Эксперт Воронцов: российскому рынку пока не хватает независимой оценки эффективности инвестиций в ИБ

Алексей Воронцов, директор департамента консалтинга Cloud Networks, прокомментировал для CISOCLUB попытки перевести эффективность кибербезопасности на язык ROI и финансовых показателей. По его словам, подобные модели сильно зависят от доверия к тем, кто формирует методику оценки.

«Как верно замечают коллеги, вероятностные модели зависят от уровня доверия к тому, кто формирует методику. Это особенно важно, когда бизнес не наблюдает цифр реального ущерба в своей реальной бухгалтерской отчётности», — отметил Алексей Воронцов.

Эксперт считает, что сложность оценки связана не только с отсутствием инцидентов, но и с тем, что часть последствий кибератак носит косвенный и трудноизмеримый характер. По его словам, компании часто не видят прямого ущерба либо из-за успешной работы ИБ-команд, либо из-за того, что потери оказываются нематериальными.

«Это может быть вследствие работы команды ИБ или в следствие того, что „повезло“ или в следствие того, что ущерб „неявный“, нанесённый таким нематериальным активам, как доверие клиентов, ущерб бренду и так далее», — заявил он.

По словам Алексея Воронцова, до 2022 года российский крупный бизнес во многом опирался на международные методики оценки киберрисков и независимых консультантов мирового уровня. Именно они обеспечивали доверие к подобным моделям со стороны советов директоров и владельцев бизнеса.

«До 22-го года за вероятностными методиками численной оценки рисков стояли „большие“ западные консультанты уровня большой четвёрки, которых российский большой бизнес нанимал за деньги для получения независимого от продавцов конкретных технологий взгляда», — подчеркнул эксперт.

Он отметил, что после ухода международных игроков уровень доверия к подобным оценкам на российском рынке заметно снизился. По его словам, многие современные расчёты воспринимаются скорее как маркетинговый инструмент со стороны вендоров.

«В настоящее время, с уходом подобных глобальных игроков с рынка, доверие к методикам за авторством локальных технологических компаний и вендоров сводится к очередному маркетинговому инструменту для подтверждения инвестиций конкретно в свои продукты», — рассказал Алексей Воронцов.

Эксперт считает, что подобные оценки всё же лучше полного отсутствия инструментов анализа, но пока они не способны кардинально изменить подход руководства крупных компаний к инвестициям в ИБ.

«Лучше, чем ничего, но ничего принципиально нового на уровне совета директоров крупных компаний подобный инструментарий не решит», — заявил он.

По словам Алексея Воронцова, ключевой проблемой рынка остаётся отсутствие действительно независимых консультантов и инструментов количественной оценки киберрисков, не связанных с продажей конкретных решений.

«Реального инструмента от независимых консультантов, не связанных необходимостью „запихнуть“ те или иные продукты в сужающийся рынок, для численной оценки рисков ИБ на рынке РФ так и не появилось», — отметил эксперт.

При этом он подчеркнул, что сами методики продолжают развиваться и новые подходы к оценке киберрисков появляются регулярно.

«Инструментарий как таковой присутствует, новые методики появляются регулярно», — заключил Алексей Воронцов.