«Зацикливаться на сумме украденных денег — значит не видеть картину. Фишинг сжирает бюджет не мгновенным переводом, а долгими, неделями длящимися расходами, которые превращают один клик в финансовую черную дыру. Это типичная атака на сотрудника, но ее цена ложится на всю организацию — от ИБ-специалистов до совета директоров.»
Из чего складывается цена клика
Когда речь заходит об ущербе, первое, что приходит в голову — украденные со счета деньги. Эта цифра заметна и болезненна, но редко составляет больше 20-30% от итоговой суммы. Основной финансовый удар наносится по частям, растягиваясь на недели и месяцы после инцидента. Для реалистичной оценки ущерба нужно разложить его на составные части.
Прямые финансовые потери: только начало
Это средства, напрямую ушедшие к злоумышленникам. Сценарии варьируются от списания с корпоративных счетов через скомпрометированный онлайн-банк до мошеннических операций с украденными данными клиентов. Разброс огромен: от пробных переводов на несколько тысяч рублей до многоэтапных схем с поддельными платежными поручениями, где суммы исчисляются десятками миллионов. Однако даже крупная кража, это лишь первый, самый очевидный счет к оплате.
Операционные затраты: скрытая машина по сжиганию бюджета
С момента обнаружения инцидента запускается сложный и дорогой процесс реагирования. В него вовлекается десяток подразделений, а их рабочее время, это деньги.
- Служба ИБ и системные администраторы тратят часы на изоляцию систем, блокировку учетных записей, поиск векторов атаки и анализ логов.
- Юристы начинают готовить документы для регуляторов, оценивать правовые риски и возможные иски.
- PR-отдел и руководство разрабатывают стратегию коммуникации, чтобы минимизировать репутационный урон.
Эта работа не приносит новой выгоды — она лишь гасит последствия одного письма. Суммарно такие затраты легко могут составить от нескольких сотен тысяч до нескольких миллионов рублей, даже если прямые потери были невелики.
Регуляторные штрафы и компенсации по 152-ФЗ
Если в результате фишинга произошла утечка персональных данных, компания обязана уведомить Роскомнадзор и самих субъектов данных. Любое нарушение процедур грозит административной ответственностью по статье 13.11 КоАП РФ.
Размеры штрафов для юрлиц по отдельным пунктам могут достигать 6 миллионов рублей, а при повторных нарушениях сумма возрастает. Отдельный риск — иски от физических лиц с требованиями компенсации морального вреда, которые, хоть и невелики по отдельÿости, в массовом порядке создают серьезную финансовую нагрузку и административный шум.
Для организаций из сферы КИИ последствия жестче. Инцидент, затрагивающий значимый объект, попадает в поле зрения ФСТЭК России по 187-ФЗ, что чревато не только штрафами, но и внеплановыми проверками с выдачей предписаний на дорогостоящую модернизацию защиты.
Репутационный урон и косвенные потери
Самый сложный для оценки, но часто самый тяжелый компонент. Успешная атака, это сигнал о уязвимости, который считывают все: клиенты, партнеры, инвесторы.
- Отток клиентов. Особенно критично для банков, fintech, облачных провайдеров и медицинских организаций, где доверие — ключевой актив.
- Ужесточение условий контрактов. Партнеры могут потребовать дополнительных гарантий безопасности или снизить коммерческие условия.
- Снижение лояльности сотрудников. Внутренняя атмосфера подрывается, растет текучесть кадров в ключевых отделах.
- Упущенная выгода. Простой ключевых бизнес-процессов на время расследования, затраты на массовую смену паролей, перевыпуск сертификатов.
Ориентиры по цифрам и их ловушки
Международные отчеты часто оперируют средними цифрами в десятки миллионов рублей на один инцидент. Переносить эти данные на российскую почву нужно с осторожностью: отличается и законодательство, и уровень зарплат специалистов, и структура затрат.
Однако эти цифры задают верный порядок величин. Стоимость инцидента для средней и крупной российской компании редко ограничивается суммой украденного и часто превышает несколько миллионов рублей за счет скрытых издержек. Главное — понимать, что «средняя» цифра маскирует чудовищный разброс: атака на бухгалтерию малого бизнеса может привести к его полному краху, тогда как для крупной корпорации аналогичное событие станет заметной, но управляемой строкой расходов.
Что умножает итоговую сумму
Стоимость фишинга — не константа, а переменная, зависящая от множества факторов внутри самой компании.
- Время от компрометации до обнаружения (Time to Detect). Каждый час, в течение которого злоумышленник действует внутри сети, экспоненциально увеличивает стоимость расследования и восстановления.
- Наличие и отработанность плана реагирования (IR-Plan). Хаотичные действия удлиняют простой и ведут к ошибкам. Четкий план экономит время и ресурсы.
- Уровень осведомленности сотрудников. Культура информационной безопасности снижает частоту инцидентов в принципе.
- Архитектура сети и система контроля доступа. Сегментация сети и многофакторная аутентификация (MFA) ограничивают перемещение атакующего, даже если начальная точка взломана.
- Привилегии скомпрометированной учетной записи. Доступ рядового сотрудника к почте и доступ финансового директора к ERP-системе, это ущерб разного порядка.
Считать не ущерб, а стоимость предотвращения
Гонка за точной оценкой одного инцидента может стать бесконечной. Практически полезнее сместить фокус и сравнить потенциальный ущерб с затратами на его предотвращение.
Сложите:
- Годовая стоимость платформы для обучения и тестового фишинга сотрудников.
- Лицензии на почтовые фильтры нового поколения и системы класса EDR.
- Трудозатраты на разработку и поддержание актуального IR-плана.
В абсолютном большинстве случаев эта сумма окажется на порядок ниже даже консервативной оценки одного успешного инцидента. Фишинг остается сверхрентабельным для атакующих именно из-за низкой стоимости входа и высоких комплексных издержек для жертвы.
Вопрос «Сколько мы потеряем?» стоит заменить на «Сколько мы готовы инвестировать, чтобы не терять?». Ответ — не разовая закупка софта, а непрерывный цикл: регулярная оценка рисков, адаптация технических средств, системное обучение людей. Каждый предотвращенный инцидент экономит не только деньги на счетах, но и недели рабочего времени, репутационный капитал и нервные клетки руководства.