Вопрос, который всплывает в каждой компании, где деньги считают внимательнее, чем журналы событий на SIEM. И почти всегда он звучит с легкой усталостью: «Ну серьезно, опять эти ваши файрволы, аудит, резервные копии…, а прибыль где?». И вот здесь начинается классическое недопонимание, которое потом дорого обходится.
Неосведомленному человеку действительно кажется, что кибербезопасность — это чистый расход компании. Она не продает продукт, не генерирует лиды, не закрывает сделки. Она не приносит выручку в привычном смысле. Более того, она требует бюджета постоянно: оборудование, лицензии, специалисты, обучение, обновления. И пока ничего не горит — это выглядит как страховка, за которую платишь просто «на всякий случай». Как запас картриджей для принтера в глубинах кладовой. А человеческая психика устроена так, что платить за «ничего не произошло» всегда больнее, чем за что-то осязаемое.
Проблема только в том, что ИБ почти всегда оценивается неправильно по одной простой причине: ее результат — это отсутствие инцидента в вашей инфраструктуре. А отсутствие события зачатую сложно «продать» руководству, далекому от ИТ. Никто не приносит отчет «мы предотвратили атаку на 12 миллионов рублей». Если атака не дошла до стадии успеха и вы сломали цепочку действий злоумышленника — это просто норма.
Можно провести очень простой мысленный эксперимент. Представьте автомобиль без ремней безопасности и подушек. Пока вы не попали в аварию, кажется, что всё это лишнее: ремень давит, подушка занимает место, датчики стоят денег. Машина же едет и без этого. Логика вроде бы работает, но до первого столкновения. И вот после него разговоры про «дорого» резко исчезают, потому что появляется новый счет — лечение, ремонт, потеря времени и иногда последствия, которые вообще нельзя измерить деньгами. С ИБ абсолютно та же история, только аварии происходят не на дороге, а в сетевой инфраструктуре вашей компании.
Возьмем простой пример из жизни. Организация решает, что резервное копирование это затратная проблема, которую будет решать тот самый «сисадмин из будущего». Серверы работают стабильно, данные вроде бы в порядке, лишние расходы не нужны. Проходит время, и случается банальная вещь: выходит из строя диск или контроллер, база повреждается, часть данных становится противоречивой или вообще зашифрованной. И вдруг выясняется, что восстановить нечего. Работа встает, клиенты ждут, бухгалтерия не может закрыть период, продажи зависают. Начинается экстренный режим: поиск специалистов, попытки восстановления, ручная сборка данных из разных источников. И самое неприятное, что никакая скорость реакции уже не возвращает потерянное время и деньги.
После такого инцидента резервное копирование уже не кажется «лишней статьей расходов». Оно внезапно становится самой дешевой страховкой корпоративных данных в мире.
Или другой, еще более показательный сценарий — фишинговые атаки. Сотруднику приходит письмо якобы от руководителя: срочно оплатить счет, перевести деньги, согласовать подрядчика. Всё выглядит привычно, стиль похож, имя знакомое, ситуация «горящая». И человек, не задумываясь, выполняет просьбу. Через несколько часов выясняется, что письмо было поддельным, а деньги ушли в неизвестном направлении.
И вот здесь начинается самое интересное: стоимость нормальной защиты почты, фильтрации и базового обучения сотрудников обычно в десятки раз ниже одной такой ошибки. Но пока атака не произошла, это тоже кажется «избыточной мерой».
Есть еще один важный момент, который часто недооценивают. ИБ почти всегда режут первой, когда нужно сократить бюджет. Логика простая: «ничего же не случалось, значит, можно временно убрать или отложить». Это очень опасная иллюзия стабильности. Потому что злоумышленники не знают, что у вас «бюджет урезали на квартал». Они просто используют известные уязвимости, которые давно закрыты в обновлениях, но не у вас.
И в такие моменты безопасность внезапно перестает быть «расходом» и превращается в экстренные убытки, только уже в ускоренном режиме и с коэффициентом боли.
Особенно ярко это видно на атаках программ-вымогателей. Когда компания просыпается и обнаруживает, что серверы зашифрованы, производство остановлено, логистика не работает, бухгалтерия недоступна, а каждый час простоя стоит денег, которые не планировались ни в одном бюджете. В этот момент разговор про «дорого купить систему защиты» звучит уже немного иначе. Потому что теперь есть интересная альтернатива — платить за восстановление, простой или выкуп, и эта альтернатива почти всегда дороже.
Но сводить кибербезопасность только к предотвращению катастроф тоже неправильно. Потому что это история не только про тост на новогоднем корпоративе «Спасибо отделу ИТ, что за прошедший год нас не взломали!!! Gracias!!!». Это еще и про возможность работать с крупными клиентами. Сегодня все больше заказчиков требуют от подрядчика соответствия требованиям безопасности: аудит, контроль доступа, защита данных, процессы реагирования на инциденты. И отсутствие зрелой ИБ в компании может означать очень простую вещь — контракт не подписан. Без взлома, без атаки, без инцидента. Просто потому что вы не прошли базовую проверку. Получается парадокс: безопасность вроде бы не приносит прямой доход, но может напрямую блокировать его отсутствие.
Отдельная история — ваша профессиональная репутация. Это та часть ущерба, которую обычно недооценивают до первого серьезного инцидента. Утечка данных или крупный взлом почти никогда не остаются внутри компании. Это клиенты, которые теряют доверие. Это партнеры, которые начинают задавать неудобные вопросы. Это публикации, обсуждения, новости, иногда очень неприятные. И восстановление доверия часто занимает гораздо больше времени, чем восстановление инфраструктуры. Иногда — годы, иногда — никогда, и компания прекращает свое существование.
При этом есть еще один менее очевидный для далеких от ИТ руководителей эффект: нормальная ИБ делает инфраструктуру более управляемой, а значит управляемой и сами внутренние процессы компании. Мониторинг помогает видеть проблемы до того, как они превращаются в аварии. Контроль доступа показывает, кто и что реально делает в системе. Аудиты вскрывают хаос в конфигурациях, о котором никто не хотел знать, но который всегда существовал. И в итоге безопасность начинает работать как инструмент улучшения внутренних бизнес-процессов в целом, а не только как «защита от плохих людей».
Но важно не впадать в другую крайность. Бывает и так, что компания начинает закупать всё подряд: разные системы, платформы, решения, которые между собой не интегрированы и фактически не используются. Без правильной настройки это превращается в дорогой музей технологий. Кибербезопасность ради кибербезопасности — это тоже не инвестиция, а не более чем просто дорогой способ создать иллюзию защиты.
Поэтому правильный подход всегда упирается не в количество инструментов, а в понимание рисков. Где находятся критичные данные, какие процессы нельзя останавливать, какие угрозы реально актуальны именно для этого бизнеса, а не для абстрактной модели из презентации, которую кто-то из топов увидел на выступлении вендора.
И вот здесь возвращаемся к вопросу с которого я начал данную статью: кибербезопасность — это затраты или инвестиции?
Ответ простой и немного неудобный: и то, и другое одновременно. Это затраты, потому что деньги уходят сейчас, регулярно и без прямого возврата в виде выручки. Но это инвестиции, потому что они снижают вероятность катастрофических потерь, защищают доход, сохраняют клиентов, обеспечивают выполнение контрактов и в целом поддерживают способность бизнеса работать в условиях, где атаки — это не «если» или «когда», а в современном цифровом мире — ежедневная норма.
Соответствует редакционной политике
