Почему бюджеты на безопасность работают впустую

от

Нормальный бюджет на ИБ”, это один из самых туманных и бесполезных запросов. Вместо того чтобы искать готовый процент, нужно понять, почему вы вообще тратите на безопасность деньги и какие механизмы превращают эти расходы в выброшенные на ветер. Правда не в готовых цифрах, а в том, что большинство компаний тратят одновременно и слишком много, и слишком мало, просто на неправильные вещи.

От процента от ИТ до здравого смысла: почему готовых формул не существует

Любой запрос “какой бюджет считается нормальным” приводит к заученной мантре: “В среднем, 5–10% от ИТ-бюджета или 0.5–2% от выручки”. Эти цифры кочуют из отчета в отчет, не неся реальной смысловой нагрузки. Они взяты из усредненных данных по рынкам, где под “информационной безопасностью” могут понимать что угодно: от покупки антивируса до штатного CISO и оплаты пентестов.

Эти проценты не работают, потому что:

  • Масштаб бизнеса и критичность данных не учитываются. Процент от выручки для мелкого интернет-магазина и для АЭС даст радикально разные суммы и абсолютно несопоставимый уровень реальной защищенности.
  • Структура ИТ-расходов разная. Если компания активно мигрирует в облака или разрабатывает собственное ПО, доля ИТ-расходов будет высокой, а значит, и процент от них даст большую сумму на ИБ. Но нужна ли ей вся эта сумма? Или наоборот, у компании устаревшая, но стабильная инфраструктура с низкими ИТ-затратами — значит, по формуле ей “положено” меньше, хотя риски из-за legacy-систем могут быть выше.
  • “ИБ-расходы” — понятие растяжимое. В эту сумму включают и зарплату администратора, который настраивает firewall между основной работой, и дорогой софт класса Gartner Magic Quadrant, и сертификацию по 152-ФЗ, и курсы для сотрудников. Сравнивать такие “средние” цифры — бессмысленно.

Единственная рабочая отправная точка — оценка рисков. Бюджет на ИБ должен быть производным от стоимости инцидентов, которые вы пытаетесь предотвратить, и приемлемого для бизнеса уровня остаточного риска. Если потенциальный ущерб от утечки базы клиентов оценивается в N миллионов, то тратить 100 тысяч рублей на DLP-систему может быть разумно, а 10 миллионов — уже нет. Проблема в том, что такую оценку проводят единицы.

Три типа расходов на ИБ: где вы, скорее всего, экономите зря

Большинство организаций неосознанно делят свои ИБ-расходы на три неравных и часто несбалансированных потока.

1. “Билет на игру”: обязательные, но не всегда эффективные расходы

Это затраты на формальное соответствие. В России это в первую очередь 152-ФЗ и отраслевые стандарты (ФСТЭК, ФСБ). Сюда идут деньги на: аттестацию, средства защиты информации (СЗИ), оценку соответствия, оформление документов.

Парадокс: эти расходы часто самые предсказуемые и весомые в бюджете, но они почти не повышают реальную безопасность. Они создают иллюзию защищенности, потому что проверяется наличие документов и сертифицированных коробок, а не их реальная настройка и использование. Компания может потратить миллионы на “устаканенный” по ФСТЭК межсетевой экран, который стоит с настройками по умолчанию, пропуская весь трафик.

2. “Технологический зонтик”: закупка инструментов

Самая любимая категория: закупка софта и железа. EDR, SIEM, DLP, антивирусы нового поколения, песочницы. Здесь есть соблазн тратить много, руководствуясь принципом “чем больше коробок, тем безопаснее”.

Реальность: без грамотной интеграции, тонкой настройки под свою инфраструктуру и команды специалистов, которые будут этим управлять, эффективность этих систем падает в разы, а иногда и до нуля. Покупка SIEM за 5 млн рублей без выделенных 2-3 аналитиков, которые будут писать корреляции и расследовать инциденты,, это почти гарантированно выброшенные деньги. Вы тратите на инструмент, но экономите на его эффективном использовании.

3. “Человеческий капитал”: самые недооцененные инвестиции

Сюда относятся: зарплаты штатных специалистов ИБ, обучение сотрудников (не разовое, а постоянное), найм внешних экспертов на пентест или аудит, формирование culture of security.

Именно здесь чаще всего происходит жесткая экономия. Руководство готово подписать счет на дорогую “волшебную” систему, но будет полгода спорить о необходимости увеличения штата ИБ-отдела на одного инженера. Обучение сотрудников воспринимается как формальность, которую проводят раз в год по шаблонной презентации.

Между тем, исследования давно показывают, что большинство успешных атак эксплуатируют человеческий фактор, а не технологические дыры. Слабейшее звено нельзя защитить только техникой. Экономия на людях и их компетенциях сводит на нет инвестиции в первые две категории.

Почему вы тратите “мало”: системные ошибки в подходе

Слово “мало” в заголовке взято в кавычки неспроста. Речь идет не об абсолютной сумме, а о ее неэффективном распределении и ложной экономии в критичных точках.

  • Финансирование “по остаточному принципу”. ИБ не приносит прямой прибыли, поэтому ее бюджет часто урезают в первую очередь, когда нужно “поджать пояс”. Вложения в безопасность, это страховка. Никто не рад платить за страховку, пока не случилось страхового случая. Но когда он случается, все понимают, что страховки было недостаточно.
  • Фокус на CAPEX, игнорирование OPEX. Легче получить разовое финансирование на закупку системы (капитальные расходы, CAPEX), чем ежегодно утверждать бюджет на ее сопровождение, обновление лицензий и зарплату специалистов (операционные расходы, OPEX). В итоге купленная три года назад система морально устарела, не обновляется и не покрывает новые угрозы, но в отчетах она есть.
  • Отсутствие метрик и языка бизнеса. Руководитель ИБ-службы приходит с запросом “нужны деньги на SOAR”, потому что это “тренд и автоматизация”. Финансовый директор спрашивает: “Как это сократит наши операционные расходы или уменьшит финансовые потери от инцидентов?”. Если нет четкого ответа на языке бизнес-показателей (сокращение времени реагирования на X%, уменьшение количества инцидентов категории Y, предотвращение потенциальных штрафов по Z), бюджет не дадут. ИБ-специалисты часто не умеют переводить технические потребности в бизнес-аргументы.
  • Реактивный, а не проактивный подход. Бюджет часто формируется “после драки”. После инцидента с шифровальщиком выделяют деньги на EDR. После утечки в прессу — на DLP. Это дороже и менее эффективно, чем планомерное построение защиты на основе оценки рисков. Вы постоянно догоняете угрозы, а не упреждаете их.

Как определить свой “нормальный” бюджет: практические шаги

Вместо поиска волшебного процента последовательно пройдите несколько этапов.

  1. Определите, что вы защищаете и от кого. Составьте список критичных активов (данные клиентов, исходный код, финансовая отчетность, промышленные системы). Определите наиболее вероятных злоумышленников для вашего бизнеса (конкуренты, хактивисты, обычные киберпреступники, инсайдеры). Бюджет на защиту от APT-группы и от массового шифровальщика будет разным.
  2. Оцените риски в денежном выражении. Хотя бы приблизительно. Во сколько обойдется простой на сутки из-за DDoS? Каков размер потенциального штрафа по 152-ФЗ за утечку? Какова репутационная стоимость публикации украденных данных? Эта сумма — верхний предел разумных вложений в предотвращение данного инцидента.
  3. Аудит текущих затрат. Разнесите все текущие ИБ-расходы по трем категориям (соответствие, инструменты, люди/процессы). Вы увидите перекосы. Часто 80% бюджета уходит на соответствие и коробки, а на обучение и штатных экспертов — крохи.
  4. Спланируйте по целям, а не по инструментам. Не “купим NGFW”, а “до конца года снизим риск несанкционированного доступа из внешних сетей к внутренним сегментам до приемлемого уровня”. Под эту цель могут подходить разные решения (от сегментации сети до ZTNA), и их стоимость можно сравнивать.
  5. Внедрите метрики эффективности. Привяжите часть будущего бюджета к достижению измеримых показателей: “Выделяем финансирование на SOC, при условии что MTTD/MTTR по инцидентам высокого риска снизится на 30% за полгода”. Это превращает ИБ из центра затрат в измеримую функцию.

Кейс: куда уходят реальные деньги

Рассмотрим абстрактную компанию “Рога и копыта” с выручкой около 1,2 млрд рублей в год. По “среднестатистической” формуле (0.5% от выручки) ей “положено” тратить на ИБ около 6 млн рублей в год.

Как выглядит типичное (неэффективное) распределение:

  • Соответствие 152-ФЗ (аттестат, СЗИ, документы): 2.5 млн руб. (разовые и ежегодные платежи).
  • Технологии (антивирус, обновление MFA, подписка на Threat Intelligence): 2 млн руб.
  • Люди (зарплата одного совмещающего администратора): 1 млн руб.
  • Обучение сотрудников, пентест: 0.5 млн руб.

Итого: 6 млн руб. Проблемы: защита строится “для галочки”, нет специалиста, который глубоко разбирается в настройке купленных систем, пентест проводится для отчетности, а найденные уязвимости не устраняются. При успешной атаке ущерб может превысить годовой ИБ-бюджет в десятки раз.

Как может выглядеть более сбалансированный бюджет той же суммы:

  • Соответствие: 1.5 млн руб. (оптимизация, отказ от избыточных дорогих СЗИ в пользу более дешевых аналогов с тем же сертификатом).
  • Технологии: 1.5 млн руб. (фокус на ключевых системах, отказ от “модного” пока не нужного SOAR).
  • Люди: 2 млн руб. (найм или аутсорсинг грамотного инженера ИБ).
  • Процессы и развитие: 1 млн руб. (регулярный осмысленный пентест с последующим исправлением, постоянное обучение сотрудников на современных платформах, участие в bug bounty).

Такое распределение сильнее повлияет на реальную безопасность, потому что в центр ставится компетенция и процессы, а не коробки и бумаги.

Бюджет, это не цифра, а стратегия

Спросить “сколько тратить на ИБ” — все равно что спросить “сколько тратить на здоровье”. Можно покупать дорогие витамины и раз в год делать МРТ всего тела, но при этом курить, не высыпаться и питаться фастфудом. Результат будет плачевным.

Нормальный бюджет, это не достижение какого-то магического процента. Это финансирование, которое:

  • Покрывает обязательные требования регуляторов без избыточных затрат.
  • Направлено на защиту активов, чья ценность для бизнеса реально оценена.
  • Сбалансировано между технологиями, людьми и процессами, без перекоса в сторону “железа”.
  • Регулярно пересматривается на основе метрик эффективности и изменяющейся картины угроз.
  • Обосновано для руководства на языке бизнес-рисков и потенциальных потерь, а не на языке технических трендов.

Если вы считаете, что тратите “мало”, сначала проверьте, не тратите ли вы эти деньги впустую. Часто проблема не в объеме финансирования, а в его качестве и целеполагании. Увеличение бюджета без изменения подхода лишь усугубит дисбаланс. Начните не с запроса денег, а с аудита текущих расходов и честного ответа на вопрос: что из этого действительно делает компанию безопаснее, а что просто создает видимость деятельности?

Оставьте комментарий