Новый

Kaspersky IT Security Calculator

Государственные и правительственные учреждения остро нуждаются в масштабной модернизации системы защиты инфраструктуры от киберугроз — к такому выводу пришли практически все аналитические компании еще в 2017-­2018 годах. Цепочку глобальных исследований уязвимостей подстегнула печальная ситуация, возникшая во время эпидемии вируса­-шифровальщика WannaCry: как известно, более других пострадал именно государственный сектор. Атаке подверглись компьютерные сети РЖД, Сбербанка, МВД, Следственного комитета, Минздрава, МЧС и прочих организаций, с различной степенью успешности. В конце года аналитический центр НАФИ огласил невеселые цифры: в среднем сумма убытков в пострадавшей компании составила около 300 000 (299 940) рублей, а в целом по России потери от кибератак оценили в 115 967 204 788 рублей.

Казалось бы, подобная статистика должна вызвать к жизни множественные волнения и осознание того, что в системах защиты от киберугроз наблюдаются серьезные недоработки, возникшие вследствие недооценки возрастающей опасности и совершенствования преступных методов несанкционированного вторжения в сети и системы предприятий. К слову, меньше других пострадали (или вообще успешно отразили атаку) бизнес-структуры, в которых ответственно отнеслись к защите от вторжений — как оказалось, комплексные меры, включающие применение актуальных аппаратных и программных средств вкупе с грамотной подготовкой персонала, блокировали внедрение и распространение компьютерных червей.

Экономить следует с осторожностью

Среди причин, по которым пострадавшие компании оказались совершенно неподготовленными к вторжению, одной из главных назвали недооценку опасности и нежелание нести расходы, связанные с внедрением средств кибербезопасности. Обычно ключевой позицией в таких компаниях становится некорректный подсчет потенциальных затрат и вложений, а в госсекторе, помимо этого, еще и трудности, возникающие в согласовании затрат с вышестоящими и курирующими органами. Впрочем, последних нетрудно понять: они, как правило, нуждаются в веском обосновании запрошенных сумм и потенциальных операционных расходов, которые должны быть выделены из госбюджета и заложены в грядущее финансирование.

Разумеется, глобальная атака несколько изменила ситуацию — сумма ущерба была сопоставлена с прогнозируемыми затратами на модернизацию инфраструктуры. В исследовательской компании International Data Corporation (IDC) уже подсчитали, что наибольшие затраты на информационную безопасность в 2019 году наблюдались в том числе и в правительственных органах, а также в банковской отрасли и дискретном производстве — общие инвестиции этих сегментов превышают $30 млрд. Отмечается, что расходы на информационную безопасность будут возрастать на 11,9% в период с 2018 по 2022 год.

С одной стороны, статистика радующая, поскольку прогресс в рамках принятия мер по защите от киберугроз очевиден. С другой стороны, понятно, что количество адекватно реагирующих на ситуацию организаций из отечественного госсектора все еще относительно невелико — на показатели оказывает сильное влияние международная статистика. Отчего же российские организации не торопятся с улучшением показателей защиты информационной инфраструктуры? Ответ очевиден: слишком долго проводятся оценки и расчеты затрат на ИБ. «Долго» нередко означает «вплоть до того, что настало время пересчитывать вновь, поскольку данные устарели».

Предпосылками к такому состоянию служит отсутствие регламентированной, утвержденной (или хотя бы рекомендованной) методики подобных подсчетов — в каждой компании чаще всего считают по своему усмотрению, в итоге получая или чрезмерно завышенные суммы, или крайне неточные рекомендации по внедрению, срокам и операционным расходам. Разумеется, подобные результаты ни в коей мере не устраивают вышестоящие организации (как минимум из-за непрозрачности итоговых выводов), и документы возвращаются на доработку. По понятным причинам такой бюрократический футбол может длиться годами, в итоге не приведя к правильному решению поставленной задачи.

Калькулятор «Лаборатории Касперского»: и результат, и методика

Понимая ситуацию, в «Лаборатории Касперского» приняли решение разработать и предложить собственный инструмент, упрощающий расчеты затрат на информационную безопасность и позволяющий сформировать конкретное предложение буквально за считанные часы, — Kaspersky IT Security Calculator. Особенность продукта — в его доступности, а также в очень подробной и открытой методике, применяемой для калькуляции. Кроме этого, исходные данные и опорные величины, заложенные в формулы, взяты не с потолка, а получены на основе аналитической информации (в том числе опросов), собранной сотрудниками компании у реальных предприятий, в том числе из госсектора. На веб­сайте достаточно ввести в соответствующие поля регион, количество сотрудников, тип учреждения и бюджет на информационную безопасность, чтобы получить исчерпывающие результаты, оформленные в виде диаграмм, статистических прогнозов и рекомендаций. Примечательно, что при нехватке данных ответственным сотрудникам будет предложено заполнить дополнительные формы и/или связаться со специалистами из «Лаборатории Касперского». Результат работы прост и понятен, при желании большего и не потребуется — воспользовавшись полученным результатом, можно сразу начинать планировать бюджет и определять круг его применения. Но в рамках статьи интерес представляет и то, каким же способом получен ответ, поэтому перейдем к изучению методики, заложенной в основу калькулятора.

Как работает калькулятор «Лаборатории Касперского»

Как уже отмечалось, в основу положены данные ежегодного опроса тысяч сотрудников, которые отвечают за контроль ИТ­-составляющей, а также за принятие бизнес­-решений в соответствующих компаниях. Так, в 2019 году «Лаборатория Касперского» и исследовательская компания B2B International опросили 4474 респондента из компаний с количеством сотрудников до 4999. Были опрошены представители компаний различных размеров и индустрий из 23 стран: США, Канады, Чехии, Франции, Германии, Италии, Нидерландов, Испании, Великобритании, Польши, Швеции, Австралии, Индии, Индонезии, Японии, Вьетнама, Бразилии, Колумбии, Мексики, Саудовской Аравии, Турции, ОАЭ, России. Очевидно, горизонт результатов весьма обширен, и количество участников выглядит впечатляюще: на такой базе ответ должен иметь высокую точность.

Для того чтобы составить более точную оценку ситуации, в калькуляторе «Лаборатории Касперского» страны­участники сгруппированы по категориям. Таким образом, можно выбрать последовательно несколько различных регионов, чтобы отразить наиболее достоверную картину.

Разработчики акцентируют внимание пользователей на том, что, чем больше опрошенных задействованы в расчетах, тем точнее результаты. Утверждается, что статистика, полученная менее чем от 30 респондентов, должна использоваться с осторожностью из-за негарантированной достоверности, а при количестве менее 15 результаты вообще не формируются — вместо этого предлагается расширить географический охват или изменить количественный состав компании.

О чем говорят результаты

Первый пункт — «Бюджет на ИБ» — представляет собой график, демонстрирующий, какой средний годовой бюджет подобные компании закладывают на информационную безопасность, какая доля бюджета из общего количества ИТ­расходов уходит на безопасность и каковы прогнозы по ее изменению в ближайшие три года. Оценка бюджета на информационную безопасность формируется исходя из комбинации ответов на специфические вопросы. Для создания расчетных формул интервалы в вопросах представлены как переменные, в основе которых лежат средние значения (верхняя и нижняя точки для первого и последнего интервалов соответственно). В итоговом результате значение представляет собой усеченное среднее. Точное совпадение не обязательно: достаточно, чтобы бюджет, указанный пользователем калькулятора, не отличался от среднего по индустрии более чем на 5%.

Следующий пункт —«Принятые меры защиты» —также в графической форме показывает, какие технологии и решения имеют высокий приоритет (в процентном соотношении) среди подобных компаний в настоящее время. Расчетный период — один год, он определен как ответ на вопрос: «Укажите для каждого из перечисленных ниже решений по обеспечению информационной безопасности, внедряет ли его ваша организация или планирует внедрить в ближайшие 12 месяцев?»

Для более точного понимания сложившейся ситуации предназначен слайд «Угрозы за последние 12 месяцев». Его описание наиболее точно определяется следующей цитатой: «… графически показывает киберугрозы и атаки, с которыми столкнулись опрошенные компании в течение последних 12 месяцев, а также максимальную стоимость одного такого инцидента для компании. Список угроз для финансовых компаний дополнен теми угрозами, которые актуальны только для этой отрасли. Оба списка содержат сокращенное число угроз по сравнению с тем, которое указали респонденты. Представлены только самые опасные». Весьма удобно для сопоставления потенциальных расходов на поддержку кибербезопасности в актуальном состоянии с потерями в случае инцидента.

И наконец, последний пункт — «Рекомендации» — содержит именно то, что отражено в названии: некоторые советы и подсказки различаются в зависимости от примененных параметров, объемов индустрии или ее весовой части в регионе. Результирующая часть строится исключительно на более чем двадцатилетнем опыте работы «Лаборатории Касперского» с бизнесами различного типа.

Выводы

Разработанный «Лабораторией Касперского» продукт под названием Kaspersky IT Security Calculator способен оказать значительную помощь как в прогнозировании потенциальных затрат (капитальных и операционных), так и в сопоставлении средней стоимости наиболее часто встречающихся инцидентов с расходами на защиту инфраструктуры. В перспективе, воспользовавшись результатами расчетов и описанной методологией, можно сформировать грамотный — емкий и обоснованный документ — на основании которого без труда обозначить требуемый бюджет на информационную безопасность. И конечно же, в случае необходимости оперативно его подкорректировать, таким образом сэкономив время на внедрение.