Эксперт Ильин: высокий ROI в ИБ невозможен без зрелых процессов и базовой кибергигиены
изображение: grok
Никита Ильин, руководитель группы тестирования на проникновение Triadix, входящей в состав ATLAS, прокомментировал для CISOCLUB обсуждение эффективности инвестиций в кибербезопасность и оценки ROI для ИБ-проектов. По его словам, сама тема давно назрела для российского рынка, однако на практике многие расчёты сталкиваются с реальными организационными проблемами внутри компаний.
«Тема ROI в информационной безопасности давно назрела, и важно, что её начали активно обсуждать. Как практикующие специалисты в области пентеста, добавим несколько наблюдений из поля», — отметил Никита Ильин.
Эксперт считает, что впечатляющие показатели возврата инвестиций зачастую выглядят менее однозначно при столкновении с человеческим фактором и слабой внутренней организацией процессов безопасности. По его словам, компании нередко закупают дорогостоящие решения, но не получают ожидаемого эффекта из-за проблем в эксплуатации.
«Цифра в 848% выглядит впечатляюще, но на практике такой результат часто разбивается о человеческий фактор. Например, во время аудитов мы регулярно сталкиваемся с ситуациями, когда компании инвестируют в дорогостоящие решения, но не получают отдачи из-за слабых процессов: отсутствия регламентов работы с инцидентами или нехватки специалистов для оперативного анализа алертов», — заявил он.
По словам Никиты Ильина, наиболее устойчивый и предсказуемый эффект для бизнеса до сих пор дают не самые сложные платформы, а базовые меры киберзащиты. Именно отсутствие элементарной кибергигиены, по его мнению, остается причиной большинства успешных атак.
«По нашему опыту, базовые меры безопасности — инвентаризация активов, своевременное обновление систем, сегментация сети, MFA для критичных сервисов — обеспечивает более стабильный ROI, чем внедрение продвинутых решений», — подчеркнул эксперт.
Он отметил, что во время пентестов специалисты годами сталкиваются примерно с одинаковым набором типовых проблем, независимо от масштаба компании. Пока они не устранены, даже самые современные инструменты безопасности не способны решить проблему системно.
«На пентестах мы уже несколько лет наблюдаем одни и те же 5–10 типовых уязвимостей в компаниях любого масштаба. Пока эти проблемы не устранены, даже такие инструменты, как SIEM, будут бороться со следствиями, а не с причинами», — рассказал Никита Ильин.
Эксперт также обратил внимание на ограничения самих методик расчёта ROI. По его словам, усреднённые модели крупных вендоров редко отражают реальные особенности конкретного бизнеса и инфраструктуры.
«Авторы справедливо отмечают, что расчёты основаны на модели вероятного ущерба. Однако усреднённая „типовая крупная российская компания“ из примеров вендоров редко соответствует реалиям конкретного бизнеса — отметил он.
По мнению Никиты Ильина, объективная оценка эффективности ИБ возможна только при наличии собственной статистики по инцидентам, простоям и стоимости восстановления инфраструктуры.
«Реальный ROI можно оценить только на основе внутренней статистики: частоты инцидентов, времени простоя, стоимости восстановления. Такими данными обладают единицы», — заявил эксперт.
Он подчеркнул, что публичные калькуляторы и модели оценки могут использоваться как ориентир, но для управленческих решений их недостаточно без адаптации под конкретную компанию.
«Публичные инструменты вроде калькулятора „Лаборатории Касперского“ полезны как отправная точка, но для презентации финансовому директору требуются калибровки под специфику компании — рассказал Никита Ильин.
По словам эксперта, для малого и среднего бизнеса ситуация выглядит ещё сложнее, поскольку ключевой проблемой остается ограниченность ресурсов и невозможность содержать полноценные центры мониторинга безопасности.
«Для малого и среднего бизнеса ключевая проблема — не выбор между EDR и NDR, а отсутствие бюджета на полноценный SOC или зрелую Threat Intelligence-программу. В этом сегменте ROI считается иначе: через призму возможностей небольшой команды, осознанного принятия рисков и точечного аутсорса», — отметил он.
Никита Ильин считает, что рынку не хватает отдельных исследований эффективности ИБ именно для сегмента МСБ, который сталкивается с атаками не реже крупных компаний.
«Было бы ценно увидеть исследование, учитывающее эти нюансы, — таких компаний на рынке значительно больше, а уровень кибератак против них не ниже», — заключил эксперт.
