Кибербезопасность — одна из немногих бизнес-функций, успех которой обычно проходит незаметно. Со стороны это может даже выглядеть скучно. Однако изнутри это отражает последовательность, казалось бы, непримечательных процессов и мер контроля, выполняющих то, для чего они были разработаны: предотвращение перерастания технических инцидентов в бизнес-кризисы. Используя избитую аналогию, никто не думает о ремнях безопасности в автомобиле, когда поездка проходит гладко. Но когда они нужны, расчет меняется.
Может показаться странным начинать с этого, но именно эта динамика лежит в основе давней проблемы кибербезопасности: когда система работает, на поверхности почти ничего не меняется. Все в организации выполняют свою работу, и день проходит как обычно. А когда система дает сбой? Это замечают все, хотя бы потому, что разница ощутима, а затраты быстро растут.
Хотя необходимость предотвращения сбоев неоспорима, обосновать затраты на это в сравнении с конкурирующими бизнес-приоритетами не всегда просто. Другие подразделения компании, особенно прибыльные, обычно могут указать на видимые изменения: рост продаж или сокращение времени вывода продукта на рынок. У службы безопасности редко бывает такая роскошь. Вместо этого от нее требуют обосновать свою необходимость на основе ситуаций, которые никогда не должны произойти. В борьбе за бюджет это различие имеет реальное значение.
Если вы считаете, что такие опасения преувеличены, подумайте над следующим: исследование IANS и Artico показало, что «средний годовой рост бюджета на безопасность [в 2025 году] упал до 4% — самого низкого уровня за пять лет и резкого падения по сравнению с 8% в 2024 году». Показательно, что исследование также показало: «число руководителей служб информационной безопасности, столкнувшихся с неизменным или сокращенным бюджетом, превысило число тех, кто наблюдал рост бюджета, что подчеркивает усугубляющуюся проблему обеспечения достаточных ресурсов для кибербезопасности».
Счета не сходятся?
Когда вы задаете вопрос: «Как доказать ценность безопасности, если ничего не пошло не так?», вы пытаетесь оправдать расходы, указывая на бедствия, которые не произошли. Такая постановка вопроса заставляет вас занимать оборонительную позицию, не говоря уже о том, что она игнорирует большую часть повседневной работы службы безопасности и, в конечном итоге, затуманивает ее истинную ценность.
Это также может подпитывать своего рода «уклон выживших» — руководители компании, которая обходилась скромным бюджетом на безопасность, опираются на свой опыт, который говорит им, что их расходы до сих пор были адекватными. Однако несколько лет, в течение которых ваш бизнес оставался в безопасности, мало что говорят о следующем году. Кроме того, безопасность часто связана с тем, что статистики называют «риском толстого хвоста» — это тот вид риска, при котором все идет нормально, пока внезапно не происходит что-то, что может нанести ущерб, угрожающий самому существованию компании. С развитием многих угроз и ужесточением нормативных требований шансы не улучшаются со временем; скорее, они ухудшаются.
Как гласит пословица, «нет правильных ответов на неправильные вопросы», поэтому, возможно, стоит начать сначала, определив, как следует понимать ценность. Оценка того, чего не произошло, также означает, что вы можете говорить только о конечной экономии, а не о росте и возможностях, которые обеспечивают безопасные операции. Способность продолжать безопасно работать в небезопасной среде, где конкуренты не могут этого делать, — это конкурентное преимущество, которое редко измеряется или обсуждается.
Стоит задать следующий вопрос: «Что позволяет нам сделать безопасность, чего мы не смогли бы сделать без нее?» Это следует понимать не в каком-то расплывчатом, абстрактном смысле, а в очень буквальном, операционном ключе. Таким образом, вместо того чтобы доказывать отсутствие негативных последствий, вы демонстрируете позитивную реальность. Действительно, то, что в конечном итоге обеспечивает или меняет безопасность, — это повседневная реальность и будущие перспективы организации.
Теория встречается с реальностью
Реальная ситуация с безопасностью часто сурова, особенно в небольших организациях, которые постоянно испытывают нехватку ресурсов и становятся объектом непропорционально большого числа атак. Поскольку специалистов по безопасности не так легко найти, обеспечение круглосуточного мониторинга собственными силами для них часто недостижимо. Например, мониторинг безопасности может фактически означать, что журналы собираются и оповещения поступают, но ограниченное внимание и ресурсы приводят к задержкам в принятии мер или к их полному отсутствию.
Эти ограничения могут иметь весьма практические последствия. Чем дольше злоумышленник действует незаметно в сети компании, тем дальше и глубже он может проникнуть, похищая ценнейшие данные, находя резервные копии или иным образом выясняя, что нанесет наибольший ущерб.
Отчет IBM «Стоимость утечки данных в 2025 году» не только описывает среднюю стоимость утечки (4,44 млн долларов), но и показывает, насколько конкретные меры безопасности могут сократить эту сумму. Специализированные рамки для оценки рентабельности инвестиций в безопасность и количественной оценки киберрисков действительно существуют, но их разбор — это отдельная тема. Здесь мы сосредоточимся на том, что измерить сложнее.
Именно в этом контексте начинает обретать смысл такая услуга, как управляемое обнаружение и реагирование (MDR). Ее варианты могут несколько различаться, но по сути эта услуга является активной — она сочетает в себе обнаружение, реагирование, исследование угроз и сбор разведывательной информации, а также устранение уязвимостей в рамках непрерывных операций, которые дают даже небольшим организациям тот уровень защиты, который раньше был уделом крупных предприятий. Помимо прочего, это означает, что кто-то всегда находится начеку и может определить, является ли аномальный сигнал безобидным или указывает на вредоносную деятельность.
Этот сдвиг может проявляться в мелочах, но может иметь серьезные последствия. Даже незначительные инциденты, такие как попытка кражи учетных данных, пресекаются на корню, прежде чем они могут перерасти, скажем, в атаку с использованием программ-вымогателей. Кроме того, наличие такого рода защиты все чаще становится тем, чего киберстраховщики ожидают от организаций.
Итог
Узкие аргументы о сокращении затрат упускают из виду то, что делает данная услуга, да и безопасность в целом. Расходы на безопасность могут не привести к заметной и удовлетворительной отдаче. Между тем, нематериальные выгоды являются мощными — и они накапливаются. Безопасность соотносится с основными стратегическими целями и требованиями каждой организации, хотя бы потому, что она способствует бесперебойной работе, доверию клиентов и соблюдению нормативных требований. С этой точки зрения, безопасность — это столь необходимый результат, а не (только) продукт или услуга.
Для тех, кто не играет в краткосрочную игру, инвестиции в безопасность окупаются многократно. Безопасность дает организациям возможность расти, потому что они покупают способность — работать в больших масштабах, выходить на новые рынки и улучшать финансовые результаты. Они покупают пространство для маневра. Для дальновидных организаций это должно быть максимально привлекательным.
Поэтому, когда все в вашей компании могут заниматься своими повседневными делами, стоит спросить, почему. Возможно, это означает, что система безопасности работает — и окупает себя.
