×
Как монетизировать ИТ-безопасность

Российские организации и компании очень неохотно публикуют сведения об ИБ-инцидентах. Стремление не выносить сор из избы усложняет организацию консолидированного (в отраслевых и национальных масштабах) противодействия киберпреступности и реалистичную оценку последствий кибератак.

 


В таком отношении к инцидентам ИБ наша страна не является особенной. Так, Агентство ЕС по сетевой и информационной безопасности (European Union Agency for Network and Information Security, ENISA) отмечает, что в публиковавшихся до сего времени отчетах по Европе о потерях из-за кибератак данные редко бывают сопоставимы между собой ввиду сильного различия используемых для расчетов подходов и методов, часто имеющих значение только в конкретном контексте.

 


В ENISA считают, что нужны унифицированные и стандартизированные подходы, а некоторые эксперты предлагают определить единый метод измерений, чтобы исследование потерь от киберпреступлений в разных странах и отраслях стало более простым и эффективным. Предполагается, что одобренное Европарламентом новое законодательство, обязывающее компании сообщать о кибератаках, упростит решение этой задачи. Публичность данных об ущербах от ИБ-инцидентов поможет строить реалистичные модели угроз, даст возможность коллективными усилиями сообщества специалистов разработать методики оценки таких ущербов, а сами эти методики станут мощным инструментом в руках бизнес-руководителей и руководства корпоративных ИБ-служб для адекватного определения места информационной безопасности в каждой конкретной структуре, в планировании и обосновании бюджетов на ИБ.

 


В нашем обзоре мы обсудим, насколько расходы российских компаний и организаций на обеспечение ИБ адекватны реальным угрозам в этом отношении, что следует предпринять в плане формулирования нормативных требований, создания методик расчета расходов на ИБ, разработки современных ИБ-инструментов, организации ИБ внутри компаний, подготовки ИБ-специалистов, чтобы сделать эти расходы более соответствующими современному ландшафту ИБ-угроз и эффективными с точки зрения их окупаемости...

 

И тем не менее, по данным исследовательской компании J`son & Partners, российский рынок ИБ в 2014 г. вырос на 13% и достиг 51 млрд. руб., что намного меньше приведенных выше оценок ущерба, причиненного кибератаками отечественным организациям и фирмам. В 2015-м расходы на ИБ скорее всего подросли, однако с учетом общей экономической ситуации они все равно не сравнятся с суммарным объемом нанесенного ущерба, даже если учесть высказываемые аналитиками соображения о том, что вложения в ИБ трудно выделить как независимые в отдельную статью расходов, поскольку чем дальше, тем четче реализуется на практике концепция встраивания функционала ИБ во все ИКТ-средства. В наиболее зрелых современных продуктах это реализуется начиная со стадии разработки, а в тех, которые имеют свою историю присутствия на рынке, — путём добавления такого функционала в готовое решение.