Киберриски в рублях: как обосновать бюджет на кибербезопасность
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
Email: petukhov@legascom.ru
Сегодня регуляторы требуют от бизнеса не просто фиксировать угрозы, а считать потери от киберинцидентов в деньгах. Компании обязаны оценивать потенциальный ущерб - от прямых финансовых потерь до репутационных издержек. Невыполнение требований грозит штрафами и даже приостановкой деятельности. При этом 60 % российских компаний не могут точно рассчитать возможный ущерб - из‑за этого инвестиции в кибербезопасность либо недостаточны, либо неэффективны.
Как разорвать порочный круг
Проблема возникает из‑за разрыва между бизнесом и ИБ: технические специалисты не умеют обосновывать затраты, а руководство не видит масштаба угроз. В результате решения принимаются интуитивно, а ресурсы распределяются нерационально.
Решение - ущерб‑ориентированный подход. Его суть в том, чтобы оценивать не сами угрозы, а их бизнес‑последствия. В основе подхода лежат два инструмента:
BIA (Business Impact Analysis) - помогает измерить потенциальный ущерб от сбоев критических процессов.
CRQ (Cyber Risk Quantification) - позволяет выразить киберриски в финансовой величине.
С их помощью команда отвечает на ключевые вопросы: какие процессы приносят основную выручку, сколько стоят простои и штрафы, какие IT‑активы критичны для бизнеса. Это даёт базу для выбора мер защиты, плана аварийного восстановления и формирования бюджета на ИБ.
От разового отчёта к работающей системе
Регуляторы ждут не единичный документ, а доказательство, что управление рисками - непрерывная часть корпоративного управления. Для этого нужно:
синхронизировать циклы оценки киберрисков с операционными и стратегическими рисками;
внедрить понятные KPI, которые показывают снижение уровня риска и эффективность защиты;
объединить данные об активах, уязвимостях и инцидентах в единую картину.
Так кибербезопасность становится стратегической функцией - и напрямую влияет на устойчивость и инвестиционную привлекательность бизнеса.
Почему целостной картины часто нет
На практике CISO и риск‑менеджеры сталкиваются с тремя основными проблемами:
Информационные разрывы. Данные разбросаны по разным системам: активы - в устаревшей CMDB, уязвимости - в отчётах сканеров, инциденты - в тикетной системе, требования регуляторов - в файлах на общем диске. Из‑за этого сложно быстро оценить влияние новой уязвимости на бизнес‑процессы.
Операционная неэффективность. Любое изменение в ИТ‑инфраструктуре требует ручного пересчёта десятков сценариев - часто в Excel. Подготовка отчёта превращается в многодневный сбор данных.
Тактическая разобщённость. Команды работают изолированно: риск‑менеджмент не видит данных аудита, а специалисты по непрерывности - актуальных критических рисков. Это приводит к дублированию усилий и противоречивым решениям.
В результате CISO не может дать руководству простые и понятные ответы: насколько компания стала безопаснее за квартал и куда выгоднее инвестировать в первую очередь.
Цикл управления рисками и ключевые параметры
Эффективное управление строится как непрерывный трёхлетний цикл:
На старте задаются параметры: риск‑аппетит, шкала критичности ущерба, цели управления рисками.
Выявляются стратегические риски кибербезопасности.
Ежегодно проводится переоценка актуальных сценариев и работа с контрмерами.
В конце цикла оценивается достижение целей и корректируются параметры.
Риск‑аппетит утверждает руководство и фиксирует допустимый уровень негативных последствий (например, лимит ущерба). На его основе определяют приемлемый остаточный риск.
Шкала критичности ущерба классифицирует последствия по типам (финансовые, репутационные и др.) и уровням значимости. Это позволяет единообразно оценивать риски.
Цели управления рисками формулируют ожидаемые результаты в среднесрочной перспективе - например, удержание негативных последствий в пределах риск‑аппетита.
Практические инструменты анализа
Для построения системы управления рисками используют несколько методов:
Карта актуальных угроз строится для каждого актива на базе стандартов (ISO/IEC 27005:2022, NIST, ФСТЭК России) с учётом модели угроз, типа актива и его характеристик.
Выявление уязвимостей опирается на типизацию IT‑активов и готовые перечни уязвимостей по методологии.
Сценарный анализ рассматривает комбинации четырёх факторов: актив, угроза, уязвимость, нарушитель. Из‑за большого количества возможных сценариев важно использовать автоматизированные инструменты.
PESDTREL‑анализ помогает оценить полный спектр последствий киберинцидента: политические, экономические, социальные, оборонные, технологические, репутационные, экологические и правовые. Такой подход позволяет прогнозировать каскадные эффекты и действовать на опережение.
Примеры из практики
DDoS‑атаки. Если рассматривать их как бизнес‑риск, появляются чёткие цифры: минута простоя может стоить 2 млн рублей из‑за остановленных сделок, нарушение SLA - 5 млн рублей штрафа, а утрата доверия - потери 15 % клиентов. Так техническая проблема становится основанием для стратегических решений.
Производственное предприятие. Внедрение управления непрерывностью бизнеса позволяет не останавливать критические процессы при кибератаке: используются резервные мощности, работает схема резервирования данных, персонал действует по отработанным сценариям. В результате вместо многомиллионных убытков компания несёт лишь небольшие временные затраты на переключение режимов.
Крупная ИТ‑компания. Здесь управление рисками становится естественной частью каждого стратегического решения: при запуске продукта автоматически оцениваются киберриски, инвестиции в ИТ согласуются с риск‑аппетитом, а показатели киберустойчивости входят в KPI топ‑менеджеров. Безопасность перестаёт быть только статьёй расходов и становится конкурентным преимуществом.
Вывод
Ущерб‑ориентированный подход трансформирует кибербезопасность из «технической функции» в измеримый инструмент защиты прибыли. Когда ИБ‑специалисты говорят с бизнесом на языке финансовых последствий, а руководители видят реальную стоимость киберугроз, меняется сама роль CISO: он становится стратегическим партнёром, способным экономически обосновать инвестиции и показать влияние рисков на бизнес‑процессы. Управление киберрисками - это не разовая акция, а непрерывный цикл, который делает работу службы ИБ прозрачной, измеримой и значимой для всей компании.




