«Если ты не можешь измерить это в деньгах, ты не можешь этим управлять. Большинство отчётов об угрозах остаются на уровне абстракций, а руководство требует понятных цифр перед подписанием чеков. Реальный перевод киберугроз в рублёвые показатели, это не калькуляция по усреднённым прайс-листам, а создание финансового языка, на котором говорит и ИБ-отдел, и CFO.»
**Киберриски, это не абстракция**
Риск-менеджмент в информационной безопасности часто заканчивается на красивых диаграммах с красными и зелёными зонами. Пока угроза не реализовалась, её воспринимают как маловероятное событие. Однако для управления ресурсами, особенно в условиях ограниченных бюджетов, необходимо говорить на языке убытков и упущенной выгоды — то есть на языке финансов. Руководство справедливо задаёт вопрос: «Сколько это стоит?». Отсутствие внятного ответа в рублях переводит ИБ из категории необходимых инвестиций в категорию затрат, которые можно сократить.
Оценка на основе страховых выплат или мировых практик часто нерелевантна для российских реалий из-за разницы в бизнес-среде, регуляторике и судебной практике. Нужна методология, которая будет отражать специфику конкретного бизнеса.
От оценки потерь к цене инцидента
Прямые финансовые потери (операционные убытки) наиболее очевидны. К ним относятся:
- Платежи требований: сумма, перечисленная злоумышленникам при успешной атаке, включая все скрытые транзакции.
- Стоимость восстановления: затраты на аварийное восстановление инфраструктуры (ВКС, БД, файловое хранилище), включая стоимость новых лицензий, оборудования или развёртывания в резервном ЦОДе.
- Штрафы регуляторов: например, по 152-ФЗ за утечку персональных данных, которые могут достигать 1 млн рублей в совокупности, но при массовых утечках в публичном пространстве риски существенно выше в виде приостановки деятельности.
Упущенная выгода (потеря дохода) — менее очевидный, но часто более масштабный компонент. Сюда входит:
- Простой производства: остановка конвейера, невозможность запустить расчётные модели или отгрузку товара из-за блокировки ERP-системы.
- Снижение конверсии: падение доверия клиентов после утечки данных, что ведёт к сокращению повторных покупок и новой аудитории.
- Потеря конкурентного преимущества: утечка коммерческой тайны (например, R&D-разработок, прайс-листов) даёт конкурентам фору, который сложно выразить в деньгах сразу, но эффект накапливается.
Складываемые факторы: как не посчитать дважды
При подсчёте важно избежать дублирования ущерба. Основная ошибка — считать одно и то же несколько раз под разными заголовками. Например, простой CRM-системы может одновременно привести к потере обращений (упущенная выгода), необходимости платить сверхурочные сотрудникам кол-центра (прямые затраты) и штрафам за нарушение SLA с партнёрами (репутационные иски). Правильным подходом будет составление таблицы, связывающей первопричину (инцидент) с его финансовыми последствиями в строгих причинно-следственных цепочках.
Так, утечка БД клиентов не должна учитывать и штраф по 152-ФЗ, и потерю части клиентов, которые были утеряны именно из-за действий регулятора. Эти последствия нужно разносить по отдельным строкам расчёта и связывать с конкретной причиной, чтобы итоговая сумма отражала реальный ущерб, а не сумму повторов.