Почему средняя стоимость фишинговой атаки — опасная цифра

от

“Средняя стоимость фишинговой атаки для компании — 4,5 млн рублей. Эта цифра из отчёта ничего не говорит вам. Ваш инцидент либо обойдётся в 100 тысяч, либо разорит бизнес. Зависит от того, насколько хорошо вы понимаете, из чего на самом деле складывается ущерб в российской регуляторной среде.”

Что скрывается за цифрами в отчётах

Отчёты по кибербезопасности предлагают усреднённые показатели, будто все компании одинаковы. Ущерб от компрометации данных оценивается в несколько миллионов рублей, но эта цифра — лишь арифметическое среднее между потерей нескольких клиентских адресов и полным параличом инфраструктуры.

Для конкретной организации, особенно с учётом требований 152-ФЗ и ФСТЭК, такая средняя температура по больнице — не просто бесполезный, а опасный показатель. Он формирует иллюзию понятного, контролируемого риска, тогда как реальный ущерб определяется уникальным контекстом: какие активы затронуты, каковы ваши обязательства перед регулятором и сколько времени займёт восстановление.

Фишинговая атака на бухгалтерию, ведущая к утечке персональных данных сотрудников, и фишинг на инженера, получившего доступ к контурам АСУ ТП,, это два принципиально разных инцидента с несопоставимыми финансовыми последствиями. Основная разница зачастую не в технической сложности атаки, а в объёме регуляторных и репутационных издержек, которые в России могут многократно превзойти прямые затраты на восстановление.

Разбираем стоимость по компонентам

Чтобы оценить реальный урон, нужно отказаться от единой суммы и перейти к анализу составляющих. Ущерб делится на прямые, которые можно посчитать по счетам, и косвенные, влияние которых проявляется месяцами.

Прямые издержки

  • Расследование и реагирование. Сюда входит не только работа собственного SOC, но и, как правило, обязательное привлечение аккредитованных ФСТЭК организаций для проведения экспертизы, если инцидент касается государственных информационных систем или критической информационной инфраструктуры (КИИ). Стоимость их услуг измеряется сотнями тысяч рублей в день.
  • Уведомление пострадавших. Требование 152-ФЗ. Затраты на отправку официальных писем, организацию горячей линии, обработку обращений. Для базы в несколько десятков тысяч записей это легко превращается в отдельный проект с бюджетом.
  • Штрафы и санкции. Штрафы от Роскомнадзора за нарушение законодательства о персональных данных — лишь часть картины. Более серьёзный удар — предписание о приостановке обработки ПДн до устранения нарушений. Для интернет-магазина или онлайн-сервиса это фактически означает остановку бизнеса. Для операторов КИИ последствия измеряются не только штрафами, но и рисками потери лицензии или допуска к госзаказу.
  • Техническое восстановление. Помимо очевидного (смена паролей, чистка от вредоносного ПО), часто требуется перестройка архитектуры сетевого периметра, обновление средств криптографической защиты информации (СКЗИ) для соответствия требованиям регулятора постфактум, что является отдельной дорогостоящей задачей.
  • Страховые последствия. Наличие киберстраховки не отменяет затрат. После выплаты страхового возмещения происходит пересмотр риска и резкий рост страховой премии на следующие периоды, а в некоторых случаях — отказ в продлении полиса.

Косвенные и скрытые издержки

  • Простой ключевых бизнес-процессов. Остановка онлайн-продаж, приостановка работы call-центра, паралич производственной линии из-за компрометации АРМ технолога. Расчёт прост: средняя выручка в час/день умножается на время простоя (MTTR). При крупном инциденте счёт идёт на десятки миллионов рублей за несколько дней.
  • Репутационный ущерб. Его сложнее измерить, но он ощущается в падении лояльности клиентов, увеличении оттока, снижении конверсии. Для B2B-сектора он может выражаться в ужесточении условий контрактов со стороны партнёров, требующих дополнительных аудитов безопасности.
  • Юридические и судебные расходы. Помимо взаимодействия с регулятором, возможны иски от физических лиц, чьи данные были скомпрометированы. Даже если суд будет выигран, расходы на адвокатов и судебные издержки остаются.
  • Вынужденные, а не плановые инвестиции в безопасность. После инцидента руководство в авральном порядке выделяет бюджет на закупку решений, которые до этого считались излишними. Такие закупки часто совершаются по завышенным ценам и без должного внедренческого анализа.
  • Потеря конкурентного преимущества. Если в результате целевого фишинга были похищены данные исследований, ноу-хау или коммерческие тайны, финансовый эквивалент такой потери может быть несоизмерим со всеми остальными затратами вместе взятыми.

Как оценить стоимость для своей организации

Вместо того чтобы ориентироваться на внешние отчёты, проведите внутреннюю прикидочную оценку. Её цель — не получить точную цифру, а понять порядок величин и приоритеты для инвестиций в защиту.

  1. Картирование критических активов. Выделите не просто «базы данных» или «финансовые системы», а конкретные сервисы и роли пользователей. Какие учётные записи (сотрудники) имеют доступ к системам, нарушение работы которых остановит бизнес? Например, учётные записи администраторов ERP-системы, инженеров SCADA, разработчиков, работающих с исходным кодом ключевого продукта.
  2. Моделирование реалистичных сценариев. Что произойдёт, если злоумышленник через фишинг получит доступ к этим учётным записям? Сценарии варьируются от рассылки спама с корпоративной почты до шифрования данных на серверах или хищения коммерческой тайны.
  3. Оценка времени восстановления (MTTR). Для каждого сценария оцените, сколько часов или дней потребуется, чтобы вернуть систему в рабочее состояние с учётом восстановления из бэкапов, проверок регулятора и внутренних расследований. Это самый сложный, но и самый важный параметр.
  4. Учёт регуляторного множителя. Для активов, связанных с ПДн или КИИ, добавьте к временным затратам стоимость штрафов и, что важнее, финансовые последствия приостановки деятельности по предписанию. Например, простой интернет-банка на сутки по решению регулятора.
  5. Суммирование в диапазоны. В результате вы получите не одну цифру, а матрицу: для разных активов и разных сценариев — диапазоны потенциального ущерба (от минимального до максимального). Это наглядная основа для диалога с бизнесом о бюджете на безопасность.

Если расчёт показывает, что час проредактированной из-за компрометации учётной записи технологической линии стоит для компании 2 млн рублей, то инвестиции в двухфакторную аутентификацию для всех инженеров и регулярное обучение по целевым фишинг-атакам перестают выглядеть как излишние траты.

Почему «средняя стоимость» — опасный показатель

Ориентация на усреднённые данные создаёт системную ошибку в управлении рисками. Руководство, видя в отчёте цифру в несколько сотен тысяч рублей, может классифицировать риск фишинга как «приемлемый операционный» и отклонить запрос на финансирование эффективных мер защиты.

Реальность такова, что распределение ущерба подчиняется принципу Парето: 80% инцидентов действительно могут стоить меньше средней цифры, но оставшиеся 20% — те, что затрагивают критичные активы, — способны привести к ущербу, в десятки раз превышающему «средний», вплоть до банкротства бизнеса.

В российских реалиях к этому добавляется регуляторная специфика. Стоимость инцидента резко возрастает из-за процедурных издержек. Взаимодействие с Роскомнадзором или ФСТЭК требует привлечения не только IT-специалистов, но и юристов, специалистов по compliance, аккредитованных экспертов. Время, потраченное на составление объяснений, отчётов об устранении нарушений и прохождение проверок,, это время, отнятое у операционной деятельности. Простой из-за приостановки обработки данных по предписанию, это прямая и измеримая потеря выручки, которая редко учитывается в «средних» отчётах.

Что делать, чтобы снизить потенциальные затраты

Снижение финансовых последствий, это не только попытка предотвратить каждый инцидент, но и грамотная подготовка к неизбежным.

  • Обучение, имитирующее реальные угрозы. Вместо абстрактных лекций — регулярные кампании моделирования целевого фишинга, адаптированные под разные роли в компании (бухгалтерия, разработка, топ-менеджмент). Цель — довести реакцию на подозрительные письма до автоматизма.
  • Действующий, а не «полочный» план реагирования (IRP). Документ должен чётко регламентировать первые шаги: кто принимает решение об изоляции системы, как происходит эскалация, какие шаблоны уведомлений используются. Его необходимо регулярно тестировать на учениях. Наличие отлаженной процедуры сокращает время хаотичных действий, которое напрямую конвертируется в деньги.
  • Технические барьеры, основанные на политиках. Обязательное использование СКЗИ для защиты почтовой переписки при работе с ПДн. Сегментация сети, при которой компрометация рабочей станции в одном сегменте не даёт доступ к финансовым системам или промышленным сетям. Применение принципа минимальных привилегий (Zero Trust) для административных учётных записей.
  • Юридическая и регуляторная готовность. Заранее подготовленные шаблоны уведомлений для Роскомнадзора и субъектов ПДн, согласованные с юридическим отделом. Понимание порядка взаимодействия с ФСТЭК в случае инцидента с КИИ. Это позволяет сократить сроки формальных процедур с недель до дней.
  • Проверяемая отказоустойчивость. Резервное копирование критичных данных с регулярным тестированием восстановления. План аварийного восстановления (DRP), включающий не только технические, но и коммуникационные сценарии. Это гарантирует, что восстановление после ransomware-атаки займёт часы, а не недели.

Инвестиции в эти направления, это страховка с известной и фиксированной стоимостью. Стоимость же инцидента — переменная величина, которая в худшем случае не имеет верхнего предела. Когда вы разложите её на составляющие и увидите, как она формируется в вашей конкретной организации, аргументы в пользу превентивных инвестиций перестанут быть абстракцией и станут конкретным финансовым расчётом.

Оставьте комментарий