«700 млн, это цена за право не думать. Цена за то, чтобы совет директоров продолжал считать безопасность техническим расходом. Но при реальном инциденте эта сумма превращается в цену вопроса о доверии: доверии к вам как к руководителю, доверии к компании как к партнеру. Риск нельзя делегировать в страховку или на аутсорс — его можно только принять как управленческое решение. Ваша задача — показать, что за цифрой скрывается не абстрактная вероятность, а конкретный сценарий потери контроля над ключевыми бизнес-функциями.»
Что стоит за цифрой риска
Суммы в сотни миллионов рублей в оценках рисков, это редко цена одного инцидента. Это совокупный эффект системных сбоев, которые нарушают выполнение регуляторных мандатов, сроки по контрактам и стоимость активов компании. Остановка производства из-за кибератаки, это прямой ущерб. Но срыв выполнения требований ФСТЭК, который приведет к потере статуса поставщика для госзаказчика,, это убыток на годы вперед.
В российском контексте требования ФСТЭК и 152-ФЗ формируют архитектуру бизнес-процессов, а не просто служат контрольным списком для аудита. Требование о хранении персональных данных на территории РФ определяет выбор облачных провайдеров, логистику данных и архитектуру запасных контуров. Несоблюдение здесь, это прямая угроза операционной непрерывности. Отказ системы, не прошедшей аттестацию ФСТЭК, может заблокировать выпуск продукции или проведение платежных операций. Ущерб от простоя за несколько дней часто превышает первоначальную оценку в разы.
Риск из абстрактной вероятности превращается в конкретную угрозу, когда накладывается на технологическую цепочку. Например, устаревшее средство защиты информации (СЗИ) может не блокировать современные угрозы, приводя к инциденту. Но сам инцидент запускает каскад: остановка конвейера → срыв поставок → штрафы по договору → судебные иски → потеря репутации. Цена каждого звена этой цепи суммируется.
Говорить с советом директоров
Язык совета директоров — язык капитала, стратегических альянсов и репутационного капитала. Доклад о несоответствиях пунктам приказа ФСТЭК будет проигнорирован. Перевод технических проблем на язык бизнес-рисков — ключевой навык.
Вместо «отсутствует анализ защищенности» говорите: «Мы не видим, из каких точек злоумышленник может атаковать нашу финансовую систему, что делает невозможным прогнозирование убытков». Вместо «проблемы с системой журналирования»: «В случае утечки данных мы не сможем установить виновного и доказать свою правоту перед регулятором, что гарантирует штраф и репутационный ущерб».
IT-риски необходимо жестко увязывать с категориями, уже присутствующими в повестке совета:
- Операционный риск: полная остановка критического производства, физическая недоступность данных, срыв госконтрактов из-за потери статуса поставщика.
- Финансовый риск: многомиллионные штрафы от Роскомнадзора и ФСТЭК, прямые убытки от мошеннических операций, вынужденные инвестиции в аварийное восстановление.
- Репутационный риск: публикация в СМИ о крупной утечке данных клиентов, потеря доверия ключевых B2B-партнеров, отток квалифицированных кадров.
- Стратегический риск: блокировка выхода на регулируемые рынки (финансы, госзаказ), потеря конкурентного преимущества из-за технологического отставания, навязанного требованиями безопасности.
От обоснования к альтернативам: четыре стратегии
Предъявить проблему без вариантов ее решения — переложить ответственность на совет. Управление риском предполагает выбор. Руководитель по безопасности должен владеть всем спектром стратегий и четко артикулировать последствия каждой.
- Принятие риска. Осознанное решение не предпринимать действий. Уместно, когда стоимость снижения риска превышает потенциальный ущерб. Для совета это звучит так: «Мы понимаем угрозу, но ее реализация маловероятна, а устранение потребует 800 млн рублей и остановки производства на квартал». Ключ — документальное фиксирование этого решения за подписью ответственных лиц, что превращает риск из «невыявленного» в «управляемый».
- Снижение риска. Классический путь через инвестиции в безопасность. Здесь важно показывать не просто смету на СЗИ, а «цену контроля». Например: «Внедрение системы DLP за 15 млн рублей снижает риск утечки конфиденциальной проектной документации и потенциальных убытков в 200 млн». Нужна четкая метрика: на сколько (в процентах или денежном выражении) снижается угроза после внедрения меры.
- Передача риска. Не только киберстрахование, которое в российском контексте имеет серьезные ограничения и часто не покрывает штрафы регуляторов. Это также аутсорсинг ответственности: заключение SLA с провайдером ЦОД, имеющим нужные аттестаты ФСТЭК, или контракт с MSSP на управление SOC. Суть: «Мы платим партнеру X млн в год, и он несет финансовую ответственность за инциденты в рамках оговоренного сценария». Риск не исчезает, но ответственность за его минимизацию перекладывается.
- Избегание риска. Радикальный отказ от деятельности, несущей неконтролируемые угрозы. Например: «Отказываемся от запуска онлайн-продаж через собственную платежную систему из-за неподъемных требований ФЗ-152 и стандарта PCI DSS. Вместо этого используем платформу аккредитованного оператора». Это стратегия полного исключения угрозы из бизнес-ландшафта, часто наиболее экономичная для высокорисковых проектов.
Итог: от лотереи к управлению
Риск на 700 млн рублей перестает быть лотереей, когда его можно сформулировать, измерить и выбрать один из четырех путей работы с ним. Задача — вовлечь совет директоров в процесс принятия стратегических решений в области безопасности на том же уровне, что и решения о слияниях или выходе на новые рынки. Финальное решение по выделению бюджета или изменению бизнес-процесса должно основываться на анализе альтернатив, а не на эмоциональной реакции на крупную цифру. Это и есть интеграция безопасности в бизнес, а не ее существование в отдельном, непонятном бюджетном запросе.