-2 лет ее эффективность становится очевидной. В частности, за счет автоматизации процессов отпадает необходимость расширения штата ИБ- и ИТ-специалистов, снижается вероятность простоя защищаемых внутренних бизнес-систем примерно на 98% (в зависимости от SLA конкретного ИБ-провайдера), появляется возможность предотвращения более сложных атак или минимизации последствий в случае их наступления.
Эффективность инвестиций в ИБ мы уже увидели по итогам 2022 года, когда, осознав все риски, многие компании озаботились укреплением своих ИТ-периметров, говорит Кошкина. Так на фоне значительного роста числа кибератак количество подтвержденных инцидентов за первые 3 квартала прошлого года выросло почти в 2,5 раза. Но после того, как компании начали закупать новые средства защиты, подключать услуги SOC и ИБ-сервисов, закрывать уязвимости, этот показатель начал активно снижаться. По оценкам «Солара», в I квартале 2023 года подтвержденных инцидентов было уже в 2 раза меньше, чем в III квартале 2022 года. Этот показатель постепенно растет, так как злоумышленники адаптируют методы атак, однако и во II, и в III квартале 2023 года количество подтвержденных инцидентов все еще не достигло пикового показателя III квартала прошлого года.
Важно учитывать, что аналитика, предоставляемая SOC, является хорошей основой для построения ИБ-архитектуры, учитывающей угрозы конкретной компании. Построение современной системы ИБ, способной своевременно подстраиваться к изменениям ландшафта угроз, требует грамотного проектирования и контроля в процессе строительства. Накопленный опыт работы в роли вендора, интегратора и сервис-провайдера позволяет «Солару» выступать архитектором комплексной кибербезопасности и помогать компаниям в формировании надежной защиты.
Окупятся ли базовые средства защиты?
К базовым ИБ-решениям относятся, например, файерволы веб-приложений (WAF), «песочницы» (Sandbox) или сервисы защиты электронной почты (SEG). Как показывают исследования ГК «Солар», 90% атак – это фишинг и взлом периметра, что обеспечивает дальнейшее проникновение в инфраструктуру жертвы. Во многих случаях входной точкой является корпоративная почта. С таким типом атак часто сталкиваются, например, некрупные банки. В данном случае фильтровать входящий поток позволит набор ИБ-средств, состящий из решения для постоянного контроля защищенности внешнего IT-периметра компании (Сontinuous Penetration Test) или универсального шлюза безопасности для комплексной защиты от сетевых угроз (Unified Threat Management) с ревизией сервисов и правильно настроенным IPS для противодействия эксплуатации уязвимостей, а также «песочницы» совместно с сервисом SEG для противодействия фишинговым атакам.
Основной функционал «песочницы» при этом заключается в проверке входящих писем до поступления на почтовый сервер организации, наличии механизмов защиты от фишинга, спама и вредоносного ПО, а также снижении нагрузки на почтовые серверы (фактически на спам приходится 85% всей входящей почты).
По оценке «Солара», в течение года на одну компанию приходится порядка 9 простейших фишинговых атак, что приводит к ущербу минимум в 2,25 миллиона рублей (из среднего расчета в 250 тысяч рублей потерь от одной успешной фишинговой атаки, включая ликвидацию инцидента и минимальный простой). Стоимость сервиса Sandbox для 1 площадки со 150 пользователями, 30 серверами, сайтом и каналом связи за год составит около полутора миллионов рублей. Таким образом, за первые два года использования сервиса компания может сэкономить не менее 1,5 миллионов, а в дальнейшем этот показатель будет только увеличиваться.
В заключение
Прошедшие полтора года показали, что перед кибератаками уязвимы практически все, и ущерб от ударов злоумышленников может приостановить деятельность организации вплоть до нескольких недель, формируя прямой ущерб в миллиарды рублей. Но даже для небольшой компании успешная атака с применением шифровальщика выливается в ущерб, сопоставимый с 3-4 годами владения соответствующими средствами защиты или ИБ-сервисами.
При этом вложения в ИБ должны быть разумны, а выстроенная система защиты – релевантна уровню потенциальной угрозы. Именно поэтому необходимо формировать матрицу рисков и оценивать экономическую эффективность различных сервисов и систем, учитывая при этом финансовые показатели конкретной организации.