Ведущий специалист по информационной безопасности AKTIV.CONSULTING Сергей ШЛЁНСКИЙ рассказал Национальному банковскому журналу (NBJ) о том, как оценить ущерб от инцидента информационной безопасности (ИБ) в организации.

Говоря о текущей ситуации с инцидентами ИБ в Российской Федерации, важно выделить два основных аспекта. Первый – количество инцидентов растёт ежегодно. Второй – увеличивается число хорошо подготовленных и целенаправленных атак.

Для успешного управления и минимизации количества потенциальных инцидентов ИБ важно уметь определять недопустимые для вашей организации события. Недопустимыми считаются события (либо их цепочка), происходящие в результате кибератаки и делающие невозможным достижение организационных или стратегических целей компании или приводящие к значительному нарушению её основной деятельности. К ним можно отнести, например, остановку производства, подмену контента («дефейс»), полную или частичную потерю данных и т.д.

6 мая 2025 г. Минцифры России выпустило методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций.

Цели подсчёта ущерба от инцидента ИБ

Переходя к финансовой оценке последствий от инцидента ИБ, важно понимать основные цели для расчёта такого ущерба.

Для чего необходимо считать ущерб?

·      Для выполнения регуляторных требований, которым должна соответствовать ваша организация в рамках обязательной финансовой отчётности.

·      Для расчёта страхового возмещения (киберстрахование в России набирает всё большую популярность).

·      Для оценки затрат на деятельность в области ИБ.

·      Для выплат компенсации клиентам и партнёрам.

·      Для сравнения с организациями по отрасли.

Когда недопустимые события становятся реальностью: кейсы из жизни

Рассмотрим несколько кейсов, иллюстрирующих потенциальные последствия для организаций, игнорирующих своевременное определение недопустимых событий. Первый – отечественный, второй – международный.

1. Атака на трейдинговую систему крупного регионального банка, в результате которой курс рубля в течение 14 минут менялся на биржевых торгах более чем на 15%. На протяжении этого периода волатильности курса колебалась от 55 до 66 рублей за доллар. Финансовые потери банка оценивались от 250 до 500 миллионов рублей. По результатам расследования было доказано, что наиболее вероятной причиной инцидента стало увольнение одного из работников.

2. Кейсы компании Sony Pictures: регулярная кража сценариев, копий новых фильмов и выпуск их до премьеры, отказ от выпуска фильма «Интервью» из-за угроз от северокорейских хакеров.

Уровни зрелости ИБ

Для предотвращения подобных кейсов в вашей организации необходимо уметь определять её уровень зрелости и повышать его на постоянной основе. Чем выше уровень зрелости организации, тем более детально она может рассчитать финансовый ущерб от инцидентов ИБ и минимизировать его последствия.

Выделяется пять ключевых уровней зрелости:

·      Организация затрудняется оценить ущерб от инцидента (в том числе потенциального).

·      Организация использует количественную интерпретацию качественной оценки (метод светофора).

·      Организация может оценить ущерб количественными методами (в рублях).

·      Организация оценивает риск-аппетит в повседневной операционной деятельности.

·      Организация моделирует сценарии и определяет недопустимые события.

Для повышения уровня зрелости необходимо опираться на накопленный опыт и использовать международную и отечественную правовую базу.

Фреймворки и методологии риск-менеджмента

·      Фреймворк «NIST Risk Management Framework».

·      Стандарт ISO/IEC 27005 (менеджмент риска ИБ).

·      Серия стандартов ISO/IEC31000.

·      ГОСТ Р ИСО/МЭК 31010.

·      ГОСТ Р 57580.3.

·      Методологии (Монте-Карло, FAIR, FRAP, BIA, FMEA, CRAMM).

Методы оценки рисков

Переходя к методам оценки рисков, можно разделить их на два больших класса: количественные и качественные.

Качественные методы – это исследования, которые проводят живые люди: приглашённые специалисты, независимые эксперты, сотрудники самой компании.

Методы количественного анализа делятся на статистические способы и методы прогноза (анализ чувствительности модели, оценка целесообразности затрат).

Метод светофора

Одним из наиболее популярных методов качественной оценки является метод светофора. Это метод (чаще табличный), в котором риски классифицируются по трём уровням, визуально представляемым цветами: красный (высокий риск), жёлтый (средний риск) и зелёный (низкий риск). По горизонтальной шкале таблицы отражается вероятность реализации возникновения риска, по вертикальной – потенциальный ущерб от него. На пересечении получается цвет (красный, жёлтый, зелёный) либо число (1–10), которое говорит о том, что следует делать с этим риском. Риск можно принять, управлять им или избегать его.

Рекомендации при проведении оценки рисков по методу светофора:

·      перед тем, как качественно оценивать риски методом светофора, согласуйте вашу позицию с топ-менеджерами компании (для единой трактовки получаемых результатов);

·      людям свойственно занижать тот уровень риска, который они оценивают. Учитывайте это при оценке.

Преимущество метода светофора заключается в его универсальности и быстроте оценки большого количества рисков.

Однако у данного метода есть несколько недостатков (присущих всем качественным методам оценки рисков):

·      зависимость от квалификации экспертов, отсутствие их достаточного количества;

·      зависимость от доверия к экспертам;

·      влияние на мнение экспертов заинтересованных лиц;

·      невозможность провести оценку для редких событий.

Метод Монте-Карло

В отличие от качественного анализа, который опирается на субъективные оценки, количественные методы оценки рисков предоставляют более точные и объективные данные.

Одним из таких методов является метод Монте-Карло, позволяющий смоделировать тысячи экспериментов и получить распределение вероятных ущербов. В основе метода Монте-Карло лежит использование данных случайных событий и получение на их базе более или менее точных результатов каких-то других вычислений. Примером вычисления по методу Монте-Карло является построение маршрута в навигаторе.

Недостатки количественных методов оценки рисков:

·      для проведения количественной оценки рисков необходимо иметь достаточный объём данных и знания в области статистики и математического моделирования;

·      для проведения количественной оценки рисков требуется собрать и обработать большой объём данных;

·      количественная оценка рисков не всегда может учесть все факторы, которые влияют на вероятность и последствия риска.

Общий экономический ущерб от инцидента

Переходя к оценке общего экономического ущерба от инцидентов ИБ, важно учитывать прямые и косвенные потери (рис.1). 

Рис.1. Расчёт общего экономического ущерба от инцидента

Прямые потери – непосредственные затраты на устранение последствий и восстановление повреждений. Косвенные потери – упущенная выгода, снижение темпов производства, затраты на профилактику и предотвращение подобных ситуаций в будущем.

Важно помнить, что любой ущерб проще посчитать, если разбить его на составные части (декомпозировать). Чем подробнее ранжирован ущерб (в том числе потенциальный), тем проще оценить затраты на ИБ и уровень инвестиций бизнеса в ИБ.

Риск-аппетит и толерантность к рискам

Некоторые угрозы и определённый ущерб могут быть нормой для вашей компании. Существуют понятия «толерантность к рискам» и «риск-аппетит», и важно их не путать.

Толерантность к рискам – это тот уровень риска, который организация может вынести без серьёзного ущерба. Это количественное значение, указывающее на максимально допустимую величину конкретного риска.

Риск-аппетит определяет, какие риски организация готова принимать, чтобы достичь своих бизнес-целей.

Стоит подчеркнуть, что единой формулы расчёта ущерба не существует: многое зависит от конкретной организации и её стратегии управления рисками.

Для упрощения определения риск-аппетита и толерантности к рискам следует использовать методы сценарного анализа, которые являются основными инструментами сценарного планирования.

Сценарный анализ

Сценарный анализ позволяет определить возможные тактики и техники атаки, а также недостатки и уязвимости конкретных систем (рис.2). На основании сценарного анализа разрабатываются различные схемы (сценарии) атак и определяются меры по их нейтрализации.

Рис.2. Сценарный анализ. Общий подход

Отметим, что сценарии могут быть представлены в различном виде: блок-схемами (для аналитиков), в табличном формате (для специалистов ИБ и ИТ) и в текстовом формате (для топ-менеджмента).

В Российской Федерации подход к сценарному анализу описан в приложении 14 СТО БР 15-2023.

Выводы: ущерб от инцидентов ИБ может и должен быть определён

Инциденты информационной безопасности – неотъемлемая часть современного цифрового мира. Они могут принимать различные формы и нести разные уровни угроз, начиная от небольших сбоев и заканчивая крупными катастрофами для бизнеса. Эффективное реагирование на такие инциденты требует системного подхода, включающего своевременное выявление угроз, их анализ, устранение и последующее улучшение мер безопасности.

Ущерб от инцидента может и должен быть рассчитан. Его реальный размер обычно выше первичных оценок. Грамотное управление рисками, декомпозиция ущерба и моделирование сценариев помогут вам существенно минимизировать последствия от инцидентов ИБ, а также не допустить их повторного возникновения.  

Материал также опубликован в печатной версии Национального банковского журнала (июнь 2025)