От слов к цифрам: почему риски ИБ нужно считать в деньгах

от

«Риск принято оценивать в баллах и на словах. Но когда мы говорим ‘высокий риск’, это сколько? Я перевёл угрозы в рубли, посчитал потери от простоя и ущерб репутации, и цифры оказались не такими, как в отчётах.»

Почему словесные оценки риска работают против бизнеса

В отчётах об оценке рисков информационной безопасности часто встречаются формулировки: ‘средний риск’, ‘низкая вероятность’, ‘высокая критичность’. Эти категории удобны для сортировки, но бесполезны для принятия решений. Руководитель, видя десятки ‘высоких’ рисков, не может определить, на какой из них выделить бюджет в первую очередь. Все они выглядят одинаково важными, хотя реальный потенциальный ущерб может отличаться в сотни раз.

Основная проблема словесных шкал — их субъективность. Что для одного специалиста ‘средняя вероятность’, для другого — ‘низкая’. К тому же, эти оценки почти никогда не привязаны к конкретным бизнес-процессам компании. Угроза становится абстракцией, а не измеримым событием, которое влияет на прибыль, сроки или репутацию.

Финансовый подход: от абстракции к конкретным цифрам

Суть финансовой оценки риска (Quantitative Risk Assessment) — перевести каждую угрозу в денежный эквивалент. Для этого используется простая, но мощная формула: Риск = Стоимость одного инцидента × Вероятность инцидента в год.

Этот подход заставляет думать не в категориях ‘плохо/хорошо’, а в категориях бизнеса. Вместо вопроса ‘Насколько это опасно?’ появляются два других: ‘Сколько компания потеряет, если это случится?’ и ‘Как часто это может случаться?’. Ответы на них — всегда числа.

Как рассчитать стоимость одного инцидента (Single Loss Expectancy, SLE)

Это сумма всех прямых и косвенных потерь от реализации угрозы. Разбейте её на компоненты:

  • Прямые финансовые потери: штрафы регулятора (например, по 152-ФЗ), стоимость восстановления данных, оплата услуг цифровых криминалистов.
  • Потери от простоя (Downtime): здесь многие серьёзно ошибаются. Недостаточно взять зарплату сотрудников, которые не работают. Нужно считать упущенную выгоду. Если интернет-магазин не может принимать заказы 8 часов, его потери, это средняя выручка за 8 часов работы. Для производственной системы — стоимость невыпущенной продукции.
  • Репутационный ущерб: самый сложный для оценки, но не невозможный. Его можно косвенно измерить через прогнозируемое падение выручки в последующие кварталы, увеличение стоимости привлечения клиента или отток существующих клиентов. Для публичных компаний есть метрика — падение капитализации на бирже после новости об утечке данных.
  • Судебные издержки и компенсации: затраты на юристов и возможные выплаты по искам от клиентов.

Как оценить вероятность (Annual Rate of Occurrence, ARO)

Вероятность, это не ‘чувство’, а расчёт, основанный на данных. Источники для оценки:

  • Внутренняя статистика инцидентов: если за последние три года было две успешные фишинговые атаки с компрометацией учётных записей, то ARO можно грубо оценить как 0.67 (2/3).
  • Отраслевые отчёты: исследовательские компании публикуют данные о среднем количестве кибератак на компании определённого размера и сектора.
  • Данные от вендоров: поставщики средств защиты часто имеют статистику по обнаруженным атакам на своих клиентов.
  • Если данных нет, используется экспертная оценка, но она должна быть числовой: ‘раз в 10 лет’ (ARO=0.1), ‘раз в квартал’ (ARO=4).

Пример расчёта: DDoS-атака на сайт компании

Допустим, компания оказывает онлайн-услуги. Рассчитаем риск от DDoS-атаки, приводящей к недоступности сайта на 12 часов.

  1. Стоимость инцидента (SLE):
    • Прямые потери (оплата анти-DDoS сервиса на время атаки): 50 000 руб.
    • Потери от простоя: средняя выручка сайта — 400 000 руб./час. За 12 часов — 4 800 000 руб.
    • Репутационный ущерб (оценка по прогнозируемому падению продаж на 5% в следующем месяце): 600 000 руб.
    • Итого SLE: 50 000 + 4 800 000 + 600 000 = 5 450 000 руб.
  2. Вероятность (ARO): По данным отраслевого отчёта, компании такого профиля и размера подвергаются успешным DDoS-атакам в среднем раз в два года. Значит, ARO = 0.5.
  3. Годовой ожидаемый ущерб (Annual Loss Expectancy, ALE): ALE = SLE × ARO = 5 450 000 × 0.5 = 2 725 000 руб. в год.

Теперь это не ‘высокий риск DDoS’, а конкретная цифра: компания в среднем теряет от этой угрозы 2.7 млн рублей ежегодно. С этой цифрой можно работать.

Как финансовый расчёт меняет приоритеты и диалог с руководством

Когда все риски выражены в деньгах, картина резко меняется. Может оказаться, что ‘критичная’ уязвимость в внутренней системе, на устранение которой просят 1.5 млн рублей, потенциально приносит убытков только на 200 тысяч в год. А ‘среднестатистическая’ угроза утечки данных клиентов грозит многомиллионными штрафами и потерей репутации.

Такой подход превращает специалиста по ИБ из ‘запрашивающего расходы’ в ‘финансового консультанта’. Диалог с руководством строится на языке бизнеса: ‘Вот три главные угрозы нашему бизнесу в этом году, вот их оценка в рублях. Инвестировав N рублей в защитные меры, мы сократим потенциальные годовые потери на M рублей. Это даст возврат на инвестиции (ROI) через K месяцев’.

Это также помогает обосновать необходимость мер, требуемых регуляторами, например, ФСТЭК. Вместо формального ‘этого требует 152-ФЗ’ звучит: ‘Внедрение системы контроля доступа сократит риск инсайдерской утечки, потенциальный ущерб от которой мы оценили в 15 млн рублей, на 70%.’

Практические шаги: с чего начать

Внедрение финансовой оценки не требует немедленного пересчёта всех рисков. Начните с малого:

  1. Выберите 3-5 ключевых активов: выберите самые важные для бизнеса системы: CRM, биллинг, сайт, производственный контур.
  2. Определите для них самые значимые угрозы: опирайтесь на историю инцидентов и отраслевые тренды (утечка данных, ransomware, DDoS).
  3. Проведите укрупнённый расчёт для одной угрозы: как в примере выше. Используйте доступные финансовые данные компании (средняя выручка, стоимость часа простоя цеха). Для репутационного ущерба сделайте консервативную оценку.
  4. Представьте результат руководству: покажите не просто список угроз, а таблицу с двумя колонками: ‘Годовой ожидаемый ущерб (ALE)’ и ‘Стоимость контрмер’. Наглядно станет видно, на каких угрозах фокус принесёт наибольшую финансовую выгоду.

Ограничения и подводные камни метода

Финанзовая оценка — мощный инструмент, но не панацея.

  • Качество данных: точность расчётов напрямую зависит от качества входных данных. Первые оценки будут грубыми. Это нормально. Важнее начать и уточнять цифры со временем.
  • Непредсказуемые события (Black Swan): метод плохо работает для редких событий с катастрофическими последствиями, вероятность которых крайне мала, но не нулевая (например, целенаправленная атака на объект критической информационной инфраструктуры). Для них часто применяется качественный анализ и сценарное моделирование.
  • Не всё можно измерить в деньгах: некоторые последствия, например, угрозы жизни и здоровью людей из-за кибератаки на промышленную систему, не должны сводиться только к финансовому ущербу. Здесь финансовый расчёт — лишь одна из метрик для принятия решения.

Главное преимущество перехода на денежные оценки, это смещение фокуса с формального выполнения требований на осмысленное управление бизнес-рисками. Риск перестаёт быть абстрактной ‘угрозой ИБ’ и становится конкретной статьей потенциальных убытков, которой можно и нужно управлять так же, как управляют другими финансовыми рисками компании.

Оставьте комментарий