Рентабельность инвестиций в информационную безопасность превышает 800%

Они применили собственную методику позволяющую перевести вероятность взлома или утечки в конкретные денежные потери. В отличие от привычных опросов и матриц рисков, новый подход использует вероятностные модели. Теперь, как уверяют авторы, у ИБ-отделов появляется прозрачный инструмент для разговора с инвесткомитетом на языке бюджета.

Портрет уязвимой компании

Для чистоты эксперимента аналитики создали типовой портрет крупного российского предприятия. Это компания с десятью тысячами сотрудников, из которых лишь пятьдесят заняты в информационной безопасности и пятьсот в ИТ. У нее шесть офисов по стране, годовая выручка 100 миллиардов рублей и парк техники из 13 тысяч рабочих станций и тысячи серверов. Такой профиль, дополненный реальным ландшафтом угроз и требованиями регуляторов, лег в основу расчетов.

Семь миллиардов под ударом

Моделировались события высокой критичности, которые происходят на практике постоянно. Речь об утечках коммерческой тайны и персональных данных, а также о нарушении работы инфраструктуры через шифрование, DDoS-атаки или иные векторы. Для среднестатистической крупной компании с числом сотрудников более десяти тысяч общий профиль риска информационной безопасности составил почти 7 миллиардов рублей. Иными словами, столько бизнес может потерять без должной защиты в горизонте года.

Эффективность вложений от 272% до 848%

Возврат инвестиций в киберзащиту для типовой организации оказался весьма ощутимым. На горизонте двух-трех лет средний коэффициент рентабельности инвестиций колеблется от 272% до 848% в зависимости от выбранного набора решений. Абсолютным лидером стали вложения в класс Threat Intelligence*, которые дают отдачу 848%. Ожидаемые годовые потери от инцидентов после внедрения снижаются в среднем от 191 до 952 миллионов рублей.

При этом отдельные классы решений демонстрируют разную эффективность. Защита конечных устройств сокращает потенциальный ущерб почти на 397 миллионов рублей при ROI 656%. SIEM-система дает снижение ущерба на 677,7 миллиона с окупаемостью около 340%. У EDR-решения эти показатели скромнее: 576 миллионов снижения ущерба и ROI 272%. Платформа для защиты от сложных и целевых атак приносит 410,9 миллиона экономии при отдаче 249%. И хотя Threat Intelligence снижает ущерб меньше других (на 191 миллион), именно у него самый высокий процент возврата.

Побочный эффект в виде экономии 

Дополнительным бонусом на трехлетнем горизонте становится экономия на операционных расходах от 21 до 146 миллионов рублей. Она складывается из сокращения числа инцидентов, уменьшения времени их обработки и снижения количества ложных тревог. Автоматизация мониторинга высвобождает ресурсы аналитиков и сокращает простои бизнес-пользователей. То есть инвестиции в ИБ не только предотвращают потери, но и оптимизируют текущие затраты.

Что изменится на российском рынке?

Прогнозировать последствия этого исследования стоит с осторожным оптимизмом. Вероятнее всего, крупные российские компании начнут постепенно отказываться от формальных отчетов с матрицами рисков в пользу подобных количественных моделей, а это создаст новый сегмент в процессах аудита безопасности.

Для «Лаборатории Касперского» и «Технологий Доверия» исследование становится мощным маркетинговым аргументом. Они предлагают рынку язык, который понимают финансисты. Это может ускорить принятие решений о закупках, особенно в условиях жесткой экономии: когда каждый рубль на счету, обоснование отдачи в 848% звучит убедительнее, чем ссылки на «растущий ландшафт угроз».

Однако есть и риски. Модель опирается на усредненный профиль и типовые сценарии. Уникальные бизнес-процессы или экзотические угрозы могут дать иную цифру. Российский рынок, привыкший к экспертным оценкам, может сопротивляться внедрению сложных вероятностных расчетов. Кроме того, реальная эффективность зависит от качества внедрения и человеческого фактора, которые ни одна формула не учитывает.

Тем не менее общий тренд очевиден. Информационная безопасность в России перестает быть технической функцией и становится частью финансового планирования. Компании, которые первыми освоят количественную оценку киберрисков, получат преимущество в диалоге с инвесторами и регуляторами. А те, кто останется при старых матрицах, рискуют либо недофинансировать защиту, либо переплачивать за неэффективные решения. Исследование дает четкий ориентир: вложения в Threat Intelligence* и базовую защиту конечных устройств сейчас выглядят самыми разумными деньгами на рынке кибербезопасности.

* Threat Intelligence (киберразведка или анализ угроз) — это процесс сбора, обработки и анализа данных о текущих и потенциальных киберугрозах.