15 подписчиков

Киберриски и бизнес: как информационная безопасность перестаёт быть только частью ИТ

9 апреля 20259 апр 2025

4 мин

Долгое время информационная безопасность (ИБ) воспринималась исключительно как задача ИТ-департамента. Это были люди, «которые ставят антивирус», «настраивают файрволы» и мешают сотрудникам открывать подозрительные письма. Но мир изменился. В 2025 году кибербезопасность стала вопросом выживания бизнеса. Это уже не просто технарская зона ответственности — это стратегическая функция, напрямую влияющая на репутацию, финансы и устойчивость компаний. Разберёмся, почему и как ИБ выходит за рамки ИТ, какие вызовы стоят перед бизнесом, и что нужно делать, чтобы выстроить по-настоящему зрелую систему управления киберрисками. Согласно последним отчётам (например, IBM X-Force или Verizon DBIR), количество целевых атак на бизнес выросло на 30–50% по сравнению с 2023 годом. Атаки становятся сложнее, долговременнее и дороже. Злоумышленники используют продвинутые инструменты: ИИ, фишинг на основе поведенческой аналитики, атаки через цепочки поставок. Средняя стоимость инцидента в 2025 году превыша

Оглавление

Введение
1. Почему кибербезопасность — больше не только про технологии
1.1 Рост киберугроз

Введение

Разберёмся, почему и как ИБ выходит за рамки ИТ, какие вызовы стоят перед бизнесом, и что нужно делать, чтобы выстроить по-настоящему зрелую систему управления киберрисками.

1. Почему кибербезопасность — больше не только про технологии

1.1 Рост киберугроз

Согласно последним отчётам (например, IBM X-Force или Verizon DBIR), количество целевых атак на бизнес выросло на 30–50% по сравнению с 2023 годом. Атаки становятся сложнее, долговременнее и дороже. Злоумышленники используют продвинутые инструменты: ИИ, фишинг на основе поведенческой аналитики, атаки через цепочки поставок.

1.2 Финансовые потери

Средняя стоимость инцидента в 2025 году превышает $4.5 млн. Ущерб складывается не только из затрат на восстановление, но и из репутационных потерь, штрафов регуляторов, оттока клиентов.

1.3 Репутация и доверие

Инцидент с утечкой персональных данных — это не просто неприятность. Это прямой удар по доверию. Потребители всё чаще делают выбор в пользу тех брендов, которые публично демонстрируют зрелый подход к безопасности.

1.4 Новый регуляторный ландшафт

GDPR, DORA, NIS2, и в России — проект КИИ 2.0, изменения в 187-ФЗ и жёсткие требования Роскомнадзора. Бизнес теперь несёт не только моральную, но и юридическую ответственность за ИБ.

2. Как меняется роль ИБ в бизнесе

2.1 CISO становится бизнес-ролью

Всё чаще директора по информационной безопасности (CISO) входят в правление или напрямую подчиняются CEO. Их KPI связаны с бизнес-рисками, а не только с техническими метриками.

2.2 Интеграция ИБ в стратегию

Информационная безопасность становится частью стратегического планирования. Например, при выходе на новый рынок оцениваются не только бизнес-риски, но и киберугрозы: зрелость ИБ в регионе, законодательство, уровень угроз со стороны конкурентов или хакерских группировок.

2.3 ИБ как часть корпоративной культуры

Безопасность больше не ограничивается техническими решениями. Она про обучение, вовлечённость и осознанность сотрудников. Люди — первая линия защиты, и бизнес начинает инвестировать в культуру безопасности.

3. Киберриски как часть Enterprise Risk Management (ERM)

3.1 Отдельная функция киберрисков

Всё больше компаний создают выделенные команды по управлению киберрисками, которые работают в связке с классическими risk-менеджерами, юристами и комплаенс-офицерами.

3.2 Метрики и риск-оценка

Оценка киберрисков требует новых метрик: вероятности атаки, времени на восстановление (MTTR), потенциальных потерь в случае реализации угрозы. Эти метрики переводятся в язык бизнеса: деньги, время простоя, потерянные клиенты.

3.3 Инструменты и автоматизация

Появляются платформы класса GRC (Governance, Risk and Compliance), которые интегрируют ИБ в общую картину управления рисками компании. Это позволяет управлять киберрисками на уровне совета директоров.

4. Практические кейсы и примеры

4.1 Финансовый сектор

Крупный банк внедрил автоматическую оценку риска по каждому бизнес-продукту. Перед запуском новой функции в мобильном приложении ИБ-офицеры моделируют потенциальные угрозы и оценивают, как атака повлияет на клиентский путь и выручку.

4.2 Ритейл

Сетевой ритейлер внедрил регулярные тренировки по киберучениям для топ-менеджмента. Это позволило быстрее реагировать на инциденты, избегать штрафов и сохранять лояльность клиентов.

4.3 Промышленность

Предприятие КИИ внедрило систему оценки рисков ИБ для своих технологических процессов. Результат — снижение инцидентов на 40% и снижение затрат на устранение последствий на 25%.

5. Что делать бизнесу уже сейчас

Вовлечь топ-менеджмент. Без поддержки «сверху» зрелой ИБ не будет. CISO должен быть услышан.
Внедрить управление рисками. Кибербезопасность — это не про 100% защиту, а про управление последствиями и вероятностями.
Автоматизировать процессы. Используйте современные решения: SIEM, SOAR, GRC-платформы.
Развивать культуру безопасности. Постоянное обучение, фишинг-тесты, прозрачная коммуникация.
Готовиться к кризисам. Регулярно проводить учения, проверять планы реагирования.

Заключение

Кибербезопасность перестаёт быть «делом айтишников». В 2025 году это — бизнес-функция, управляемая на уровне совета директоров, встроенная в стратегии развития, ориентированная на минимизацию потерь и защиту репутации. Те компании, которые это осознают и действуют, получают конкурентное преимущество. Остальные — рискуют стать следующими заголовками новостей о масштабных утечках и миллионах долларов убытков.

ИБ — это не только технология. Это — бизнес.

Если вам понравилась статья, не забудьте подписаться на канал! Мы регулярно публикуем материалы, которые помогают вам разобраться в самых актуальных вопросах кибербезопасности. 🚀