Многие до сих пор думают, что экономия на безопасности — это разумная оптимизация бюджета. На практике же такой подход напоминает покупку самого дешёвого замка на дверь в криминогенном районе: кажется, что сэкономил, но на самом деле — заранее оплатил будущий взлом.

Уязвимость компаний — серьёзная проблема

Экономить не стоит. Но и бездумно тратить средства на информационную безопасность тоже нельзя. Ведь дело не в бюджетах как таковых. Случай с «Аэрофлотом» подтвердил, что между большими вложениями и реальной устойчивостью к атакам нет прямой корреляции. Необходим системный подход к защите:

• постоянный аудит, а не разовые акции;

• единая платформа мониторинга используемых решений и инфраструктуры;

• культура безопасности на уровне привычек сотрудников.

Зачастую крупный бизнес все меры сводит не к полной защите периметра, а к максимально быстрому обнаружению атак и попыткам их пресечь. Информационная безопасность не должна служить лишь «страховкой от проверок», а должна стать непрерывным процессом, такой подход позволит минимизировать шанс удачной атаки.

Базовый минимум защиты: во что это упирается

Любой бизнес должен выстроить фундаментальный периметр. Его основа — недорогие, но критичные инструменты.

• Охрана помещений/зданий: установка и обслуживание сигнализации. Стоимость: от 10 тыс. р. в месяц.

• Антивирусное ПО. Стоимость: 2 тыс. р./год на одну единицу техники.

Здесь важно обеспечить её актуальность и корректную работу на всех узлах. Оптимальное решение для бизнеса — централизованные сервисы. Например, есть аренда антивируса Dr.Web в облаке. Фактически это готовый антивирусный центр — он легко масштабируется, управлять им просто. А покупать лицензию или обслуживать инфраструктуру не нужно. 

• Обучение сотрудников: регулярные тренировки по выявлению фишинга. Стоимость: от 50 000 р./год (услуги подрядчика для малого бизнеса).

• Резервное копирование. Стоимость: от 60 тыс. р. единоразовых вложений. 1,5 р./ГБ в месяц в облаке.

• Своевременное обновление ПО. Обычно бесплатно в рамках договоров/лицензий.

Годовую стоимость базовой защиты для бизнеса нужно считать индивидуально.

Три ключевые статьи расходов, на которых нельзя экономить

1. Штатный или привлечённый специалист по ИБ. Поручить безопасность системному администратору, чтобы тот занимался «в свободное время», — гарантированно пропустить критичные угрозы. 

2. Резервные копии с обязательным тестированием восстановления. Стоимость: от 10 тыс. р. разовых вложений (нужен внешний (отчуждаемый) жёсткий диск и сейф). При отказе от резервного копирования есть риск потерять все данные/инфраструктуру.

3. Регулярное обучение сотрудников. Отказ от него — самый частый сценарий взлома. Человек — самое уязвимое звено. С помощью социальной инженерии происходит атак не меньше, чем с помощью эксплуатации известных уязвимостей.

Цена ошибки: во что обходится инцидент

Последствия экономии материальны и катастрофичны:

• Стоимость восстановления после атаки сильно зависит от пострадавшей инфраструктуры и может быть в пределах от стоимости дополнительных часов работы специалистов до замены оборудования стоимостью в миллионы рублей.

• Потери от простоя каждый бизнес рассчитывает индивидуально, в общем виде это стоимость часа предоставляемых услуг всем клиентам, умноженная на количество часов простоя, к которой прибавляем расходы на содержание инфраструктуры в это же время. От десятков тысяч до миллионов рублей.

• Штрафы могут быть прописаны в договорах с клиентами. Ещё есть требования законодательства. Например, для юридических лиц: КоАП РФ Статья 13.14. Разглашение информации с ограниченным доступом. Штраф в 100–200 тыс. р. А также КоАП РФ Статья 13.25. Нарушение требований законодательства о хранении документов и информации, содержащейся в информационных системах. Часть 2. Штраф: 200–300 тыс. р.

Вывод: инвестиции в ИБ — это страховой полис для бизнеса. Его стоимость в сотни раз меньше убытка от всего одного инцидента. Сэкономил на безопасности — гарантированно заплатишь в разы больше.