Как оценить реальную стоимость простоя бизнеса из-за кибератаки

от

«Разговоры о киберустойчивости часто остаются абстрактными, пока не столкнёшься с реальным простоем. Формальный расчёт ущерба по формуле «доход в час на время простоя», это верхушка айсберга, которая заставляет бизнес воспринимать ИБ как затратную статью. Настоящая ценность безопасности раскрывается, когда ты начинаешь считать неявные потери: уход ключевых сотрудников из-за стресса, потерю деловой репутации, которая не восстанавливается месяцами, и скрытые цепочки поставок, которые останавливаются на одной уязвимости. Это не математика, а управленческое решение, основанное на понимании того, что именно делает компанию живой.»

Зачем нужна денежная оценка простоя?

Планы реагирования на инциденты и стратегии резервного копирования редко обсуждаются в отрыве от бюджета. Без понятной финансовой модели руководитель видит только расходы на защиту — дорогие системы, аналитиков, лицензии. Ценность этих инвестиций становится очевидной, когда есть цифра: сколько компания теряет за час, день или неделю остановки ключевых процессов из-за атаки. Эта оценка — не бухгалтерский отчёт, а инструмент для приоритизации. Она помогает ответить на вопросы: какой сервис восстанавливать в первую очередь, стоит ли платить выкуп, какую сумму закладывать в страховку от киберинцидентов и, в конечном счёте, сколько на самом деле стоит каждый час работы твоего SOC.

Прямые и косвенные потери: что считать

Первое, что приходит в голову, — упущенная выгода. Если интернет-магазин не работает, он не получает заказы. Это прямой финансовый ущерб. Его относительно просто посчитать, взяв средний доход за период. Но это лишь видимая часть.

Косвенные издержки, которые часто упускают

  • Операционные потери. Простой конвейера на заводе ведёт к штрафам за срыв поставок, простою субподрядчиков, необходимости оплачивать сверхурочные для ликвидации отставания. Это затраты сверх упущенного дохода.
  • Репутационный ущерб. Клиенты, столкнувшиеся с неработающим сервисом или утечкой своих данных, уходят к конкурентам. Стоимость привлечения нового клиента в разы выше стоимости удержания текущего. Волна негатива в соцсетях и СМИ может надолго снизить лояльность.
  • Юридические и регуляторные риски. В России за нарушение 152-ФЗ о персональных данных грозят многомиллионные штрафы от Роскомнадзора. ФСТЭК может предъявить претензии по защите гостайны или критической информационной инфраструктуры (КИИ), если инцидент затронул такие системы. Эти штрафы — прямое финансовое последствие.
  • Внутренние затраты на ликвидацию. Часы работы IT-специалистов, юристов, PR-отдела, привлечённых внешних экспертов по цифровой криминалистике. В это время они не выполняют свою основную работу, что тоже имеет стоимость.
  • Потеря данных или их порча. Восстановление из резервной копии, это время. Если резервная копия устарела или тоже зашифрована, стоимость восстановления данных с нуля может быть астрономической, а для уникальной интеллектуальной собственности — и вовсе невычислимой.

Методика оценки: от простого к сложному

Не существует единой формулы, подходящей всем. Выбор метода зависит от зрелости процессов в компании и доступности данных.

1. Оценка по доходу (простейший метод)

Подходит для сервисов с прямыми онлайн-продажами. Формула: Стоимость простоя = (Средний доход в час) × (Время простоя в часах). Например, если интернет-магазин приносит 500 000 рублей в день, то час простоя стоит примерно 20 800 рублей. Но этот метод игнорирует все косвенные издержки, упомянутые выше.

2. Метод оценки бизнес-критичности (BIA)

Более структурированный подход в рамках управления непрерывностью бизнеса (УНБ). Процесс состоит из нескольких шагов:

  1. Идентификация критических бизнес-процессов. Что должно работать в первую очередь? Приём платежей, диспетчеризация, управление производством.
  2. Определение максимально допустимого времени простоя (RTO) и максимально допустимой потери данных (RPO) для каждого процесса.
  3. Качественная и количественная оценка последствий. Для каждого сценария простоя (1 час, 1 день, 1 неделя) оцениваются не только финансовые, но и репутационные, операционные и юридические последствия по шкале (низкие, средние, катастрофические).
  4. Расчёт совокупного воздействия. На основе интервью с руководителями подразделений собираются данные о потенциальных потерях, которые затем переводятся в денежный эквивалент.

3. Моделирование на основе статистики индустрии

Когда внутренних данных мало, можно опираться на отраслевую статистику. Например, средняя стоимость прохода инцидента с шифровальщиком для компании среднего размера в сегменте B2B, по данным различных отчётов, может составлять от нескольких миллионов до десятков миллионов рублей с учётом всех факторов. Эти цифры используются как ориентир для обоснования бюджета на средства защиты и страхование.

Практика: как начать считать в своей компании

Не нужно стремиться к идеально точной цифре с первого раза. Цель — создать работающую модель для принятия решений.

  1. Собери рабочую группу. В неё должны войти не только IT-специалисты, но и руководители ключевых бизнес-направлений, финансовый директор, юрист и специалист по рискам.
  2. Определи 3-5 самых критичных для бизнеса ИТ-сервисов. Не пытайся охватить всё сразу. Начни с того, остановка чего больнее всего ударит по деньгам и репутации.
  3. Проведи упрощённый BIA для этих сервисов. Задай руководителям направлений вопросы: «Что произойдёт, если этот сервис не будет доступен 4 часа? 24 часа? 3 дня?». Зафиксируй ответы, включая предполагаемые финансовые потери, штрафы, срывы сделок.
  4. Примени простейшую финансовую модель. На основе собранных данных выведи примерную стоимость простоя в час/день для каждого сервиса. Даже грубая оценка вроде «от 1 до 3 млн рублей в день» уже даёт понимание масштаба.
  5. Используй эту оценку для приоритизации. Сравни стоимость простоя сервиса со стоимостью его защиты (резервирование, WAF, изоляция сегментов сети, MDR-услуги). Инвестиции в защиту самого дорогого актива почти всегда окупятся.

Ключевые ошибки при оценке

  • Игнорирование эффекта домино. Остановка одного сервиса может парализовать другие. Например, сбой в системе учёта ведёт к остановке отгрузки, а та — к простою логистики.
  • Переоценка времени восстановления. В планах часто закладывается оптимистичный сценарий. На практике восстановление после сложной атаки занимает дни и недели, а не часы. Умножай свои первоначальные оценки на коэффициент (например, 3 или 5).
  • Забывать о человеческом факторе. Стресс, выгорание и уход ключевых сотрудников в разгар кризиса, это прямая угроза способности компании восстанавливаться. Стоимость найма и обучения замены — тоже часть ущерба.
  • Не учитывать требования регуляторов. Для операторов КИИ или компаний, работающих с персональными данными в крупных масштабах, сам факт инцидента и длительный простой могут привести к проверкам и санкциям, несоизмеримым с прямыми потерями от простоя.

Оценка стоимости простоя как основа стратегии защиты

Цифра, которую ты получишь в результате,, это не абстракция. Она становится краеугольным камнем для аргументации перед руководством, обоснования бюджета на ИБ, выбора между разными решениями по защите и резервированию. Понимание реальной стоимости простоя меняет восприятие информационной безопасности: из центра затрат она превращается в функцию, обеспечивающую непрерывность бизнеса и защищающую его капитализацию. Без этой оценки все разговоры о рисках остаются на уровне предположений. С ней — ты говоришь на языке бизнеса.

Оставьте комментарий