Сколько тратить на кибербезопасность

Сколько стоит информационная безопасность компании

Крупные коммерческие компании тратят на обеспечение физической безопасности своего бизнеса порядка 1% годовой выручки. Безопасность предприятия – такой же ресурс, как технологии и средства производства. Но, когда речь заходит о цифровой защите данных и сервисов, просчитать финансовые риски и необходимые издержки становится непросто. Рассказываем, сколько денег ИТ-бюджета разумно выделить на кибербезопасность, существует ли минимальный набор инструментов, которыми можно обойтись.

Затраты на информационную безопасность растут

Коммерческие организации по всему миру, согласно отчету Gartner, потратили порядка 87 миллиардов долларов на нужды кибербезопасности в 2017 году, включая софт, специализированные сервисы и «железо». Это на 7% больше, чем в 2016 году. В текущем году цифра, как ожидается, достигнет 93 миллиардов, а уже в следующем перевалит отметку в 100.

По оценкам экспертов, в России объем рынка услуг информационной безопасности составляет порядка 55-60 миллиардов рублей (около 900 тыс. долларов). На 2/3 его закрывают государственные заказы. В корпоративном секторе доля таких затрат сильно зависит от формы предприятия, географии и сферы деятельности.

Отечественные банки и финансовые структуры в среднем вкладывают в свою кибербезопасность 300 млн. рублей в год, промышленники – до 50 млн., сетевые компании (ритейл) – от 10 до 50 млн.

Зато цифры прироста российского рынка кибербезопасности вот уже несколько лет в 1,5-2 раза выше, чем в общемировом масштабе. В 2017 году рост составил 15% (в деньгах заказчиков) по отношению к 2016 году. По итогам 2018 года он может оказаться еще солидней.

Высокие темпы роста объясняются общим оживлением рынка и резко выросшим вниманием организаций к реальной безопасности своей ИТ-инфраструктуры и сохранности данных. Издержки на построение системы информационной защиты теперь рассматриваются как инвестиции, они заранее планируются, а не просто берутся по остаточному принципу.

Positive Technologies выделяет три драйвера роста:

  1. Громкие инциденты последних 1,5–2 лет привели к тому, что сегодня только ленивый не понимает роль информационной безопасности для финансовой стабильности предприятия. Каждый пятый топ-менеджер проявляет интерес к практической безопасности в контексте своего бизнеса.

Прошедший год стал поучительным для бизнеса, игнорирующего элементарную гигиену ИБ. Отсутствие актуальных обновлений и привычка работать, не обращая внимания на уязвимости, привели к остановке заводов Renault во Франции, Honda и Nissan в Японии; пострадали банки, энергетические, телекоммуникационные компании. Компании Maersk, к примеру, это обошлось в 300 млн. долларов единовременно.

  1. Эпидемии вирусов-вымогателей WannaCry, NotPetya, Bad Rabbit научили отечественные компании тому, что установки антивирусов и файерволов недостаточно, чтобы чувствовать себя в безопасности. Нужна комплексная стратегия, инвентаризация своих активов в ИТ, выделенные ресурсы, стратегия реагирования на угрозы.
  2. В определенном смысле тон задает государство, объявившее курс на цифровую экономику, охватывающую все сферы (от здравоохранения и образования до транспорта и финансов). Эта политика напрямую сказывается на росте сектора ИТ в целом и на информационной безопасности в частности.

 

Цена уязвимостей в информационной защите

Все это поучительно, но каждый бизнес – уникальная история. Вопрос, сколько тратить на информационную безопасность от общего ИТ-бюджета компании, хоть и не корректный, но, с точки зрения заказчика, самый насущный.

Международная исследовательская компания IDC на примере канадского рынка называет оптимальными 9,8-13,7% вложений в кибербезопасность от общего бюджета ИТ в организации. То есть сейчас канадский бизнес тратит в среднем около 10% на эти нужды (считается, что это показатель здоровой компании), а хотел бы, судя по опросам, ближе к 14%.

«Здоровый» бюджет на кибербезопасность равен 10% общего ИТ-бюджета

«Здоровый» бюджет на кибербезопасность равен 10% общего ИТ-бюджета

 

Компаниям нет смысла гадать, сколько нужно затратить на свою информационную безопасность, чтобы чувствовать себя спокойно. Сегодня оценить риски от инцидентов с кибербезопасностью не сложнее, чем просчитать потери от физических угроз. Есть общемировая статистика, согласно которой:

  • Хакерские атаки стоят глобальной экономике более 110 млрд. долларов ежегодно.
  • Для малого бизнеса каждый инцидент обходится в среднем в 188 тысяч долларов.
  • 51% взломов в 2016 году были целевыми, то есть организованными криминальными группами против конкретной компании.
  • 75% атак происходят с целью нанесения материального ущерба, финансово мотивированны.

«Лаборатория Касперского» весной 2018 года провела свое масштабное исследование. Согласно опросу 6 тысяч специалистов компаний по всему миру, ущерб от взломов корпоративных сетей и утечки данных за последние пару лет вырос на 20-30%.

Средняя цена ущерба на февраль 2018 года для коммерческих организаций, вне зависимости от размера, сферы деятельности, составила 1,23 млн. долларов. Для предприятий МСБ ошибка персонала или удачные действия хакеров обходятся в 120 тысяч долларов.

 

Технико-экономическое обоснование для ИБ

Для того чтобы правильно оценить финансовые ресурсы, необходимые для организации информационной безопасности на предприятии, нужно составить технико-экономическое обоснование.

  1. Проводим инвентаризацию ИТ-инфраструктуры и оцениваем риски, составляем список уязвимостей в порядке убывания их значимости. Сюда же закладываются репутационные потери (рост страховых тарифов, снижение кредитного рейтинга, цена простоя сервисов), стоимость восстановления системы (обновления оборудования и ПО).
  2. Прописываем задачи, которые должна решать система информационной безопасности.
  3. Подбираем оборудование, инструменты для решения задач, определяем его стоимость.

Если в компании нет компетенций для оценки угроз и рисков кибербезопасности, всегда можно заказать аудит информационной безопасности на стороне. Сегодня эта процедура недолгая, недорогая и безболезненная.

Промышленным компаниям с высоким уровнем автоматизации процессов эксперты рекомендуют использовать модель адаптивной архитектуры безопасности (Adaptive Security Architecture), предложенную в 2014 году Gartner. Она позволяет правильно перераспределить расходы на ИБ, уделяя больше внимания инструментам обнаружения и реагирования на угрозы, и подразумевает внедрение системы мониторинга и аналитики ИТ-инфраструктуры.

 

Сколько стоит кибербезопансоть для небольших компаний

Авторы блога Capterra решили подсчитать, во сколько в среднем обходится система информационной защиты для компаний малого и среднего бизнеса в первый год использования. Для этого был выбран список из 50 популярных «коробочных» предложений на рынке.

Оказалось, что разброс цен довольно большой: от 50 долларов за год (есть даже 2-3 бесплатных решения для небольших компаний) до 6 тысяч долларов (есть единичные пакеты и по 24 тысячи, но их не стали включать в расчет). В среднем малый бизнес может рассчитывать на 1 400 долларов на построение элементарной системы защиты от киберугроз.

Дешевле всего обойдутся технические решения типа бизнес-VPN или защиты электронной почты, которые помогут защититься от конкретных типов угроз (например, фишинга)

На другом конце спектра представлены полноценные системы мониторинга с «продвинутыми» инструментами реагирования на события и комплексной защиты. Они помогают уберечь корпоративную сеть от масштабных атак и иногда даже позволяют предсказывать их появление, купировать на ранних стадиях.

Компания может выбрать несколько моделей оплаты системы информационной безопасности:

  • Цена за каждую лицензию, Средняя цена – 1000-2000 долларов, или от 26 до 6000 долларов за лицензию.
  • Цена за пользователя. Средняя стоимость системы ИБ за одного пользователя в компании – 37 долларов, разброс идет от 4 до 130 долларов за человека в месяц.
  • Цена за подключаемое устройство. Средняя стоимость по этой модели составляет 2,25 долларов за один девайс. Цена варьируется от 0,96 до 4,5 долларов в месяц.

Для правильного расчета затрат на информационную безопасность даже небольшой компании придется внедрить у себя основы риск-менеджмента. Первый же инцидент (упал сайт, сервис, платежная система), который невозможно будет исправить в течение суток, может привести к закрытию бизнеса.