Бюджетирование расходов под кибербезопасность требует нового подхода

К такому выводу приходит автор небольшой статьи на CFO Радж Патель (Raj Patel) – партнер крупной американской аудиторской и консалтинговой компании Plante Moran, возглавляющий к тому же направление кибербезопасности.

Времена, в самом деле, изменились. Если армия идет на войну, ее обеспечение формируется на основе плана сражений, а не заранее определенного бюджета. Так и с кибербезопасностью: придерживаться старых методов, когда расходы определялись бюджетами, а не результатами проведенного анализа текущих потребностей, в современных условиях для финансовых директоров равносильно тому, чтобы подвергать свои организации очень большой угрозе.

Киберриски, по причине колоссального ущерба, который может причинить успешно проведенная кибератака, должны восприниматься иначе, чем другие виды рисков. Экономия – это, конечно, хорошо, но не в этом случае, ведь даже один миллион сэкономленных здесь расходов может обернуться десятками миллионов выкупа, который придется выплатить хакерам за разблокировку данных (еще свежа в памяти майская история Colonial Pipeline).

Этот риск – отнюдь не теоретического плана. В эпоху пандемии, после перехода многих сотрудников на удаленные режимы работы, кибератаки интенсифицировались, и теперь уже принято говорит не “если”, а “когда”. В США Центр ФБР по обработке обращений, связанных с правонарушениями в интернет-среде, получил в прошлом году более 800 тыс. сообщений о киберпреступлениях; общий размер убытков по итогам прошлого года достиг рекордного значения в $4,1 млрд. – намного больше трех с половиной миллиардов за год до этого. Нет особых причин думать, что 2021 год окажется переломным*.

*Согласно данным SonicWall, общее количество атак, подобно случаю с Colonial Pipeline, имеющих целью получение выкупа, уже достигло 188,9 миллионов во втором квартале этого года – GAAP.RU

Даже крупнейшие компании не могут чувствовать себя защищенными, а поэтому загонять расходы на кибербезопасность в узкие бюджетные рамки – значит заранее обрекать себя на поражение. Ведь то, что в прошлом году на это были выделены средства в $1 млн. (например), вовсе не означает, что в этом году адекватным будет решение выделить на 5% больше, руководствуясь традиционной логикой.

Правильным вариантом для современной компании было бы отложить здесь бюджет в сторонку и оценить, что на данный момент требуется для отражения кибератак. Стартовая точка – это анализ киберрисков, а не смета доходов и расходов. Безусловно, в непростых кризисных условиях компании, конечно же, будут весьма ограничены в финансах, и им в любом случае придется вписываться в какие-то рамки. Тем не менее, если ориентироваться на текущий уровень угроз, такой подход все равно позволит принимать более осторожные и взвешенные решения, выбирая не фактическую открытость перед кибератаками, а состояние, которое можно себе позволить, принимая во внимание ограниченные финансы.

Есть 3 основные области, которые придется проверять на риски: люди, технологии и процессы:

• Люди. Это человеческий капитал, и это важнейший элемент системы кибербезопасности. Многие финансовые руководители ошибочно полагают, что инвестиции в людей здесь не являются такими уж важными, если у них уже есть надежные средства технологической защиты. Это не так, ведь все эти технологические инструменты бесполезны без людей, способных их грамотно настроить и следить за работой. Это не говоря уже о традиционных процедурах вроде закрытия доступа к корпоративным серверам увольняющимся с работы сотрудникам или обновление защиты новых серверов: для всех этих, казалось бы, рутинных процедур также нужна знающая и надежная команда.
• Технологии. Есть сотни технологических решений на рынке, и это можно воспринимать и как благословение, и как проклятие. С одной стороны, у компаний неограниченные почти возможности по самозащите, но с другой – во всех этих программных продуктах еще нужно разобраться, чтобы: 1) выбрать оптимальное для себя сочетание, 2) избежать дублирования функционала двумя и большим числом продуктов, и 3) избежать перерасхода средств. Руководителям финансовых департаментов здесь рекомендовано тесно работать с IT-специалистами над поиском программных решений для каждого существенного киберриска, который был выявлен. Основная задача: определить такой набор ПО, который сделает возможным эффективный мониторинг киберугроз в реальном времени.
• Процессы. Расходы на кибербезопасность должны принимать в расчет процессы, эту самую безопасность обеспечивающие. Как IT-специалисты, так и прочий персонал обязаны представлять себе, какие именно процедуры при этом выполняются ежедневно, а какие – в случае возникновения экстренных ситуаций. Бюджет расходов должен обеспечивать надежные процессы для необходимых действий, таких как резервное копирование данных, обновление паролей, нейтрализация последствий случайной компрометации данных и т.д.