Может ли система информационной безопасности приносить прибыль?

В апреле 2011 компания Sony подверглась одной из самых громких хакерских атак XXI века. Злоумышленники проникли во внутреннюю сеть компании. Руководству Sony пришлось отключить доступ к серверам Playstation Network и Qriocity (сервис Sony для воспроизведения медиа) на неделю. Позднее компания официально признала факт внешнего вмешательства и заявила о возможной компрометации персональных данных пользователей этих сервисов (на тот момент 77 млн учетных записей). Огромные финансовые потери понесла не только Sony и ее партнеры, а и другие компании. 

Руководство Sony сообщило, что временное отключение Playstation Network обошлось компании в 171 миллион $. И эта сумма не включает никаких прочих затрат, возникших в результате взлома. 

С того момента уровень защиты информации значительно вырос, однако и сегодня происходят подобные инциденты:

• взлом серверов Bandai Namco;

• CD Project Red;

• EA с похищением исходного кода продуктов этих разработчиков;

• использование уязвимости Microsoft Store внутренним тестировщиком;

• выложенные на форуме чертежи танка “Chalenger 2” британским геймером.

Все эти инциденты информационной безопасности (ИБ) показывают, что утечка возможна даже из крупных IT-компаний или закрытых баз Министерства обороны. Значит ли это, что инвестировать в систему защиты информации бесполезно? Конечно нет, система ИБ позволяет снизить не только финансовые риски, но и репутационные. Но как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании? 

Структура затрат на ИБ

По цели финансирования затраты на ИБ, можно разделить на расходы на соответствие (содержание ИБ) и на несоответствие (затраты, связанные с возникновение инцидента). 

Расходы на соответствие можно разделить на превентивные меры и затраты на контроль. Первая группа включает затрат на предотвращение инцидентов (системы контроля доступа, антивирусный софт, фаервол и так далее), а также минимизацию ущерба (например – шифровка коммерческой информации). Превентивные меры могут включать: рекомендации и правила для сотрудников, покупку антивирусов, фаерволов, патч-менеджмент и другие меры. В эту группу также стоит относить затраты на проведение тестирования на проникновение, а также работы по устранению выявленных уязвимостей в рамках этой процедуры. 

Если Вам показалось, что затраты на информационную безопасность по своей природе схожи с затратами на качество продукции, то Вы абсолютно правы. Важнейшим критерием качества любой информационной системы является ее безопасность. 

Мониторинг соблюдения сотрудниками правил, методик и рекомендаций, отчетов, которые формируются в купленном или разработанном ПО и прочие затраты, связанные с выявлением инцидентов ИБ относятся к расходам на контроль. В крупных компаниях для этого создается отдельное подразделение – SOC (Security Operations Center), сотрудники которого могут использовать:

• SIEM-системы (Security information and event management), которые позволяют в реальном времени агрегировать и анализировать данные от разных источников;

• NTA (Network Traffic Analysis) – системы, которые анализируют сетевой трафик;

• UEBA (User and Entity Behavior Analytics) – система поиска угроз ИБ, основанная на анализе поведения пользователей;

• ETR (Endpoint Detection and Response) – система обнаружения сетевых атак на конечные точки сети;

• SOAR (Security Orchestration, Automation and Response) – система, которая, фактически, является аналогом SIEM, но, также, позволяет настраивать автоматические реакции на инциденты ИБ.

Стоимость работы сотрудников SOC относится к затратам, связанным с ликвидацией последствий инцидента. Нужно отметить, что сотрудник мог работать сверхурочно над выполнением своих обязанностей не связанных с ликвидацией последствий инцидента, но их все равно нужно отнести к затратам на ликвидацию в случае, если специалист вынужден был решать проблемы, возникшие в следствии инцидента ИБ в основное рабочее время. Об этом очень важно помнить, так как неправильная квалификация этих затрат может привести к их ошибочному распределению.

К затратам на несоответствие относятся финансовые потери, связанные с ликвидацией последствий инцидента и ущерб от инцидента (если такой был нанесен). В эту категорию нужно относить все затраты, связанные с любыми работами мотивацией к выполнению которых, послужил инцидент ИБ. Предположим, что сотрудники проводят работы по устранению обнаруженных уязвимостей. Если эти уязвимости были обнаружены вами в процессе проведения тестирования на проникновение, то их следует отнести к превентивным затратам, но, если эта уязвимость была обнаружена в рамках расследования инцидента – это затраты на ликвидацию последствий.

Зачастую объем ущерба очень трудно оценить, но для понимания экономического эффекта затрат на ИБ – это необходимо. Точные цифры ущерба рассчитать не получится, однако, с допустимой погрешностью, можно оценить стоимость простоя компании, потери от оттока клиентов в результате репутационного ущерба, потери от переманивания постоянных клиентов конкурентами (в случае утечки базы контрагентов) и прочее. Стоит учитывать, что эти затраты будут зависеть от вероятности появления события, которое к ним приводит. Поэтому для оценки размера потенциальных потерь можно использовать их ожидаемую величину EC (Expected Cost). Ее величина рассчитывается как произведение суммы затрат, которые понесет компания в случае возникновения инцидента (C), на вероятность возникновения инцидента (P):

EC=C*P,

В таком случае, общие потери от неэффективной работы системы ИБ (TEC) будут равны:

где, k – инцидент ИБ;

n – общее количество инцидентов за рассматриваемый период. 

Главная цель затрат на ИБ – снижение размера общих потерь (TEC). Эффектом от увеличения будет разница между TEC1 и TEC2 при состоянии системы до и после проведения мероприятий, на которые были потрачены средства. Другими словами – эффектом будут предельные затраты на несоответствие. Для расчета эффективности нужно взять их отношение к предельным затратам на соответствие (дополнительные средства в бюджете ИБ).

Чтобы посчитать экономическую пользу от работы службы ИБ нужно из предельных затрат на несоответствие вычесть предельные затраты на соответствие. Проведение дополнительных мероприятий целесообразно в том случае, когда полученное число будет больше или равно нулю.

В небольшом временном промежутке (при условии, что количество пользователей в рассматриваемом интервале будет относительно постоянным), можно говорить о том, что предельная экономическая польза подчиняется закону убывающей предельной полезности. Но в реальной жизни, усиление позиций компании на рынке приводит к увеличению интереса к компании со стороны злоумышленников, что повышает риски для ИБ, а значит, вызывает рост предельной полезности от дополнительных затрат на систему информационной безопасности.

Конечно, ваш SOC или отдел ИБ прямо не увеличивает доход компании (если вы не продаете эти услуги на рынке), но влияние этого отдела на общую прибыль компании велико. Управление ИБ позволяет предотвратить возможное вторжение или, по крайней мере, значительно снижает время его обнаружения. Эффективная система безопасности уменьшает возможное время простоя бизнеса и, что немаловажно, заботится о репутации компании. Все это позволяет оставаться на текущем уровне прибыли, а, в долгосрочной перспективе, выйти на новые высоты.