«Kaspersky IT Security Calculator: Госсектор». Считать надо правильно
Государственные и правительственные учреждения остро нуждаются в масштабной модернизации системы защиты инфраструктуры от киберугроз — к такому выводу пришли практически все аналитические компании еще в 2017-2018 годах. Цепочку глобальных исследований уязвимостей подстегнула печальная ситуация, возникшая во время эпидемии вируса-шифровальщика WannaCry: как известно, более других пострадал именно государственный сектор. Атаке подверглись компьютерные сети РЖД, Сбербанка, МВД, Следственного комитета, Минздрава, МЧС и прочих организаций, с различной степенью успешности. В конце года аналитический центр НАФИ огласил невеселые цифры: в среднем сумма убытков в пострадавшей компании составила около 300 000 (299 940) рублей, а в целом по России потери от кибератак оценили в 115 967 204 788 рублей.
Казалось бы, подобная статистика должна вызвать к жизни множественные волнения и осознание того, что в системах защиты от киберугроз наблюдаются серьезные недоработки, возникшие вследствие недооценки возрастающей опасности и совершенствования преступных методов несанкционированного вторжения в сети и системы предприятий. К слову, меньше других пострадали (или вообще успешно отразили атаку) бизнес-структуры, в которых ответственно отнеслись к защите от вторжений — как оказалось, комплексные меры, включающие применение актуальных аппаратных и программных средств вкупе с грамотной подготовкой персонала, блокировали внедрение и распространение компьютерных червей.
Экономить следует с осторожностью
Среди причин, по которым пострадавшие компании оказались совершенно неподготовленными к вторжению, одной из главных назвали недооценку опасности и нежелание нести расходы, связанные с внедрением средств кибербезопасности. Обычно ключевой позицией в таких компаниях становится некорректный подсчет потенциальных затрат и вложений, а в госсекторе, помимо этого, еще и трудности, возникающие в согласовании затрат с вышестоящими и курирующими органами. Впрочем, последних нетрудно понять: они, как правило, нуждаются в веском обосновании запрошенных сумм и потенциальных операционных расходов, которые должны быть выделены из госбюджета и заложены в грядущее финансирование.
Разумеется, глобальная атака несколько изменила ситуацию — сумма ущерба была сопоставлена с прогнозируемыми затратами на модернизацию инфраструктуры. В исследовательской компании International Data Corporation (IDC) уже подсчитали, что наибольшие затраты на информационную безопасность в 2019 году наблюдались в том числе и в правительственных органах, а также в банковской отрасли и дискретном производстве — общие инвестиции этих сегментов превышают $30 млрд. Отмечается, что расходы на информационную безопасность будут возрастать на 11,9% в период с 2018 по 2022 год.
С одной стороны, статистика радующая, поскольку прогресс в рамках принятия мер по защите от киберугроз очевиден. С другой стороны, понятно, что количество адекватно реагирующих на ситуацию организаций из отечественного госсектора все еще относительно невелико — на показатели оказывает сильное влияние международная статистика. Отчего же российские организации не торопятся с улучшением показателей защиты информационной инфраструктуры? Ответ очевиден: слишком долго проводятся оценки и расчеты затрат на ИБ. «Долго» нередко означает «вплоть до того, что настало время пересчитывать вновь, поскольку данные устарели».
Предпосылками к такому состоянию служит отсутствие регламентированной, утвержденной (или хотя бы рекомендованной) методики подобных подсчетов — в каждой компании чаще всего считают по своему усмотрению, в итоге получая или чрезмерно завышенные суммы, или крайне неточные рекомендации по внедрению, срокам и операционным расходам. Разумеется, подобные результаты ни в коей мере не устраивают вышестоящие организации (как минимум из-за непрозрачности итоговых выводов), и документы возвращаются на доработку. По понятным причинам такой бюрократический футбол может длиться годами, в итоге не приведя к правильному решению поставленной задачи.
Калькулятор «Лаборатории Касперского»: и результат, и методика
Понимая ситуацию, в «Лаборатории Касперского» приняли решение разработать и предложить собственный инструмент, упрощающий расчеты затрат на информационную безопасность и позволяющий сформировать конкретное предложение буквально за считанные часы, — Kaspersky IT Security Calculator. Особенность продукта — в его доступности, а также в очень подробной и открытой методике, применяемой для калькуляции. Кроме этого, исходные данные и опорные величины, заложенные в формулы, взяты не с потолка, а получены на основе аналитической информации (в том числе опросов), собранной сотрудниками компании у реальных предприятий, в том числе из госсектора. На вебсайте достаточно ввести в соответствующие поля регион, количество сотрудников, тип учреждения и бюджет на информационную безопасность, чтобы получить исчерпывающие результаты, оформленные в виде диаграмм, статистических прогнозов и рекомендаций. Примечательно, что при нехватке данных ответственным сотрудникам будет предложено заполнить дополнительные формы и/или связаться со специалистами из «Лаборатории Касперского». Результат работы прост и понятен, при желании большего и не потребуется — воспользовавшись полученным результатом, можно сразу начинать планировать бюджет и определять круг его применения. Но в рамках статьи интерес представляет и то, каким же способом получен ответ, поэтому перейдем к изучению методики, заложенной в основу калькулятора.
Как работает калькулятор «Лаборатории Касперского»
Как уже отмечалось, в основу положены данные ежегодного опроса тысяч сотрудников, которые отвечают за контроль ИТ-составляющей, а также за принятие бизнес-решений в соответствующих компаниях. Так, в 2019 году «Лаборатория Касперского» и исследовательская компания B2B International опросили 4474 респондента из компаний с количеством сотрудников до 4999. Были опрошены представители компаний различных размеров и индустрий из 23 стран: США, Канады, Чехии, Франции, Германии, Италии, Нидерландов, Испании, Великобритании, Польши, Швеции, Австралии, Индии, Индонезии, Японии, Вьетнама, Бразилии, Колумбии, Мексики, Саудовской Аравии, Турции, ОАЭ, России. Очевидно, горизонт результатов весьма обширен, и количество участников выглядит впечатляюще: на такой базе ответ должен иметь высокую точность.
Для того чтобы составить более точную оценку ситуации, в калькуляторе «Лаборатории Касперского» страныучастники сгруппированы по категориям. Таким образом, можно выбрать последовательно несколько различных регионов, чтобы отразить наиболее достоверную картину.
Разработчики акцентируют внимание пользователей на том, что, чем больше опрошенных задействованы в расчетах, тем точнее результаты. Утверждается, что статистика, полученная менее чем от 30 респондентов, должна использоваться с осторожностью из-за негарантированной достоверности, а при количестве менее 15 результаты вообще не формируются — вместо этого предлагается расширить географический охват или изменить количественный состав компании.
О чем говорят результаты
Первый пункт — «Бюджет на ИБ» — представляет собой график, демонстрирующий, какой средний годовой бюджет подобные компании закладывают на информационную безопасность, какая доля бюджета из общего количества ИТрасходов уходит на безопасность и каковы прогнозы по ее изменению в ближайшие три года. Оценка бюджета на информационную безопасность формируется исходя из комбинации ответов на специфические вопросы. Для создания расчетных формул интервалы в вопросах представлены как переменные, в основе которых лежат средние значения (верхняя и нижняя точки для первого и последнего интервалов соответственно). В итоговом результате значение представляет собой усеченное среднее. Точное совпадение не обязательно: достаточно, чтобы бюджет, указанный пользователем калькулятора, не отличался от среднего по индустрии более чем на 5%.
Следующий пункт —«Принятые меры защиты» —также в графической форме показывает, какие технологии и решения имеют высокий приоритет (в процентном соотношении) среди подобных компаний в настоящее время. Расчетный период — один год, он определен как ответ на вопрос: «Укажите для каждого из перечисленных ниже решений по обеспечению информационной безопасности, внедряет ли его ваша организация или планирует внедрить в ближайшие 12 месяцев?»
Для более точного понимания сложившейся ситуации предназначен слайд «Угрозы за последние 12 месяцев». Его описание наиболее точно определяется следующей цитатой: «… графически показывает киберугрозы и атаки, с которыми столкнулись опрошенные компании в течение последних 12 месяцев, а также максимальную стоимость одного такого инцидента для компании. Список угроз для финансовых компаний дополнен теми угрозами, которые актуальны только для этой отрасли. Оба списка содержат сокращенное число угроз по сравнению с тем, которое указали респонденты. Представлены только самые опасные». Весьма удобно для сопоставления потенциальных расходов на поддержку кибербезопасности в актуальном состоянии с потерями в случае инцидента.
И наконец, последний пункт — «Рекомендации» — содержит именно то, что отражено в названии: некоторые советы и подсказки различаются в зависимости от примененных параметров, объемов индустрии или ее весовой части в регионе. Результирующая часть строится исключительно на более чем двадцатилетнем опыте работы «Лаборатории Касперского» с бизнесами различного типа.
Выводы
Разработанный «Лабораторией Касперского» продукт под названием Kaspersky IT Security Calculator способен оказать значительную помощь как в прогнозировании потенциальных затрат (капитальных и операционных), так и в сопоставлении средней стоимости наиболее часто встречающихся инцидентов с расходами на защиту инфраструктуры. В перспективе, воспользовавшись результатами расчетов и описанной методологией, можно сформировать грамотный — емкий и обоснованный документ — на основании которого без труда обозначить требуемый бюджет на информационную безопасность. И конечно же, в случае необходимости оперативно его подкорректировать, таким образом сэкономив время на внедрение.
Опубликовано 04.03.2020