“Математика убивает интуицию, но открывает то, о чём без неё даже не подумаешь. В защите информации это единственный способ понять, когда хватит, а когда ещё нет”
.
От пределов человеческого воображения к математической определённости
Обсуждения о том, сколько денег вкладывать в информационную безопасность, обычно тонут в общих словах: «риски высоки», «нужно защищаться», «инвестируйте в лучшее». Принципы верны, но они не дают ответа на конкретный вопрос: вот в этой компании, с этими активами и угрозами, сколько именно нужно тратить и на что именно в первую очередь? Решение часто принимается под влиянием страха, моды, навязчивых продавцов или просто интуитивно. Экономика информационной безопасности — дисциплина, которая стремится этот хаос превратить в расчёт.
Её цель не в том, чтобы оправдать минимальные расходы или максимизировать затраты. Она ставит перед собой более сложную задачу: найти точку, в которой очередной затраченный рубль на защиту приносит ровно один рубль предотвращённых убытков. Инвестиции ниже этой точки означают недозащищённость и оставляют деньги на столе в виде неучтённых потерь. Инвестиции выше, это просто трата средств без реальной отдачи, создание избыточной сложности и иллюзия безопасности.
Краеугольный камень: уравнение Гордона-Лёба
В основе подхода лежит простая, но мощная модель, предложенная Лоуренсом Гордоном и Мартином Лёбом. Она не описывает всю сложность реального мира, но даёт отправную точку для анализа. Суть модели такова: инвестиции в безопасность оправданы, когда стоимость предотвращённых потерь превышает стоимость самих инвестиций.
Разложим её на составляющие. Нам нужно знать:
- Вероятность инцидента без защиты (p₀). Насколько вероятна реализация угрозы, если мы ничего не делаем? Это может быть вероятность успешной DDoS-атаки на наш публичный сервис, утечки базы данных клиентов или заражения криптолокером.
- Вероятность инцидента с защитой (p₁). Насколько снизится эта вероятность после внедрения конкретного средства защиты?
- Потенциальный ущерб от инцидента (L). Это не только прямые финансовые потери, но и репутационный ущерб, штрафы регулятора, стоимость восстановления.
- Стоимость внедрения и эксплуатации защиты (C). Лицензии, оборудование, зарплата специалистов, обучение.
Смысл модели в сравнении двух величин: ожидаемые потери без защиты (p₀ × L) и ожидаемые потери с защитой плюс её стоимость ((p₁ × L) + C). Инвестиция считается оптимальной, если (p₀ × L) — ((p₁ × L) + C) > 0. То есть предотвращённые потери больше затрат.
На практике модель сталкивается с главной трудностью: как оценить p₀ и p₁? Ответ на этот вопрос отделяет формальный подход от реального применения.
Оценка вероятностей: от отраслевых отчётов до красных команд
Цифры для модели не берутся с потолка. Их источником служит смесь данных, анализа и экспертизы.
- Отраслевая статистика. Отчёты компаний вроде Positive Technologies или Group-IB по российской специфике, данные CERT’ов и регулятора. Если в вашей отрасли за год было зарегистрировано 50 инцидентов утечки у 200 компаний, грубая базовая вероятность p₀ может оцениваться как 25%. Это отправная точка.
- Анализ уязвимостей. Для технических мер эффективность (разницу между p₀ и p₁) можно оценить через призму CVSS (Common Vulnerability Scoring System). Если среду защищает система предотвращения вторжений (IPS), способная блокировать эксплуатацию уязвимостей с CVSS от 7.0 и выше, можно проанализировать, какой процент прошлогодних инцидентов был вызван такими уязвимостями, и на сколько теоретически снизится p₁.
- Моделирование и тестирование. Самый точный, но и самый ресурсоёмкий метод, это создание «красной команды» или заказ регулярного тестирования на проникновение. Конкретный пентест покажет, удалось ли атакующему получить доступ к критичным активам при текущем уровне защиты. Это даёт чёткую картину для p₁. Повторение теста после внедрения новой меры покажет её реальную эффективность.
От модели к стратегии: приоритизация и типичные ошибки
Один инструмент — хорошо, но решение о распределении бюджета требует работы с портфелем угроз и средств защиты. Здесь проявляются классические ошибки.
Ошибка №1: Следование за «серебряной пулей». Руководство читает об успешной атаке на известную компанию и требует немедленно купить тот же самый дорогой инструмент, который, возможно, не закрывает самые вероятные для вас угрозы. Экономический анализ помогает противостоять этому: «Да, эта система защиты снижает вероятность атаки типа X с 5% до 1%, предотвращая потенциальный ущерб в 10 млн рублей. Но система стоит 5 млн в год, а наш ожидаемый ущерб без неё — всего 500 тыс. рублей (5% от 10 млн). Это неоптимально. Лучше направить эти средства на обучение сотрудников, которое снизит вероятность фишинговых атак с 30% до 10% при ущербе в 2 млн рублей, что даст экономию в 400 тыс. рублей при затратах в 300 тыс.».
Ошибка №2: Игнорирование человеческого фактора. Самые дорогие технические средства могут быть обойдены одним фишинговым письмом. Экономика безопасности требует рассматривать все векторы атак, включая социальную инженерию и ошибки персонала. ROI от программ обучения и моделирования атак часто недооценивается, хотя их эффективность поддаётся измерению через снижение числа успешных фишинговых тестов и инцидентов.
Ошибка №3: Фиксация на предотвращении, а не на обнаружении и реагировании. Не все атаки можно предотвратить со 100% вероятностью. Инвестиции в системы мониторинга (SIEM), реагирования на инциденты (SOAR) и формирование группы SOC повышают p₁ (уменьшают вероятность успешного нанесения полного ущерба) за счёт сокращения времени обнаружения и реагирования. Стоимость внедрения таких систем высока, но предотвращённый ущерб от быстро купированного инцидента может быть колоссальным.
Приоритизация инвестиций должна основываться на простом правиле: в первую очередь внедряются меры с наибольшим отношением предотвращённого ущерба к стоимости. Проще говоря, то, что даёт максимальную «отдачу на рубль» для вашего конкретного профиля рисков.
Интеграция с регуляторными требованиями
В российской практике существует дополнительный, неэкономический фактор — требования регуляторов, прежде всего ФСТЭК России и 152-ФЗ. Их исполнение — обязательное условие, а не вопрос оптимизации. Однако экономический подход может быть применён и здесь.
- Минимальный соответственный порог. Регуляторные требования задают базовый уровень защиты (p₁_reg). Инвестиции ниже этого уровня неприемлемы. Но экономика безопасности начинается за этим порогом.
- Оптимизация внутри требований. Требования часто сформулированы как цели («обеспечить защиту персональных данных»), а не как конкретные инструменты. Это оставляет пространство для выбора. Можно выполнить требование о контроле доступа дорогой системой Identity and Access Management или более дешёвыми, но эффективными организационными мерами и сегментацией сети. Анализ «стоимость-эффективность» поможет выбрать оптимальный путь соответствия.
- Учёт штрафных рисков. Несоблюдение требований регулятора влечёт за собой штрафы (L_reg). Это дополнительный компонент потенциального ущерба (L) в уравнении Гордона-Лёба. Таким образом, инвестиции в соответствие напрямую уменьшают финансовый риск.
Экономический подход не отменяет необходимость соответствия, но помогает тратить деньги на него разумно, не впадая в избыточность.
Когда математика отступает: пределы модели
Модель Гордона-Лёба — отличный инструмент для анализа дискретных, измеримых рисков. Но у не есть границы применимости.
- Системные и каскадные риски. Модель плохо работает для рисков, способных разрушить всю компанию (экзистенциальные риски) или вызвать цепную реакцию. Стоимость такого события (L) стремится к бесконечности, что ломает логику расчёта. Здесь в силу вступают стратегические, а не экономические решения.
- Невозможность точной оценки. Для новых, неизвестных угроз (zero-day) или целевых сложных атак (APT) оценки p₀ и p₁ крайне ненадёжны. В таких случаях инвестиции часто делаются исходя из принципа «глубины обороны» и экспертных суждений.
- Репутационный ущерб. Его очень сложно оценить количественно и включить в (L). Падение доверия клиентов, потеря контрактов — эти последствия могут проявляться месяцами и не иметь чёткой денежной оценки.
Понимание этих пределов не дискредитирует экономический подход. Наоборот, оно очерчивает зону его эффективного применения: для большинства операционных, повторяющихся, измеримых рисков он остаётся самым мощным инструментом для принятия решений.
От теории к практике: шаги для внедрения
Как начать применять эти принципы в своей организации? Процесс можно разбить на этапы.
- Каталогизация активов и угроз. Составьте список наиболее ценных информационных активов (базы данных, исходный код, интеллектуальная собственность) и основных угроз для них (утечка, уничтожение, модификация, недоступность). Для начала достаточно топ-10 активов.
- Количественная оценка. Попробуйте дать примерные цифры для ключевого риска. Например: «Утечка базы данных 100 тыс. клиентов. Прямые штрафы по 152-ФЗ — до 300 тыс. рублей. Репутационный ущерб и отток клиентов — оценка от 2 млн рублей. L ≈ 2,3 млн рублей. Вероятность в нашей отрасли без шифрования данных и DLP — p₀ ≈ 15% в год».
- Оценка контрмер. Рассмотрите варианты защиты. Внедрение шифрования данных и базовых правил DLP стоимостью (C) 500 тыс. рублей в год может снизить вероятность (p₁) до 3%.
- Расчёт и сравнение. Ожидаемые потери без защиты: 0,15 × 2 300 000 = 345 000 руб./год. Ожидаемые потери с защитой плюс её стоимость: (0,03 × 2 300 000) + 500 000 = 69 000 + 500 000 = 569 000 руб./год. На первый взгляд, защита кажется невыгодной (569 тыс. > 345 тыс.). Но это указывает на два момента: либо оценка ущерба (L) занижена (репутационные потери могут быть выше), либо выбранная контрмера слишком дорога для данного риска. Нужно искать более дешёвые способы снижения вероятности.
- Построение дорожной карты. Проведите такой анализ для топ-5 рисков. Расположите потенциальные контрмеры по убыванию отношения «предотвращённый ущерб / стоимость». Это и будет ваша экономически обоснованная дорожная карта инвестиций в безопасность.
Экономика информационной безопасности не даёт лёгких ответов. Она требует данных, анализа и готовности подвергнуть сомнению устоявшиеся практики. Но взамен она предлагает нечто большее, чем просто интуицию или слепое следование трендам. Она даёт право говорить на языке бизнеса: языке цифр, возврата на инвестиции и обоснованных приоритетов. В условиях, когда бюджеты не безграничны, а угрозы только множатся, это не роскошь, а необходимость.