Как грамотно посчитать ущерб от киберинцидентов для финансового планирования

По данным МВД, в 2023 году ущерб от киберпреступлений в стране составил 156 млрд рублей и впервые превысил объем отечественного ИБ-рынка, который составил 145 млрд руб.

Сбербанк оценивает совокупный урон экономике от кибератак в 2023 и 2024 годах примерно в 1 трлн руб. и фиксирует рост числа атак и утечек данных у граждан и компаний.

По статистике коммерческих центров мониторинга, в России финансовые потери от примерно каждого пятого инцидента могут оказаться более миллиона рублей. Только один крупный SOC, по собственным оценкам, помог предотвратить вред на сумму около 26 млрд. Аналитика по ландшафта киберугроз в РФ и СНГ показывает рост числа атак, смещение акцента в сторону таргетированных кампаний и увеличение доли успешных действий, которые заканчиваются остановкой процессов или утечкой данных.

На этом фоне для собственников и финансовых директоров вопрос звучит очень прагматично. Как именно посчитать ущерб от инцидентов применительно к себе и затем заложить эти цифры в бюджет, инвестиционный план и аргументацию перед советом директоров. Давайте разберем три подхода, которые уже используют зрелые российские предприятия. Первый из них годится как быстрая прикидка, второй позволяет увидеть реальное распределение рисков, а третий делает расчет максимально точным за счет использования ИТ-инструментов класса APM и observability.

Первый метод – усредненная оценка стоимости времени

Самый простой шаг для тех, кто раньше никогда не считал ущерб от ИТ-инцидентов, – это оценить стоимость минуты или часа работы ключевого цифрового канала. Логика понятна любому бухгалтеру: берется выручка за год, делится на количество дней, затем – на часы и минуты. В итоге получается ориентировочная цена одной минуты жизни бизнеса.

Представим интернет-магазин с годовой выручкой 100 млн руб. Делим эту сумму на 365 и получаем среднюю сумму за день. Потом делим на количество рабочих часов – вот стоимость часа. Еще одно деление дает примерную цену минуты простоя. Если в пиковый сезон сайт не работал полчаса, можно быстро прикинуть недополученный доход, затем применить ожидаемую маржу и оценить потери прибыли.

Такой подход удобен как стартовая точка. На его основе легко вести разговор на уровне правления. Можно наглядно показать, что час простоя интернет-витрины или мобильного банка в среднем стоит компании несколько миллионов. После этого темы резервирования инфраструктуры, отказоустойчивой архитектуры, DDoS-защиты и страхования киберрисков автоматически получают приоритет.

Однако здесь есть ограничения, которые важно честно признавать. Во многих отраслях выручка распределена крайне неравномерно. У ритейла и маркетплейсов значимая доля продаж концентрируется в периоды распродаж и специальных акций, например, в черную пятницу и накануне праздников. У банков и телеком-операторов заметные пики загрузки приходятся на дни выплаты зарплат и крупные маркетинговые акции, и именно в эти часы фактический ущерб окажется многократно выше среднего.

Еще один слабый момент усредненного подхода в том, что не вся выручка одинаково зависит от ИТ. В сети офлайн-магазинов существенная часть продаж идет без участия сайта, в промышленности многие контракты заключают заранее, а ИТ-системы лишь сопровождают выполнение. Поэтому нужен аудит, чтобы понять, насколько «цифра» проникла в ваши процессы уже сейчас. В этом случае стоит использовать в расчете не всю годовую выручку, а только ту ее часть, что реально привязана к пострадавшим каналам.

Усредненная оценка почти не учитывает сценарии, когда система не «лежит» полностью, а просто работает нестабильно. В отчетах российских SOC таких случаев много. Пользователи жалуются на медленную работу мобильного приложения, корзина в интернет-магазине иногда не позволяет перейти к оформлению заказа или платеж проходит лишь со второй попытки. Формально сервис доступен, с точки зрения грубой метрики простоя все выглядит сносно, а на деле клиенты бросают попытки, транзакции не совершаются, и деньги уходят конкурентам. В усредненный расчет эти потери не попадают.

Тем не менее как первый уровень зрелости метод полезен. Он дисциплинирует менеджмент, делает риски осязаемыми и позволяет хотя бы в грубом приближении соотнести потенциальный ущерб и план инвестиций в защиту.

Второй метод – интегральная оценка

Более продвинутый и бизнес-ориентированный подход основан на интегральной оценке потерь. Компания уходит от усреднений и описывает, как именно она зарабатывает деньги во времени, по каналам и по типам клиентов. Уже после этого строится связь между конкретными инцидентами и влиянием на финансовый результат.

Если продолжать пример с интернет-магазином, вместо одной средней цифры выручки за час строится профиль доходов. Сначала по месяцам, затем по дням недели, по часам, по отдельным акциям и сегментам клиентов. Быстро выясняется, что по будням днем сумма одна, вечером совсем другая, а отдельные часы в новогодние продажи или в черную пятницу сопоставимы с целой обычной неделей.

Дальше формируются типовые сценарии инцидентов. Например, сайт недоступен два часа вечером в пиковый день, падение конверсии на 20% из-за ошибок при оплате или ухудшение работы мобильного приложения для части регионов. К каждому из них прикладывается уже построенный реальный профиль выручки. Затем подсчитывается, сколько транзакций не состоялось или прошло с пониженной вероятностью, и эти значения переводятся в деньги через средний чек и маржинальность.

Преимущество интегрального подхода в том, что бизнес перестает оперировать абстрактным средним часом простоя и видит конкретные риски. Появляется понимание, какие процессы и сервисы на самом деле критичны. Для одного банка приоритетом станет бесперебойность мобильного приложения в дни выплат пенсий, для другого – сохранность и доступность данных о зарплатных проектах крупных корпоративных клиентов.

Интегральная оценка помогает учитывать и менее очевидные факторы. Вот, например: в 2024 году около 64% всех инцидентов пришлось на объекты критической информационной инфраструктуры. При этом значимая доля атак на промышленность и другие отрасли приходилась на выходные, праздничные дни и ночное время, и именно тогда доля критических инцидентов заметно возрастала. Для интегральной модели это важно. В классическом графике выручки период может считаться нерабочим, а последствия для безопасности, регуляторных проверок и репутации окажутся тяжелыми.

Отличие интегрального подхода в том, что он не ограничивается недополученной выручкой. В модель можно включить больше элементов: прямые расходы на восстановление ИТ, сверхурочные для сотрудников, дополнительные смены в контакт-центре, компенсации клиентам, штрафы от партнеров, возможные санкции регуляторов. Это особенно актуально при ужесточении требований к защите стратегических отраслей и обработки персональных данных. В 2025 году вступила в силу обновленная редакция 187-ФЗ о безопасности КИИ, а еще выросли штрафы за нарушения при обработке и утечке персональных данных вплоть до 20 млн руб. за крупную утечку.

Основной недостаток интегральной оценки в том, что построить ее вручную сложно и дорого. Нужна координация финансовой службы, ИТ, ИБ, продуктовых команд и аналитиков. Однако для крупных российских компаний, которые чаще всего становятся целью таргетированных атак, эти усилия окупаются. Получив реальную карту цифровой зависимости, руководство может планировать бюджеты, страховое покрытие и приоритеты ИТ-проектов уже не вслепую.

Тут возникает вопрос: где взять настолько детальные и надежные данные о поведении пользователей и транзакциях, чтобы оценка опиралась не на догадки, а на факты?

Вспомогательный инструмент: APM как оптимальное решение для оценки ущерба от киберинцидентов

Ответ дают современные инструменты класса Application Performance Management и средства наблюдения за приложениями, которые часто называют observability-платформами. Их задача не просто следить за доступностью серверов, а видеть бизнес-операции сквозь призму действий конкретных пользователей.

В отличие от классического мониторинга, который показывает загрузку процессора и общую доступность сервиса, APM фиксирует каждый ключевой запрос. Нажатие кнопки «Положить в корзину», создание платежа, перевод между счетами, подачу заявки на кредит, оформление страхового полиса. К любому действию можно привязать атрибуты: тип товара, сумму, категорию клиента, канал обслуживания.

Дальше включается та же интегральная логика, но теперь уже на базе телеметрии. Компания выстраивает базовую линию нормального поведения системы. Например, обычно по будням с 10 до 11 утра операция добавления в корзину вызывается в среднем 15 000 раз, а суммарная стоимость товаров за этот час составляет примерно 170 млн. Как только происходит инцидент, APM показывает отклонения: становится заметно, что часть запросов не достигает бэкенда, растет время ответа, выше доля ошибочных транзакций, пользователи преждевременно завершают сессии.

В результате финансовый директор и руководитель по ИБ прямо в ходе инцидента видят не только технические метрики, но и денежные показатели. Можно оперативно оценить, сколько потенциальной выручки уже потеряно, насколько обосновано отключение части функционала ради сохранения базовых операций, когда разумно объявлять партнерам о форс-мажоре. После завершения инцидента APM помогает посчитать фактический ущерб: сколько заказов так и не было оформлено, на какую сумму не прошли платежи, какая доля клиентов столкнулась с ошибками и могла уйти к конкурентам.

Для российского рынка у APM есть еще одно важное преимущество. Такие платформы снижают риски при взаимодействии с регуляторами и партнерами. Компания получает детальную цифровую запись поведения системы и пользователей в момент проблемы, а значит, может качественно все расследовать, подготовить обоснованную позицию для Центробанка, Роскомнадзора, отраслевых надзорных органов или страховых компаний.

Наконец, APM превращает разговор об инвестициях в безопасность и надежность в предметный диалог. На стол совета директоров кладут не абстрактные файлы журналов, а понятный отчет, к примеру, такой: «В октябре из-за сбоя в системе авторизации мы недополучили 20 млн руб. и потратили еще 2 млн на удержание клиентов и обработку жалоб». И тогда решения о модернизации, резервировании и обучении персонала принимаются спокойнее и быстрее.

Практическая траектория внедрения обычно выглядит так: сначала выбирают один ключевой цифровой процесс, например, оформление заказа на сайте или оплату в мобильном приложении. На него настраивают APM и договариваются с финансовой, ИТ- и ИБ-службами, какие события считать потерями и как переводить их в деньги. Затем пилот: несколько реальных инцидентов разбирают с использованием данных телеметрии и интегральной модели. Когда компания видит, насколько точнее и нагляднее стала картина, подход распространяют на другие продукты и каналы.

Сегодня, когда количество кибератак растет, а убытки от них уже сравнимы с оборотами целых отраслей, вопрос их грамотного расчета перестал быть сугубо технической темой. Усредненная оценка стоимости времени бизнеса дает быстрый порядок цифр и помогает запустить разговор. Интегральный подход раскрывает реальное распределение рисков и позволяет планировать бюджет осознанно. APM и observability-платформы делают оценку максимально близкой к реальности, потому что опираются на фактические действия клиентов и точные данные о транзакциях.

Компания, которая осваивает все три уровня, получает реальные конкурентные преимущества. Она не только повышает уровень ИБ, но и управляет ею как любым другим финансовым риском, опираясь на понятные цифры, прозрачную логику и обоснованные решения для собственников и топ-менеджеров.

Статью подготовил Илья Захаров, директор департамента разработки средств мониторинга «Группы Астра», эксперт по продукту Astra Monitoring.