Как оценить финансовый ущерб от инцидента ИБ

Ведущий специалист по информационной безопасности AKTIV.CONSULTING Сергей Шлёнский рассказал NBJ о том, как оценить ущерб от инцидента информационной безопасности (ИБ) в организации.

Как оценить финансовый ущерб от инцидента ИБ

Как оценить финансовый ущерб от инцидента ИБ

Говоря о текущей ситуации с инцидентами ИБ в Российской Федерации, важно выделить два основных аспекта. Первый — количество инцидентов растет ежегодно. Второй — увеличивается число хорошо подготовленных и целенаправленных атак.

Для успешного управления и минимизации количества потенциальных инцидентов ИБ важно уметь определять недопустимые события для вашей организации. Недопустимыми считаются события (либо их цепочка), происходящие в результате кибератаки и делающие невозможным достижение организационных или стратегических целей компании или приводящие к значительному нарушению ее основной деятельности. К ним можно отнести, например, остановку производства, подмену контента («дефейс»), полную или частичную потерю данных и т. д.

6 мая 2025 г. Минцифры России выпустило методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций.

Цели подсчета ущерба от инцидента ИБ

Переходя к финансовой оценке последствий от инцидента ИБ, важно понимать основные цели для расчета такого ущерба.

Для чего необходимо считать ущерб?

  • Для выполнения регуляторных требований, которым должна соответствовать ваша организация в рамках обязательной финансовой отчетности.
  • Для расчета страхового возмещения (киберстрахование в России набирает все большую популярность).
  • Для оценки затрат на деятельность в области ИБ.
  • Для выплат компенсации клиентам и партнерам.
  • Для сравнения с организациями по отрасли.

Когда недопустимые события становятся реальностью: кейсы из жизни

Рассмотрим несколько кейсов, иллюстрирующих потенциальные последствия для организаций, игнорирующих своевременное определение недопустимых событий. Первый — отечественный, второй — международный.

  1. Атака на трейдинговую систему крупного регионального банка, в результате которой курс рубля в течение 14 минут менялся на биржевых торгах более чем на 15%. На протяжении этого периода волатильности курса колебалась от 55 до 66 рублей за доллар. Финансовые потери банка оценивались от 250 до 500 миллионов рублей. По результатам расследования было доказано, что наиболее вероятной причиной инцидента стало увольнение одного из работников.
  2. Кейсы компании Sony Pictures: регулярная кража сценариев, копий новых фильмов и выпуск их до премьеры, отказ от выпуска фильма «Интервью» из-за угроз от северокорейских хакеров.

Уровни зрелости ИБ

Для предотвращения подобных кейсов в вашей организации необходимо уметь определять её уровень зрелости и повышать его на постоянной основе. Чем выше уровень зрелости организации, тем более детально она может рассчитать финансовый ущерб от инцидентов ИБ и минимизировать его последствия.

Выделяется пять ключевых уровней зрелости:

  • Организация затрудняется оценить ущерб от инцидента (в том числе потенциального).
  • Организация использует количественную интерпретацию качественной оценки (метод светофора).
  • Организация может оценить ущерб количественными методами (в рублях).
  • Организация оценивает риск-аппетит в повседневной операционной деятельности.
  • Организация моделирует сценарии и определяет недопустимые события.

Для повышения уровня зрелости необходимо опираться на накопленный опыт и использовать международную и отечественную правовую базу.

Фреймворки и методологии риск-менеджмента

  • Фреймворк «NIST Risk Management Framework».
  • Стандарт ISO/IEC 27005 (менеджмент риска ИБ).
  • Серия стандартов ISO/IEC31000.
  • ГОСТ Р ИСО/МЭК 31010.
  • ГОСТ Р 57580.3.
  • Методологии (Монте-Карло, FAIR, FRAP, BIA, FMEA, CRAMM).

Методы оценки рисков

Переходя к методам оценки рисков, можно разделить их на два больших класса: количественные и качественные.

Качественные методы — это исследования, которые проводят живые люди: приглашенные специалисты, независимые эксперты, сотрудники самой компании.

Методы количественного анализа делятся на статистические способы и методы прогноза (анализ чувствительности модели, оценка целесообразности затрат).

Метод светофора

Одним из наиболее популярных методов качественной оценки является метод светофора. Это метод (чаще табличный), в котором риски классифицируются по трем уровням, визуально представляемым цветами: красный (высокий риск), желтый (средний риск) и зеленый (низкий риск). По горизонтальной шкале таблицы отражается вероятность реализации возникновения риска, по вертикальной — потенциальный ущерб от него. На пересечении получается цвет (красный, желтый, зеленый) либо число (1-10), которое говорит о том, что нам следует делать с этим риском. Риск можно принять, управлять им или избегать его.

Рекомендации при проведении оценки рисков по методу светофора:

  • перед тем, как качественно оценивать риски методом светофора, согласуйте вашу позицию с топ-менеджерами компании (для единой трактовки получаемых результатов);
  • людям свойственно занижать тот уровень риска, который они оценивают. Учитывайте это при оценке.

Преимущество метода светофора заключается в его универсальности и быстроте оценки большого количества рисков.

Однако, у данного метода есть несколько недостатков (присущие всем качественным методам оценки рисков):

  • зависимость от квалификации экспертов, отсутствие их достаточного количества;
  • зависимость от доверия к экспертам;
  • влияние на мнение экспертов заинтересованных лиц;
  • невозможность провести оценку для редких событий.

Метод Монте-Карло

В отличие от качественного анализа, который опирается на субъективные оценки, количественные методы оценки рисков предоставляют более точные и объективные данные.

Одним из таких методов является метод Монте-Карло, позволяющий смоделировать тысячи экспериментов и получить распределение вероятных ущербов. В основе метода Монте-Карло лежит использование данных случайных событий и получение на их базе более-менее точных результатовvent каких-то других вычислений. Примером вычисления по методу Монте-Карло является построение маршрута в навигаторе.

Недостатки количественных методов оценки рисков:

  • для проведения количественной оценки рисков необходимо иметь достаточный объем данных и знания в области статистики и математического моделирования;
  • для проведения количественной оценки рисков требуется собрать и обработать большой объем данных;
  • количественная оценка рисков не всегда может учесть все факторы, которые влияют на вероятность и последствия риска.

Общий экономический ущерб от инцидента

Переходя к оценке общего экономического ущерба от инцидентов ИБ, важно учитывать прямые и косвенные потери.

Прямые потери — непосредственные затраты на устранение последствий и восстановление повреждений. Косвенные потери — упущенная выгода, снижение темпов производства, затраты на профилактику и предотвращение подобных ситуаций в будущем.

Рис.1. Расчет общего экономического ущерба от инцидента.

Важно помнить, что любой ущерб проще посчитать, если разбить его на составные части (декомпозировать). Чем подробнее ранжирован ущерб (в том числе потенциальный), тем проще оценить затраты на ИБ и уровень инвестиций бизнеса в ИБ.

Риск-аппетит и толерантность к рискам

Некоторые угрозы и определенный ущерб могут быть нормой для вашей компании. Существуют понятия «толерантность к рискам» и «риск-аппетит», и важно их не путать.

Толерантность к рискам — это тот уровень риска, который организация может вынести без серьезного ущерба. Это количественное значение, указывающее на максимально допустимую величину конкретного риска.

Риск-аппетит определяет, какие риски организация готова принимать, чтобы достичь своих бизнес-целей.

Стоит подчеркнуть, что единой формулы расчета ущерба не существует: многое зависит от конкретной организации и ее стратегии управления рисками.

Для упрощения определения риск-аппетита и толерантности к рискам следует использовать методы сценарного анализа, которые являются основными инструментами сценарного планирования.

Рис.2. Сценарный анализ. Общий подход.

Сценарный анализ

Сценарный анализ позволяет определить возможные тактики и техники атаки, а также недостатки и уязвимости конкретных систем. На основании сценарного анализа разрабатываются различные схемы (сценарии) атак и определяются меры по их нейтрализации.

Отметим, что сценарии могут быть представлены в различном виде: блок-схемами (для аналитиков), в табличном формате (для специалистов ИБ и ИТ) и в текстовом формате (для топ-менеджмента).

В Российской Федерации подход к сценарному анализу описан в приложении 14 СТО БР 15-2023.

Выводы: ущерб от инцидентов ИБ может и должен быть определен

Инциденты информационной безопасности — неотъемлемая часть современного цифрового мира. Они могут принимать различные формы и нести разные уровни угроз, начиная от небольших сбоев и заканчивая крупными катастрофами для бизнеса. Эффективное реагирование на такие инциденты требует системного подхода, включающего своевременное выявление угроз, их анализ, устранение и последующее улучшение мер безопасности.

Ущерб от инцидента может и должен рассчитан. Его реальный размер обычно выше первичных оценок. Грамотное управление рисками, декомпозиция ущерба и моделирование сценариев помогут вам существенно минимизировать последствия от инцидентов ИБ, а также не допустить их повторного возникновения.