CEO и CFO о кибербезопасности: как извлечь выгоду?

Привет, Хабр! Меня зовут Алексей Лукацкий, и вот уже три года я работаю в Positive Technologies в качестве бизнес-консультанта по безопасности и Chief Evangelist Officer. Ранее я более 18 лет провел в CISCO. За свою карьеру я занимал самые разные должности: был программистом, администратором, аудитором, маркетологом, продавцом, консультантом, преподавателем, rCISO, писателем и ИТ-евангелистом. Я автор проекта «Бизнес без опасности», написал пять книг и более 30 курсов по информационной безопасности. В сфере кибербезопасности я уже более 30 лет.

Разное восприятие ИБ

В различных компаниях, и даже в рамках одной организации, к специалистам по безопасности отношение может быть весьма специфичным. Это напомнило мне сцену из мультфильма «Ну, погоди!», где Волк мчится на велосипеде со скоростью более 100 км/ч, но никто его не видит, потому что он стартовал не на стадионе.

С безопасностью происходит нечто подобное. Специалисты по ИБ делают свою работу, зачастую весьма успешно, но результаты их деятельности остаются незамеченными. Поскольку сотрудники кибербезопасности часто еще более интровертны, чем разработчики, их деятельность воспринимается как путь без четкой цели, подобно самурайскому кодексу.

Это приводит к существенным расхождениям в понимании важности безопасности даже на уровне высшего руководства. Хотя безопасность, по сути, ничем не отличается от разработки, получения прибыли или любой другой бизнес-функции, ее восприятие остается искаженным. В результате кибербезопасность редко попадает на уровень принятия стратегических решений (борда).

Многие специалисты по информационной безопасности (CISO) часто подчиняются CIO, CTO, CDTO или CFO. Это означает, что они не участвуют в обсуждении бюджета и ключевых бизнес-вопросов, занимая подчиненное положение. Причина в том, что кибербезопасники не всегда могут четко объяснить свою ценность для бизнеса. А бизнес, в свою очередь, не видит необходимости в ИБ-специалистах, кроме как по формальным причинам («так принято», регуляторные требования или следование трендам).

Почему безопасников не любят?

Реальность такова, что бизнес редко ощущает прямую пользу от кибербезопасности, потому что большинство ИБ-специалистов отвечают на вопрос «ЧТО» нужно сделать. Например, установить межсетевой экран нового поколения, настроить антивирус или внедрить DevSecOps.

Однако, когда специалист поднимается выше по карьерной лестнице, становясь директором по безопасности, он начинает отвечать на вопрос «КАК». Это уже не просто выполнение задач, а поиск оптимальных решений. Например, защита периметра может быть реализована путем инвестирования в CAPEX или путем передачи аутсорсинговым компаниям (операторам связи, интернет-провайдерам, облачным провайдерам) с моделью OpEX.

Это важный аспект, выходящий за рамки компетенций рядового ИБ-специалиста, который часто стремится к "игрушкам" вроде новых "железок", особенно если они фигурируют в отчетах Gartner. Бизнесу же это не интересно. Бизнесу важно, чтобы задачи решались эффективно, а бизнес развивался безопасно.

Но и это еще не все. Успешный бизнесмен, будь то генеральный, финансовый или операционный директор, в первую очередь отвечает на вопрос «ЗАЧЕМ».

Многие, вероятно, слышали об оборотных штрафах за повторные утечки персональных данных и задумывались, стоит ли этим заниматься. Руководитель может столкнуться с дилеммой: заплатить 60 тысяч рублей штрафа или внедрить новую функцию на сайте, которая принесет миллион рублей в месяц. Естественно, руководитель выберет второе. ИБ-специалист, конечно, будет настаивать на борьбе с утечками, апеллируя к важности защиты данных и благим намерениям. Бизнес же более прагматичен: на одной чаше весов — потенциальный штраф в 60 тысяч рублей при множестве «если», а на другой — миллион, который можно заработать прямо сейчас.

Любой бизнесмен скажет: «Я хочу заработать миллион». И это нормально, ведь его задача — генерация прибыли. ИБ-специалист же не фокусируется на заработке. Это и создает огромный разрыв между ожиданиями бизнеса, который воспринимает каждого сотрудника как часть бизнес-функции, и представлениями ИБ-специалистов, которые считают себя «белой костью», незаменимыми для компании. Такое мышление свойственно и уборщику, и инженеру, и, конечно, специалисту по безопасности, внедряющему очередной сертифицированный продукт, который не способствует главной цели бизнеса — зарабатыванию денег.

Принцип «как бы чего не вышло»

Это и есть специфика специалистов по ИБ. В отличие от разработчиков, которые активно двигают бизнес вперед, ИБ-специалисты часто придерживаются принципа «закрутить гайки, чтобы ничего плохого не произошло». Айтишники же руководствуются принципом «давайте открутим гайки, чтобы всем было удобнее». Этот конфликт мировоззрений порождает нелюбовь к безопасности.

Представьте, что вы пытаетесь зайти на сайт, подвергшийся DDoS-атаке. Вместо ввода капчи, которая, к слову, легко обходится современными ИИ, вы ищете пожарный гидрант и пешеходный переход. Ненависть к ИБ начинается с того, что безопасность вешает на вход капчу, снижая конверсию сайта. Каждая секунда простоя или замедления загрузки сайта ведет к снижению CTR на 7%. Соответственно, чем больше защитных механизмов (WAF, капчи, NGFW), тем дольше грузится сайт, тем больше времени уходит на транзакцию, и тем выше вероятность, что пользователь уйдет к конкурентам, которые больше ориентированы на удобство, а не на безопасность.

Таких примеров множество: не только капча, но и секретные вопросы, ответы на которые давно известны или меняются редко. «Девичья фамилия матери» — прекрасный вопрос, но ее знают далеко не все, даже собственные родители, которые с удовольствием указывают эти данные в своих профилях в соцсетях. Повторный ввод пароля после тайм-аута — еще один пример. Безопасность должна заботиться не только о защите, но и о пользовательском опыте (UI). Вместо подсказок к полю ввода пароля, указывающих на требования к сложности или переключение раскладки, пользователю приходится мучиться, вводя пароль по 2-3 раза. Если после нескольких неудачных попыток учетная запись блокируется, пользователю приходится обращаться в службу поддержки, что снижает его лояльность и вызывает раздражение. Итог — уход к конкурентам.

Все это происходит потому, что безопасность не учитывает потребности бизнеса. Недовольство накапливается и доходит до генерального, финансового или операционного директоров. Они начинают оценивать безопасность не по ее реальной пользе, а по тому, как ее воспринимают другие.

Бесконечность — не предел

Возникает еще одна проблема. Если спросить, чего больше в мире: листьев на деревьях, иголок на елке, звезд в нашей галактике или кибератак, то большинство ответит, что звезд. На самом деле, кибератак больше, и их количество бесконечно. Это математически доказанный факт. А эффективно управлять бесконечным количеством чего-либо невозможно. Сегодня мы фиксируем 100 атак, завтра — миллион, послезавтра — триллион. Количество атак не уменьшается. Управление конечным множеством в бесконечном пространстве не имеет смысла, поэтому эту проблему часто откладывают. Безопасники не могут себе этого позволить, ведь за это им платят зарплату. А бизнес перестает обращать на это внимание, поскольку количество зафиксированных атак в отчетах никак не влияет на их реальное число.

Разное управление рисками

Возникает новая проблема. Специалист по безопасности фокусируется на угрозах, а регуляторика ему в этом помогает. В России ежегодно принимается более 200 нормативных актов в области кибербезопасности — это примерно по одному на каждый рабочий день. Эти акты ИБ-специалисты несут руководителям, требуя немедленно вложить миллионы (или миллиарды) в защиту от очередного требования. На вопрос руководителя «Что будет, если мы этого не сделаем?», ИБ-специалист отвечает: «Неважно, главное — выполнить норматив». Бизнес же смотрит на это иначе, что и порождает разницу в восприятии.

С точки зрения ИБ, риск — это лишь теоретическая вероятность потерь. Большинство специалистов по безопасности обучались управлению ИБ-рисками, айтишники — IT-рисками, а бизнесмены — бизнес-рисками. Но для ИБ-специалиста риск — это вероятность потери, а для бизнеса — это не только вероятность потери, но и возможность заработать. Бизнес взвешивает потери и приобретения, тогда как ИБ-специалист видит только потери.

Это создает разрыв, ведь бизнес и топ-менеджеры готовы инвестировать в то, что можно потерять, если видят потенциальную выгоду. Потерять 60 тысяч рублей штрафа и заработать миллион — очевидная выгода. ИБ-специалист же этого миллиона не видит, для него это лишь проблема в 60 тысяч.

Здесь возникает еще одна дилемма. Представьте, что вы идете на встречу с руководителем. Вы хорошо одеты, но при этом говорите о необходимости потратить сотни миллионов рублей на безопасность, а руководитель не понимает ваших проблем. Почему? Потому что вы говорите на разных языках, измеряя всё разными мерками.

Однажды, работая в CISCO, мы представляли проект стоимостью 20 миллионов долларов по кибербезопасности одному из руководителей крупной компании. Он быстро посчитал на калькуляторе и сказал: «Два километра трубы, неинтересно», после чего стал заказывать личный самолет, чтобы послушать оперу в Вене. Это и есть разница в восприятии.

Представьте, что ИБ-специалист заявляет об ущербе в миллион. Для руководителя крупной компании миллион — это незначительная сумма. Человек с Apple Watch за 20 тысяч рублей не может эффективно общаться с тем, у кого на руке Patek Philippe за 20 тысяч евро. Это совершенно разное восприятие рисков, потерь и возможностей.

Еще один разрыв: руководитель понимает, что бизнес может терять, он к этому привык. Вопрос в том, что он заработает на этой потере. Пример: в 2023 году United Health Group столкнулась с шифровальщиком, потеряв 1,6 миллиарда долларов. Это крупнейшая сумма потерь от ИБ-инцидента.

Любой безопасник скажет: «Потери надо считать, разрабатывать планы мероприятий и так далее». Но в финансовом отчете United Health Group есть интересная строка: они посчитали не только потери, но и выгоду. Тысячи врачей не могли получить доступ к системам, компания перестала зарабатывать, налогооблагаемая база уменьшилась, что привело к экономии 400 миллионов долларов на налогах. Итого, при потерях в 1,6 миллиарда, они сэкономили 400 миллионов, получив чистый убыток в 1,2 миллиарда.

Бизнесмен рассматривает проблему со всех сторон, а безопасник — только с точки зрения потерь.

Чего боишься ты?

Приступая к оценке рисков с позиций бизнеса, нужно встать на сторону бизнеса и понять, чего он боится. Все мы люди, и боимся разного. У каждого своя толерантность к рискам. Кто-то занимается паркуром, а кто-то боится велосипеда. Для кого-то тысяча рублей — потеря, а кто-то готов спустить 50 тысяч за вечер в баре. Разные возможности, разные потери, разное отношение к рискам.

Именно с этого начинается путь бизнес-ориентированного безопасника, стремящегося к конструктивному диалогу с руководством.

Важно понимать, что последствия инцидентов могут быть разными, даже в одной и той же компании. Один и тот же инцидент в разных компаниях приведет к разным последствиям. Для кого-то это норма, а для кого-то — катастрофа.

Чтобы определить, что недопустимо с точки зрения бизнеса, нужно вспомнить его основную цель: заработать деньги, увеличить прибыль за счет роста доходов и снижения расходов.

Безопасник должен рассматривать свою деятельность не только как выполнение нормативных требований, но и как способ снижения расходов и увеличения доходов. Если эти показатели существенны, безопасность становится интересна бизнесу. Если же цифры незначительны, интерес к направлению будет остаточным.

Я помню, как на одном мероприятии представители крупной нефтяной компании, чей бюджет на безопасность исчислялся сотнями миллионов долларов, жаловались финансовому директору на недостаточное финансирование. На что тот ответил: «Ребята, вас финансируют не по остаточному принципу, а по тому, что осталось от остаточного принципа». И это все равно были сотни миллионов долларов.

Что волнует топ-менеджмент?

При работе с кибербезопасностью важно учитывать интересы всех ключевых стейкхолдеров: генерального директора, IT-директора, CTO, CMO, HR, юристов. Безопасник должен двигаться навстречу бизнесу, а не наоборот, чтобы избежать конфликтов. Для этого нужно начать мыслить категориями бизнеса.

Возьмем, к примеру, сайт, приносящий доход (интернет-банк, маркетплейс и т.д.). Мы знаем о веб-атаках и DDoS. Регуляторы предлагают 8 лет тюрьмы за DDoS-атаку. Безопасник может радоваться: «Наконец-то нас заметили!». Но бизнесменам не так важно, сколько лет дадут хакеру. Нижняя часть — «я дерусь, потому что дерусь» — никого не интересует.

ИБ-специалисты часто идут по этому пути, занимаясь безопасностью, потому что их так учили. Когда они понимают, что их деятельность не воспринимается, а всем безразлично, сколько лет дадут хакеру, нужно переключиться на то, что интересует бизнес: «Сайт важен для бизнеса». Это уже шаг в правильном направлении.

Далее, ИБ-специалисты могут подсчитать потери от DDoS-атаки, исходя из времени простоя и доходов сайта. Однако эта математика не всегда работает. Пользовательское поведение, сезонность продаж, конкуренция — все это влияет на реальные потери. Если вы единственный продавец легальных iPhone, простой сайта не приведет к мгновенной потере клиентов. Данные о конверсии и спросе, которые обычно отсутствуют у ИБ-специалистов, необходимо получать от коммерческого директора или IT-отдела. Только так можно реально подсчитать ущерб от инцидента.

Когда я запускал свой сайт, я сам столкнулся с этим отношением. Ранее я был типичным безопасником, убеждавшим всех в важности защиты данных. Начав тратить собственные деньги, я стал иначе подходить к рекомендациям, экономя здесь, отказываясь от чего-то там, и понимая, что «если что-то произойдет, то и ладно».

Создание личного сайта — отличный способ понять, готовы ли вы общаться с бизнесом на равных. Оценивая собственные доходы и затраты, вы иначе взглянете на рекомендации, которые даете бизнесу, и начнете взвешивать, на что тратить деньги, а на что нет. В этот момент вы начинаете мыслить как генеральный директор «Газпрома» или «Сбербанка», только в меньшем масштабе.

Как считать потери?

Декомпозиция помогает понять, какие категории потерь стоит обсуждать с бизнесом:

• Продуктивность: интересует операционного директора.
• Реагирование: требует привлечения ресурсов, умноженных на время и стоимость сервисов.
• Замена оборудования или повторный ввод данных: восстановление из резервных копий или ручная работа с бумажными носителями.
• Штрафы: в России они пока невелики, за исключением оборотных штрафов за повторные утечки персональных данных.
• Конкуренты: требует опросов ушедших клиентов, социологии.
• Репутация.
• Прочее.

Главное — понять, на чем компания зарабатывает, и провести декомпозицию.

Четыре простых вопроса

Эти вопросы помогут понять, как компания получает прибыль, и начать двигаться в верном направлении:

1. Что недопустимо для нас и сколько мы потеряем?
2. Сколько нужно заплатить, чтобы этого не произошло?
3. Какие есть альтернативы?
4. Как проверить, что бизнес получает то, за что платит?
5. Как быть уверенным в результате?

Цифровизация и кибербезопасность применимы к каждому из девяти элементов бизнес-модели.

В России компании редко публикуют данные об инцидентах. Исключение — логистическая компания, потерявшая 1-2 миллиарда рублей из-за атаки. Сеть ритейла также пострадала, потеряв 700 миллионов рублей за три дня простоя.

Банкротство

Инциденты могут привести к катастрофическим последствиям, вплоть до банкротства. Каждая компания должна самостоятельно определять, какие события для нее недопустимы.

Наша компания определяет четыре недопустимых события:

• Финансовые потери на Х миллиардов рублей.
• Внедрение вредоносного кода в наши продукты.
• Проникновение в инфраструктуру заказчиков через наш SOC.
• Кража отчетов об оценке защищенности заказчиков.

Оборотные штрафы при повторных утечках

Попасть под оборотные штрафы довольно сложно, так как это требует второй утечки. Сегодня компаний с повторными утечками немного. Поэтому оборотные штрафы — не самая страшная история.

ИБ — одна, а взгляды на нее — разные

Безопасность — это борьба с потерями. Но она также позволяет и зарабатывать, если компания продает безопасность как услугу. Для обычного подразделения ИБ вклад может быть не основным, но он есть. Главное — уметь его считать и менять свое отношение к цели безопасности.

Цель безопасности — достижение целей бизнеса, которому она служит. Безопасник должен быть готов ответить на пять ключевых вопросов:

1. Что недопустимо для нас и сколько мы потеряем?
2. Сколько нужно заплатить, чтобы этого не произошло?
3. Какие есть альтернативы?
4. Как проверить, что бизнес получает то, за что платит?
5. Как быть уверенным в результате?

Хотите своевременно узнавать самые актуальные темы из мира информационной безопасности? Приходите на новый сезон HighLoad++ — обсудим техническое лидерство!

Теги:

ceo, cxo, cto, ciso, c-level, управление рисками, топ-менеджмент, rb, кибербезопасность, информационная безопасность

Краткий пересказ:

Статья рассматривает разницу в восприятии кибербезопасности бизнесом и специалистами по ИБ, подчеркивая важность для последних говорить на языке бизнеса — финансовых показателях и стратегических целях. Обсуждаются причины недоверия к ИБ, такие как ориентация на "что" вместо "зачем", и предлагается подход к оценке рисков через призму бизнес-ценности. Подчеркивается, что безопасность должна не только предотвращать потери, но и способствовать росту доходов, принося ощутимую пользу компании.