Управление киберрисками: как считать угрозы в рублях и строить зрелые процессы

Регулирующие органы требуют от бизнеса перейти к количественным оценкам потерь от киберинцидентов. Теперь недостаточно перечислить возможные угрозы и заявить о наличии технических средств защиты. Компаниям необходимо рассчитывать конкретную сумму потенциального ущерба, выраженную в рублях. Это могут быть прямые финансовые потери, затраты на восстановление или репутационные издержки. Невыполнение требований грозит не только штрафами, но и приостановкой деятельности. Как же обосновать для бизнеса затраты на кибербезопасность?

Автор: Тимофей Поляков, руководитель направления BI.ZONE Consulting

Согласно данным BI.ZONE Consulting, 60% российских компаний не могут точно оценить потенциальный ущерб от киберинцидентов.

Это создает порочный круг:

1. Технические специалисты не могут обосновать необходимость инвестиций в безопасность.
2. Руководство не понимает реальный масштаб угроз.
3. Решения принимаются на основе интуиции, а не данных.
4. Ресурсы распределяются неэффективно.

В результате компании недостаточно инвестируют в кибербезопасность либо тратятся на решения, которые не покрывают реальные риски.

Ущерб-ориентированный подход: диалог между кибербезопасностью и бизнесом

Ущерб-ориентированный подход фокусируется не на технических аспектах, а на бизнес-последствиях. Он позволяет оценить финансовый ущерб, с которым компания столкнется при киберинциденте, последующим за ним сбоем информационных систем, утечках информации и т. д.

В основе ущерб-ориентированного подхода – анализ воздействия на бизнес (Business Impact Analysis, BIA) и количественная оценка киберрисков (Cyber Risk Quantification, CRQ). С помощью BIA измеряется потенциальный ущерб от сбоев, а с помощью CRQ – финансовая величина рисков.

Применяя ущерб-ориентированный подход, команда специалистов выясняет:

1. Какой киберриск остановит производство, продажи или обслуживание клиентов? Какие бизнес-процессы приносят основную выручку?
2. Каковы прямые потери от приостановки операций? Сколько составят штрафы и пени по контрактам? Каким будет репутационный ущерб (отток клиентов, падение акций)?
3. Какие IT-активы поддерживают критические процессы и требуют наибольшего внимания в плане защиты? Какие сбои в этих процессах максимально опасны?

Ответы позволят выбрать меры защиты, разработать план аварийного восстановления и сформировать бюджет на обеспечение кибербезопасности.

Система вместо отчета

Ключевая задача при управлении рисками – выстроить непрерывный и интегрированный процесс. Регуляторы ожидают не просто разового отчета, а доказательств того, что управление рисками – работающая часть системы корпоративного управления. Это означает:

• синхронизацию циклов оценки киберрисков с циклами управления операционными и стратегическими рисками компании;
• наличие понятных KPI и метрик, которые демонстрируют эффективность мер защиты и снижение уровня риска;
• интеграцию данных из разрозненных источников (активы, уязвимости, инциденты) для формирования единой картины угроз.

Такой подход превращает функцию кибербезопасности в стратегическую, что напрямую влияет на устойчивость и инвестиционную привлекательность бизнеса.

Отсутствие целостной картины

На практике CISO и риск-менеджеры часто сталкиваются с тем, что разрозненной информации много, а целостной картины для принятия решений нет. Есть три основные причины, по которым возникает такая ситуация:

1. Информационные разрывы. Реестр активов – в устаревшей CMDB (база данных управления конфигурацией), уязвимости – в отчете сканера, инциденты – в тикетной системе, а требования регуляторов – в папке на общем диске. Невозможно быстро и точно оценить, как новая уязвимость влияет на выполнение требований и какие бизнес-процессы окажутся под ударом.

2. Операционная неэффективность. Любое изменение в ИТ-инфраструктуре требует ручного пересчета десятков риск-сценариев чаще всего в Excel. Подготовка отчета превращается в многодневный марафон по сбору и консолидации данных.

3. Тактическая разобщенность. Команда по управлению рисками не видит данных аудита, а у специалистов по непрерывности бизнеса нет актуальной информации о критических рисках. Ресурсы компании тратятся на дублирующие или даже противоречащие друг другу мероприятия.

В итоге CISO не может ответить на простые вопросы топ-менеджеров, например "Насколько мы стали безопаснее за последний квартал?" или "В какие средства защиты информации инвестировать в первую очередь и какой будет финансовый эффект от этого?".

Управление рисками как часть ДНК компании

Циклы и параметры управления рисками

Рассмотрим трехлетний цикл управления рисками. Сначала специалисты по риск-менеджменту задают параметры, среди них риск-аппетит, шкала критичности ущерба, цели управления рисками. В начале цикла выявляют высокоуровневые (стратегические) риски кибербезопасности. Затем каждый год:

• выявляют и переоценивают актуальные сценарии реализации стратегических рисков;
• проводят работу с контрмерами, чтобы последовательно снизить уровень рисков по актуальным сценариям.

В конце цикла проводят оценку достижения целей и корректировку параметров управления циклом.

Риск-аппетит

Его утверждает руководство организации. Риск-аппетит задают в виде лимитов ущерба или целевого уровня негативных последствий, используя шкалу критичности ущерба. В соответствии с риск-аппетитом определяют допустимый уровень остаточного риска кибербезопасности.

Шкала критичности ущерба

Ее разрабатывают перед началом работы со стратегическими рисками. Ущерб классифицируют по нескольким типам: финансовый, репутационный и т. д. У каждого типа есть шкала, которая определяет уровень значимости ущерба. При выявлении стратегических рисков указывают тип и уровень потенциального ущерба.

Цели управления рисками

Формулируют ожидаемые в среднесрочной перспективе результаты по снижению или удержанию негативных последствий в пределах установленного риск-аппетита. Это позволяет организации оставаться в рамках допустимых уровней ущерба.

Идентификация и анализ рисков

Стратегические риски

На начальном этапе выявляют стратегические риски, возникающие в основных бизнес-процессах. По основным бизнес-процессам проводят BIA и выявляют негативные последствия, которые могут реализоваться в бизнес-процессах. Эти последствия связывают с группами угроз, которые актуальны для организации.

Таким образом, получается связка «бизнес-процесс – последствие – группа угроз», что и представляет собой стратегический риск.

Карта актуальных угроз

Ее строят для каждого актива по алгоритму, используя следующие сведения:

• Полный перечень угроз из таблицы А.10 в приложении А стандарта ISO/IEC 27005:2022 (может быть использован другой перечень – NIST, ФСТЭК России и т. д.).
• Актуальная модель угроз и нарушителей (если есть).
• Определенный по выбранной методологии тип актива.
• Перечень характерных признаков и технологических характеристик актива.

Выявление уязвимостей

Чтобы определить перечень возможных уязвимостей, нужно отнести IT-актив к одному из предопределенных в методологии типов. Это можно сделать, используя типизированные перечни применимых уязвимостей на основе рекомендаций из стандарта.

Моделирование методом сценарного анализа

Рассматриваются комбинации четырех основных факторов риска: актив, угроза, уязвимость, нарушитель. Каждый из них может содержать диапазон возможных значений – от нескольких единиц (в основном 3–6) до нескольких десятков (как правило, 15–20, в некоторых случаях до 50). Алгоритм обеспечивает систематизированную проверку всех возможных путей реализации риска, но требует формировать, анализировать и оценивать огромное количество отдельных сценариев.

Лучше использовать инструменты, которые позволяют автоматизированно выполнять последовательность операций анализа.

Оценка вероятности, последствий и уровня рисков

Оценка вероятности рисков

Вероятность риска специалисты оценивают по следующим составляющим:

• Вероятность реализации угрозы – оценивают меры защиты от угрозы для ИТ-актива.
• Вероятность возникновения угрозы – определяют с учетом оценки потенциала нарушителя.

Определение последствий рисков

Последствия определяют на этапе идентификации стратегических рисков.

Как это работает на практике

Интеграция

Представьте, что ваша компания сталкивается с постоянными DDoS-атаками. Технические специалисты видят в этом только проблему доступности сервисов. Но благодаря интеграции с системой операционных рисков угроза получает новое измерение.

Когда вы начинаете анализировать DDoS-атаку не как технический инцидент, а как бизнес-риск, появляются реальные цифры:

• 2 млн руб. стоит каждая минута простоя из-за остановленных сделок.
• 15% клиентов уходят из-за утраты доверия к сервису.
• В 5 млн руб. штрафа обходится нарушение SLA с ключевыми партнерами.

Из технической плоскости проблема переводится на уровень стратегических решений руководства.

Надежность

Возьмем производственное предприятие, на котором внедрили управление непрерывностью бизнеса.

Когда происходит реальный кризис – кибератака или повреждение инфраструктуры, компания не останавливается:

• Критические процессы продолжают работать на резервных мощностях.
• Данные не теряются благодаря продуманной схеме резервирования.
• Персонал знает, как действовать по отработанным сценариям.

Вместо многомиллионных убытков от простоя компания сталкивается с незначительными временными затратами на переключение между режимами работы.

Система управления

Представьте крупную ИТ-компанию, в которой управление рисками стало не отдельной функцией, а естественной частью каждого стратегического решения.

Как это выглядит на практике:

• При запуске нового продукта автоматически оцениваются киберриски.
• Инвестиции в ИТ-инфраструктуру согласуются с риск-аппетитом компании.
• Показатели киберустойчивости становятся частью KPI топ-менеджеров.

Безопасность перестает быть только статьей расходов и становится конкурентным преимуществом.

Полнота и целостность

Рассмотрим на примере крупного инфраструктурного проекта, в котором необходимо учесть сотни факторов риска.

Необходимо:

• выявить не только очевидные технические угрозы;
• учесть репутационные, регуляторные и операционные риски;
• спрогнозировать каскадный эффект, когда одна проблема провоцирует другие.

Для анализа последствий рисков можно использовать так называемый PESDTREL-анализ, который позволяет оценивать полный спектр последствий киберинцидентов:

• Political – политические последствия.
• Economic – экономические последствия.
• Social – социальные последствия.
• Defence – оборонные последствия.
• Technological – технологические и операционные сбои.
• Reputation – репутационные последствия.
• Environmental – экологические последствия.
• Legal – правовые последствия.

PESDTREL-анализ позволяет действовать на опережение. В результате организация получает не просто список рисков, а систему взаимосвязанных сценариев с понятными механизмами управления.

Заключение

Управление киберрисками перестает быть просто статьей расходов, когда начинает измеряться в тех же показателях, что и весь бизнес. Ущерб-ориентированный подход – механизм, который совершает эту трансформацию. Когда технические специалисты начинают говорить с бизнесом на языке финансовых последствий, а руководители видят реальную стоимость киберугроз, происходит фундаментальный сдвиг. Кибербезопасность перестает быть обособленной технической функцией и становится измеримым инструментом защиты прибыли, инвестицией в устойчивость бизнеса.

Управление рисками не разовая акция. Это непрерывный цикл, который делает работу CISO прозрачной, измеримой и стратегически значимой. Способность экономически обосновать инвестиции в кибербезопасность и объяснить руководству влияние киберрисков на бизнес процессы переводит CISO на новый уровень влияния в компании.