Многие до сих пор думают, что экономия на безопасности — это разумная оптимизация бюджета. На практике же такой подход напоминает покупку самого дешёвого замка на дверь в криминогенном районе: кажется, что сэкономил, но на самом деле — заранее оплатил будущий взлом.
Уязвимость компаний — серьёзная проблема
Экономить не стоит. Но и бездумно тратить средства на информационную безопасность тоже нельзя. Ведь дело не в бюджетах как таковых. Случай с «Аэрофлотом» подтвердил, что между большими вложениями и реальной устойчивостью к атакам нет прямой корреляции. Необходим системный подход к защите:
-
постоянный аудит, а не разовые акции;
-
единая платформа мониторинга используемых решений и инфраструктуры;
-
культура безопасности на уровне привычек сотрудников.
Зачастую крупный бизнес все меры сводит не к полной защите периметра, а к максимально быстрому обнаружению атак и попыткам их пресечь. Информационная безопасность не должна служить лишь «страховкой от проверок», а должна стать непрерывным процессом, такой подход позволит минимизировать шанс удачной атаки.
Базовый минимум защиты: во что это упирается
Любой бизнес должен выстроить фундаментальный периметр. Его основа — недорогие, но критичные инструменты.
-
Охрана помещений/зданий: установка и обслуживание сигнализации. Стоимость: от 10 тыс. р. в месяц.
-
Антивирусное ПО. Стоимость: 2 тыс. р./год на одну единицу техники.
Здесь важно обеспечить её актуальность и корректную работу на всех узлах. Оптимальное решение для бизнеса — централизованные сервисы. Например, есть аренда антивируса Dr.Web в облаке. Фактически это готовый антивирусный центр — он легко масштабируется, управлять им просто. А покупать лицензию или обслуживать инфраструктуру не нужно.
-
Обучение сотрудников: регулярные тренировки по выявлению фишинга. Стоимость: от 50 000 р./год (услуги подрядчика для малого бизнеса).
-
Резервное копирование. Стоимость: от 60 тыс. р. единоразовых вложений. 1,5 р./ГБ в месяц в облаке.
-
Своевременное обновление ПО. Обычно бесплатно в рамках договоров/лицензий.
Годовую стоимость базовой защиты для бизнеса нужно считать индивидуально.
Три ключевые статьи расходов, на которых нельзя экономить
-
Штатный или привлечённый специалист по ИБ. Поручить безопасность системному администратору, чтобы тот занимался «в свободное время», — гарантированно пропустить критичные угрозы.
-
Резервные копии с обязательным тестированием восстановления. Стоимость: от 10 тыс. р. разовых вложений (нужен внешний (отчуждаемый) жёсткий диск и сейф). При отказе от резервного копирования есть риск потерять все данные/инфраструктуру.
-
Регулярное обучение сотрудников. Отказ от него — самый частый сценарий взлома. Человек — самое уязвимое звено. С помощью социальной инженерии происходит атак не меньше, чем с помощью эксплуатации известных уязвимостей.
Цена ошибки: во что обходится инцидент
Последствия экономии материальны и катастрофичны:
-
Стоимость восстановления после атаки сильно зависит от пострадавшей инфраструктуры и может быть в пределах от стоимости дополнительных часов работы специалистов до замены оборудования стоимостью в миллионы рублей.
-
Потери от простоя каждый бизнес рассчитывает индивидуально, в общем виде это стоимость часа предоставляемых услуг всем клиентам, умноженная на количество часов простоя, к которой прибавляем расходы на содержание инфраструктуры в это же время. От десятков тысяч до миллионов рублей.
-
Штрафы могут быть прописаны в договорах с клиентами. Ещё есть требования законодательства. Например, для юридических лиц: КоАП РФ Статья 13.14. Разглашение информации с ограниченным доступом. Штраф в 100–200 тыс. р. А также КоАП РФ Статья 13.25. Нарушение требований законодательства о хранении документов и информации, содержащейся в информационных системах. Часть 2. Штраф: 200–300 тыс. р.
Вывод: инвестиции в ИБ — это страховой полис для бизнеса. Его стоимость в сотни раз меньше убытка от всего одного инцидента. Сэкономил на безопасности — гарантированно заплатишь в разы больше.
ссылка на оригинал статьи https://habr.com/ru/articles/941542/
Добавить комментарий