Нужна ли кибербезопасности экономическая прозрачность
В самом начале ограничительных мер в рамках пандемии в одной компании произошла следующая история. Бизнес, аврально переходя из режима развития в режим экономии, объявил подразделениям о пропорциональном уменьшении всех расходов на 15% и в ответ попросил обслуживающие подразделения доложить, что именно изменится от этого. Все подразделения, кроме одного, довольно быстро справились с задачей. Сообщили, в каких сервисах каким образом упадет качество, а какие вовсе окажутся недоступными. Подразделения рассмотрели несколько вариантов и выбрали наиболее щадящий для бизнеса: для большинства подразделений постоянная оценка «сколько нам обходится тот или иной сервис» — это практически ежедневная рутина. И только одно подразделение ответило: «Ничего не изменится». Это была служба кибербезопасности.
Почему так
Случай породил множество шуток от «ну да, строить козни цифровизаторам ничего не стоит» до «может, вам просто не давать денег?». Но не спешите обвинять безопасников в неумении считать стоимость своих услуг. Давайте в тысячный раз попробуем разобраться в отношениях безопасности и бизнеса. Понятно, что если, скажем, автопарку сократить финансирование, что означает меньше людей и горюче-смазочных материалов, хуже качество запчастей и т.п., то довольно легко посчитать, как изменится интервал движения, насколько увеличится очередь из заявок и среднее время выполнения заявки. То есть многие бизнес-процессы просчитываются по довольно простым математическим моделям. К сожалению, это мало применимо к кибербезопасности.
Эффективность безопасности — то, что не произошло
Кибербезопасность — как связь: чем она лучше, тем незаметнее. Если большинство бизнес-процессов измеряется по событиям, которые произошли, то результат деятельности киберзащитников — это не события, которые произошли, а события, которые не произошли. А разницу между двумя несостоявшимися событиями, одно из которых «не могло произойти в принципе», а второе «едва не произошло», бизнесу показать не так просто. Стойки в барах слышали миллионы историй киберзащитников, которые можно выразить одной фразой: «Мы говорим начальству: «Да мы тут могли все погибнуть», — а оно нам: «Но не погибли же». Как поется в некогда популярной песне: «А город подумал, ученья идут…».
Нельзя списывать со счетов и то, что кибербезопасники — специфические люди, выбравшие эту профессию не просто так. Многие из них — выходцы из спецслужб или имеют военное образование, то есть изначально обучены «держать удар». Нет ресурсов? Значит, будем проявлять чудеса героизма, работать сверхурочно, если за кого-то и попросим, то за своих ребят. Отпуск? Что это такое? У нас же в штате некомплект, как я ребят одних оставлю? Поэтому довольно часто сокращение финансирования кибербезопасности действительно какое-то время не вызывает видимых изменений.
Рисковые модели
Конечно, для любящих математику существуют красивые рисковые модели и можно посчитать, показать и обосновать все что угодно. Но бизнес — он весь про принятие риска, и риски кибербезопасности всегда меркнут по сравнению с геополитическими или даже курсовыми рисками.