Сервисы
Managed IT
Решения
Security
Импортозамещение
Партнерам
О компании

Аудит ИБ vs инцидент: что дешевле

У цифровой экономики есть свои плюсы и минусы. Мобильные сервисы, интернет вещей, большие данные, 5G-сети, криптовалюта с одной стороны повышают эффективность бизнеса и качество услуг, с другой — вынуждают уделять больше внимания кибербезопасности. Это подтверждает постоянный рост экономических потерь от действий киберпреступников.

По данным аналитиков Group-IB, в период с середины 2018 по середину 2019 года ущерб российских банков от кибератак составил 500 млн руб. Общемировые потери, вне зависимости от отрасли, в 2019-м достигли 2,5 трлн долл. По оценке Всемирного экономического форума, к 2022 году глобальный убыток киберпреступности составит 8 трлн долл.

Тем не менее, до сих пор для многих организаций информационная безопасность (ИБ) — отнюдь не приоритетная статья расходов в бюджете на ИТ. Затраты на внешний аудит ИБ таким компаниям кажутся необязательными, а то и сомнительными. «Не дешевле ли пережить инцидент», — рассуждает расчетливый руководитель.

Попробуем разобраться, насколько все-таки оправдан аудит ИБ — не только как мера по контролю и совершенствованию безопасности информационных систем, но и как финансовое вложение.

Уровень киберзащиты в России

В конце февраля Positive Technologies опубликовали результаты пентестов (тестирования на проникновение), которые проводились в 18 российских финансовых организациях в 2019 году. Основными задачами специалистов-пентестеров были: проникновение во внутреннюю сеть из интернета (при внешнем тестировании), получение максимальных полномочий в ИТ-инфраструктуре (при внутреннем тестировании) и получение контроля над критически важными системами — автоматизированными рабочими местами (АРМ КБР), SWIFT, системой управления банкоматами и пр. Результаты можно назвать удручающими. Приведем главные:

Эти результаты схожи с результатами пентестов ITGLOBAL.COM. Характерно, что у некоторых из участвовавших в исследовании организаций было внедрено ПО для мониторинга и корреляции различных событий безопасности — SIEM. Но этот факт никак не повлиял на возможность внешнего и внутреннего проникновения в инфраструктуру компании, включая получение доступа к важным компонентам, и хищения денежных средств. Следовательно, процессы по мониторингу и выявлению инцидентов в компаниях не работали на должном уровне.

Если взять банковский сектор, то здесь, кроме финансовых потерь, «дыры» в информационной безопасности приводят и к потерям репутационным. Особенно часто это связано с утечками персональных данных (ПДн) клиентов. Недавнее исследование компании InfoWatch показало, что 2019 году количество инцидентов, связанных с утечками данных, выросло на 60% по сравнению с 2018-м. При этом было скомпрометировано более 1 млрд пользовательских записей.

Но утечки характерны не только для финансовых организаций. Так, например, в начале года в сеть утекли ПДн 17 млн клиентов сети алкомаркетов «Красное и белое». База продавалась на профильном форуме за 15 тыс. рублей.

«Сливы» нередко случаются в результате действий внутренних злоумышленников — и компрометируются не только ПДн, но и данные, составляющие коммерческую тайну. Это объяснимо: теневой рынок ПДн тоже с каждым годом растет. По информации аналитического центра «Гарда Технологии», стоимость клиентских ПДн сейчас в среднем составляет 175 тыс. руб. за 45000 клиентов. Причем 90% банковских данных «сливается» инсайдерами — сотрудниками и подрядчиками.

Еще один критичный вектор атаки — серверы компаний. Вывод из строя серверного оборудования, например с ключевой для бизнес-процессов СУБД, даже на 1 день может повлечь за собой серьезные убытки.

В еще одном исследовании Positive Technologies, посвященном затратам на информационную безопасность 170 российских организаций из разных отраслей, даны такие цифры:

Надо ли говорить, что далеко не во всех организациях оцениваются потенциальные риски простоя ключевых сервисов — даже приблизительно. Как правило, сумму ущерба считают уже после того, как инцидент случился.

Чем полезен аудит ИБ

Аудит ИБ — это комплексное аудиторское обследование уровня защищенности информационных систем организации от внутренних и внешних угроз. Он включает в себя проверку всех важных компонентов информационных систем. Кроме средств защиты и процессов ИБ, проверяются сетевое и серверное оборудование, ОС, СУБД. Итогом аудита становится подготовка подробного отчета и разработка экспертных рекомендаций по защите ИТ-инфраструктуры для минимизации рисков.

Даже в тех компаниях, у которых есть собственный отдел ИБ, не всегда удается правильно выстроить процессы инфобезопасности, поскольку специалисты по ИБ часто погружены в перманентные, локальные проблемы. Аудитор помогает взглянуть на ситуацию со стороны.

Кроме того, аудит — это еще и возможность оптимизировать затраты на информационную безопасность компании. А это один из главных пунктов при оценке общих затрат на ИТ. Предложенная аналитическим агентством Gartner методика расчета совокупной стоимости владения ИТ-активами (TCO) подразумевает, среди прочего, обоснование бюджета на ИБ. Методика позволяет сделать информационную безопасность финансово измеримой. Используя рекомендации аудитора, можно сократить необязательные расходы на ИБ.

Аудит в рублях

Для оценки целесообразности аудита некоторым компаниям достаточно элементарного сопоставления затрат на аудит ИБ и стоимости простоя информационных систем и критичных сервисов.

Для наглядности: стоимость услуги «аудит информационной безопасности» в среднем по рынку составляет 500 – 700 тыс. руб. (для крупных финансовых компаний ценник доходит до 5 млн руб.) Здесь же уместно привести статистику Schneider Electric: по оценке аналитиков, за два часа простоя СХД или серверов российские финансовые организации теряют в среднем 13 – 20 млн руб. — цифры, несопоставимые со стоимостью аудита.

Аудит ИБ — это как страховка от финансовых рисков, только лучше. Преимущество страховки в том, что она помогает компенсировать последствия инцидента. Аудит ИБ помогает его не допустить.