Эксперт Колесников: ROI в кибербезопасности зависит не только от технологий, но и от методики расчёта
изображение: recraft
Сергей Колесников, директор продуктового портфеля и сервисов CICADA8, прокомментировал для CISOCLUB попытки оценивать эффективность вложений в кибербезопасность через финансовые показатели и ROI. По его словам, сам подход к подобным расчётам является абсолютно логичным, однако конкретные цифры всегда сильно зависят от используемой методологии.
«Идея считать кибербезопасность через экономический эффект абсолютно правильная. Зарубежные данные это подтверждают: Forrester TEI по EASM, SIEM, EDR, threat intelligence, third-party risk’ов регулярно показывает ROI в диапазоне примерно 200–400% за три года», — отметил Сергей Колесников.
Эксперт считает, что при анализе подобных исследований необходимо учитывать особенности расчётов и допущений, заложенных в модели оценки рисков и ущерба. По его словам, высокие показатели возврата инвестиций не стоит воспринимать как универсальный ориентир для любого бизнеса.
«Конкретные значения всегда зависят от методологии: как считали вероятность инцидента, какой ущерб закладывали в модель, учитывали ли пересечение эффектов между разными классами решений и полностью ли посчитали стоимость внедрения и эксплуатации. Поэтому 848% я бы воспринимал не как универсальный ориентир, а как оптимистичный верхний сценарий модельного расчета», — заявил он.
По словам Сергея Колесникова, для крупных компаний эффект от инвестиций в кибербезопасность действительно способен быть очень заметным. Один предотвращённый серьёзный инцидент или сокращение времени простоя может компенсировать многолетние расходы на защиту инфраструктуры.
«Для крупного бизнеса эффект действительно может быть существенным: один предотвращенный инцидент, сокращение простоя или ускоренное устранение критичной уязвимости способны окупить несколько лет инвестиций в защиту», — подчеркнул эксперт.
Он отметил, что особенно высокий ROI часто показывает киберразведка, поскольку позволяет заранее фиксировать признаки угроз и реагировать до начала атаки. При этом, по мнению Сергея Колесникова, компаниям важно смотреть на проблему значительно шире и контролировать не только внешние сигналы угроз, но и собственную инфраструктуру.
«Threat intelligence может показывать высокий ROI, потому что помогает раньше увидеть внешние сигналы угрозы. Но смотреть нужно шире: кроме киберразведки, важно постоянно контролировать внешнюю и внутреннюю инфраструктуру, потому что именно через забытые активы, открытые сервисы, ошибки конфигурации и неустраненные уязвимости чаще всего реализуются киберриски», — рассказал он.
Эксперт также обратил внимание на растущие риски, связанные с использованием открытого программного обеспечения и зависимостью бизнеса от внешних подрядчиков и сервисов. По его словам, современные атаки всё чаще реализуются через цепочки поставок и сторонние компоненты.
«Отдельный тренд — уязвимости открытого ПО и риски подрядчиков. Современная инфраструктура все чаще зависит от внешних компонентов, библиотек, контейнеров, SaaS-сервисов и партнерских подключений, поэтому точка атаки может находиться не только внутри компании, но и в ее цепочке поставки», — отметил Сергей Колесников.
Он подчеркнул, что отсутствие контроля над подрядчиками и внешними зависимостями может привести к инцидентам даже в тех случаях, когда сама компания считает собственный периметр хорошо защищённым.
«Если не контролировать зависимости и киберзрелость подрядчиков, организация может получить инцидент через компонент или партнера, которого формально не считает частью своего периметра», — заключил эксперт.
