Безопасность дороже денег

Как ведущие компании формируют бюджет на защиту информации
iStock

Траты на информационную безопасность (ИБ) являются важной инвестицией в устойчивость бизнеса. Однако с 2025 г. налоговая нагрузка увеличится из-за повышения налога на прибыль, а деньги становятся все дороже из-за высокой ключевой ставки. Это не может не отразиться на стоимости разработки отечественного ПО и затрат на обеспечение организаций комплексными решениями в ИБ. В этих условиях вопрос грамотного бюджетирования, в том числе расходов на ИБ, выходит на первый план. «Ведомости&» спросили экспертов рынка о том, как эффективно сформировать бюджет ИБ и защитить его перед менеджментом компании.

Не расходы, а инвестиции

Практически все опрошенные «Ведомости&» бизнесмены и эксперты считают, что траты на ИБ являются важной инвестицией в устойчивость бизнеса. Особую актуальность такие траты приобретают из-за все возрастающего уровня цифровизации компаний и зависимости от IT-сервисов, считает руководитель группы по оказанию услуг в области кибербезопасности Kept Илья Шаленков. Сейчас, особенно в условиях санкций и перехода на отечественное программное обеспечение (ПО), любой бизнес от мала до велика может стать жертвой какого-нибудь вируса-шифровальщика, который остановит его работу на дни, а то и недели, обращает внимание операционный директор IТ-практики Bellerage Виталий Волнянский.

Именно поэтому ИБ стоит рассматривать прежде всего как инвестицию в устойчивое развитие бизнеса, повышение доверия клиентов к организации, минимизацию рисков, которые могут поставить под угрозу не только развитие, но и существование компании, считает руководитель управления информационной безопасности Ассоциации «ФинТех» Александр Товстолип. «На сегодняшний день обеспечение ИБ в компании является как жизненно важной статьей расходов, так и инвестицией в успешное развитие бизнеса», – согласен заместитель председателя правления банка «Новиком» Андрей Макоско.

Без инвестиций в ИБ ни одна компания не может сделать качественный продукт, который обеспечит бесперебойную работу сервисов, сохранность денег и клиентских данных, считает Антон Казанцев, архитектор по информационной безопасности в банке «Точка». «Если компания не вкладывается в ИБ, она просуществует недолго», – уверен он.

В отсутствие мер по обеспечению ИБ компании обычно теряют клиентов, данные. Особенно остро стоят вопросы утраты персональных данных, продолжает генеральный директор компании «Онлайн патент» Алина Акиншина.

ИБ на сегодняшний день необходимо воспринимать как одно из качеств продукта, в который бизнес инвестирует, подтверждает начальник управления информационной безопасности СК «Росгосстрах» Олег Хижняк.

Игроки из других секторов экономики также говорят о необходимости инвестиций в ИБ. По словам директора департамента защиты информации и IТ-инфраструктуры «Норникеля» Алексея Мартынцева, функция ИБ позволяет бизнесу наиболее эффективно реагировать на угрозы и риски, а также гибко менять приоритеты и подходы в ответ на стремительно меняющиеся требования законодательства в сфере ИБ и смежных отраслях. К сожалению, недостаток инвестиций в ИБ многие компании обнаруживают только после того, как столкнутся с инцидентом, говорит он.

«Главным приоритетом для меня является обеспечение непрерывности работы предприятия и его дочерних и зависимых обществ. Только так мы сможем со своей стороны обеспечить выполнение стратегических целей, поставленных перед компанией», – говорит директор по информационным системам «АвтоВАЗа» Алексей Горбунов.

ИБ – это инвестиция, и не только в устойчивость бизнеса, но и в возможность его дальнейшего роста, подтверждает руководитель по информационной безопасности «Авито» Андрей Усенок. За последние годы ожидания пользователей в части защиты их данных заметно выросли, поясняет он.

Помимо финансовых инвестиций в ИБ стоит обратить внимание и на инвестиции в построение киберкультуры сотрудников, поскольку без соблюдения элементарных норм кибербезопасности и сохранения бдительности на всех уровнях в компании они могут оказаться бесполезными, считает Сергей Гусев, начальник управления информационной безопасности «Северстали».

В Burger King, например, делают ставку на дальнейшее развитие базовых средств защиты информации и поддержание кибергигиены. «Хорошая практика – это создание безопасной рабочей среды для всех сотрудников компании.  Поэтому необходимы системы мониторинга инцидентов ИБ, которые позволяют проактивно выявлять постепенно развивающиеся атаки до того, как они достигнут цели», – говорит Рауль Тенчурин, директор по информационным технологиям и ИБ, Burger King.

Компания  создает максимально простые инструкции для неспециалистов в IT и ИБ, доступные  для выполнения, и проводит регулярное дообучение специалистов, не связанных с IT и ИБ, базовым правилам киберграмотности.

«Если регулярно повторять эти меры, то они в итоге обеспечивают 80% защиты бизнеса по принципу Парето», – говорит Тенчурин.

Одновременно в компании развивают data-офис, который позволяет службе мониторинга путем предиктивной аналитики определять и визуализировать паттерны, сигнализирующие о развитии атак и индикаторах компрометации (подозрение на доступ к информации постороннего – «Ведомости&»).

Важно отметить, что ни одна компания не может быть застрахована от рисков ИБ на стороне партнеров. Технические меры проверки надежности ИБ-инфраструктуры подрядчиков, к сожалению,  не снимают рисков человеческого фактора на стороне третьих лиц, отмечает Тенчурин.

Ориентация на риски

Говоря о формировании бюджета на ИБ, эксперты отмечают, что его структура зависит от множества факторов. В частности, важно понимать текущее состояние ИБ и уровень риска, сектор экономики, в котором работает организация. Для финансового сектора, например, требования в области ИБ со стороны регуляторов самые высокие, указывает директор департамента управленческого консультирования ДРТ Юлия Жукова.

Заместитель генерального директора Servicepipe Даниил Щербаков уверен, что громкие киберинциденты в отрасли также влияют на подход компаний к формированию ИБ-бюджета. Однако наиболее кардинально пересмотреть отношение к ИБ помогают атаки против самой компании. «Приведу реальный пример: крупный финансовый игрок год назад провел тендер на защиту от DDoS-атак (перегрузка информационной системы избыточным числом запросов. – «Ведомости&»), который выиграла компания, предложившая услуги за 50 000 руб. в месяц. Через несколько месяцев этот игрок «лег» под средней по мощности атакой», – рассказывает Щербаков. В итоге финансовая компания не просто сменила поставщика услуги, но и кардинально пересмотрела приоритеты в выборе провайдера, существенно изменив техническое задание и заложив бюджет на приобретение защиты от интернет-атак в 10 раз больше, обращает внимание эксперт.

Кроме того, играют роль размер компании, количество сотрудников, сложность инфраструктуры, добавляет директор по информационным технологиям АО «Юникон» Владимир Здоровило. «Любая безопасность – это расходы, но не вкладываться в ИБ и принимать риски еще дороже. Но все-таки «бронежилет» – это не инвестиция, а своеобразные «накладные расходы», которые помогают снизить риски», – добавляет Дмитрий Шахин, директор по информационной безопасности «Азбуки вкуса».

«Мы используем риск-ориентированную модель с акцентом на защиту цифровых каналов продаж, которые генерируют большую часть выручки», – говорит Тенчурин из Burger King. В компании, в первую очередь, учитывают риски, которые могут привести к остановке продаж и делают акцент на защиту приложений, киосков самообслуживания и других цифровых каналов.  «Далее смотрим на связанные системы, чтобы обеспечить защиту следующих контуров», – добавляет Тенчурин.

В среднем соотношение бюджета ИБ к бюджету IТ колеблется в пределах 1−15%, оценивает Шаленков. Во многих организациях бюджет на ИБ в размере 10–15% от общего IТ-бюджета считается нормой, согласен Товстолип.

Разумнее всего при составлении бюджета на ИБ применять риск-ориентированный подход – в первую очередь прикрывать инфраструктуру, для которой кибератаки наиболее критичны, продолжает эксперт. Самый главный фактор – это размер потенциального ущерба, который рискует получить бизнес от инцидента ИБ, уточняет Волнянский.

Бюджет на ИБ зависит непосредственно от сложности и масштаба IТ-инфраструктуры, рассказывает Казанцев. Также он зависит от информации, которая в этой инфраструктуре обрабатывается, но никак не от размера бюджета на IТ. «Можно построить в целом бюджетную IТ-архитектуру, но из-за критичности процессов, которые она обеспечивает, затраты на ИБ могут быть на несколько порядков больше», – говорит он.

Расходы в размере 10% являются общепринятыми, однако в зависимости от конкретных обстоятельств вопрос объема финансирования ИБ рассматривается индивидуально с учетом текущей ситуации, возникающих угроз и актуальных методов противодействия, рассказывают в «Абсолют страховании». Впрочем, метрика 10% бюджета расходов от IT на ИБ довольная старая, считает Хижняк. Сейчас расходы еще больше. «Доля бюджета на обеспечение кибербезопасности за последние годы действительно сильно выросла – для этого есть объективные предпосылки: рост стоимости средств защиты, повышение требований к скорости реакции на цифровые угрозы», – добавляет Гусев.

Сегодня перед ИБ стоит целый ряд задач: сопровождение средств защиты информации, внедрение передовых систем обеспечения ИБ, противодействие киберугрозам и защита клиентов от действий мошенников, выполнение требований регуляторов, говорит Макоско. «Необходимая доля от расходов на IT, которая пошла бы на ИБ, не должна быть менее 10%, но в целом зависит от размера и специфики бизнеса», – оценивает он.

Заместитель председателя правления банка «Зенит» Игорь Кособуров и вовсе считает, что планировать бюджет на ИБ в процентах от расходов на IT неверно. «Основой для формирования бюджета ИБ может быть модель угроз и нарушителей, результаты оценки рисков ИБ. Готовность компании отражать актуальные риски без ущерба для основной деятельности – это и есть стратегическая цель ИБ», – полагает он.

При планировании инвестиций и годового бюджета на кибербезопасность важную роль играет стоимость денег, считает Андрей Тимофеев, финансовый директор ГК «Солар». «Актуальная ставка рефинансирования и последующие риски ее повышения превращают CAPEX, или капитальные затраты, на инфраструктуру и технологии ИБ в довольно дорогой ресурс для бизнеса, поэтому его использование требует взвешенной оценки. При этом модель OPEX (операционные затраты. – «Ведомости&») позволяет распределить расходы на несколько лет и обеспечить целевой уровень кибербезопасности здесь и сейчас в партнерстве с сервис-провайдером. Некоторые компании также внедряют гибридные модели взаимодействия с ИБ-вендорами и интеграторами, привлекая экспертизу партнеров и развивая сервисные компетенции внутри в рамках модели OPEX», – поясняет он.

Цифры убеждают

По словам экспертов, при обсуждении бюджетов на ИБ с бизнесом важно иметь в качестве аргумента цифры. Наиболее весомый аргумент – это последствия для бизнеса, выраженные в деньгах. То есть прямой ущерб от хищения, убытки из-за простоя, затраты на восстановление и т. п. Кроме того, важно донести до бизнеса регуляторную значимость ИБ. «Например, нарушение законов о защите персональных данных может повлечь за собой штрафы и санкции со стороны государственных органов», – поясняет Здоровило.

Реальный сектор подтверждает, что подобные аргументы могут быть эффективны. Классические подходы вроде возврата инвестиций (ROI) для ИБ не всегда применимы. Хорошая дискуссия обычно строится вокруг рисков и плана их снижения, отмечает Усенок. При обсуждении бюджетов на ИБ важно обозначить соотношение вкладываемых ресурсов и получаемого уровня защиты, учесть риск-аппетит менеджмента и ответственность, которую менеджмент берет на себя при принятии риска, добавляет Мартынцев.

«Мы оцениваем инвестиции по соотношению затрат к предполагаемому влиянию на риски. К примеру, отдаем предпочтение тем, которые уменьшат сразу несколько высоких рисков, вместо нескольких решений, снижающих отдельные риски. Интегрированное решение, как правило, оказывается дешевле при таком рассмотрении», – рассказывает Усенок. Отраслевые регуляторы накладывают дополнительные условия, подсвечивая процессы, требующие дополнительного внимания со стороны ИБ, добавляет Хижняк.

«С точки зрения бюджета в сегодняшних реалиях я буду опираться на принцип минимальной достаточности. Стратегия ИБ на три года, которую мы разрабатываем, определит вектора приложения усилий и направления защиты, позволит нам правильно расставить приоритеты», – говорит Горбунов.

Стабильный рост бюджетов

Вместе с тем эксперты уверены, что бюджеты на обеспечение ИБ в 2025 г. будут расти. Основные драйверы такого роста − импортозамещение и продолжающийся рост числа атак, считает Шаленков.

Импортозамещение – действительно существенная статья расходов. «В условиях закрытого доступа к зарубежным решениям нам придется ориентироваться только на российские системы или инструменты из дружественных стран. Среди них есть решения, которые вполне сопоставимы по возможностям с зарубежными, но, к сожалению, пока на практике они получаются дороже импортных аналогов», – поясняет Волнянский.

В ближайшее время вероятен рост расходов на средства аутентификации, на решения для обеспечения безопасности публичных и внутренних облаков, а также на средства для мониторинга персональных данных при их передаче, использовании и хранении, прогнозирует Усенок.

В 2025 г. ожидается стабильный рост бюджетов на ИБ и связано это не только с ростом кибератак на организации, но и с появлением новых технологий (например, искусственный интеллект), которые очень активно начали применяться в бизнесе в целом и в области ИБ в частности, считает Товстолип. Таким образом, IТ-ландшафты организаций расширяются, набор новых технологий пополняется, при этом и периметр угроз растет, отмечает он. &