Миллионы на ИБ: как обосновать бюджет на кибербез и не уволиться

Инвестиции в кибербезопасность ежегодно растут. Например, аналитики Gartner прогнозировали, что в 2025 году компании потратят на ИБ на 10% больше, чем годом ранее. Далее, к 2026 году, предполагается, что эти траты возрастут еще на 12,5%, составив $240 млрд. В свою очередь, ЦСР считает, что объем российского рынка кибербезопасности в 2026 году достигнет 458 млрд руб., а в 2027 — уже 715 млрд руб. Несмотря на такие прогнозы, обоснование трат на кибербезопасность остается сложной задачей. ИБ-функция работает на предупреждение скрытых и часто недооцененных рисков, которые сложно оцифровать и показать в виде прямой прибыли. Чтобы получить бюджет, CISO должен говорить с бизнесом на одном языке: переводить возможные атаки в конкретные финансовые последствия, демонстрировать TCO и ROI, использовать реальные примеры атак и результаты тестов, а также показывать, какие меры защиты позволяют избежать простоев, утечек, штрафов и репутационного ущерба.

Как оценить инвестиции?

Самый простой способ обосновать любую инвестицию — это рассчитать, какую прямую прибыль она принесет бизнесу. Но с кибербезопасностью все сложнее: здесь нет прямой формулы «вложили X → заработали Y». И для CEO обоснование часто звучит как «что-то дорогое и непонятное».

Но у опытного CISO в запасе есть несколько подходов к оценке этих затрат. Первый — это просчитать потенциальный финансовый ущерб от инцидента и сопоставить его с инвестициями в защиту. Например, средний интернет-магазин может терять около 500 тысяч рублей в сутки из-за неработающего сайта. В период праздников и распродаж эту цифру можно смело умножать на 10. Также, если произошла утечка персональных данных, сюда добавляются еще и штрафы, которые сейчас достигают 500 миллионов рублей. Если же атакующим все-таки удалось получить доступ к веб-серверу или базам данных и развить атаку дальше по сети компании, добавляется стоимость локализации инцидента и восстановления системы.

Но это теория! Убрать эффект «абстрактности» угрозы помогут реальные кейсы успешных атак и статистика инцидентов. И здесь на помощь придет ИБ-вендор, который, естественно, также заинтересован в продаже своего решения. Именно вендор, как эксперт в кибербезе, хорошо понимает, от каких угроз и как именно защищает его решение, знает ИБ-ландшафт, понимает, какие атаки наиболее вероятны и дорогостоящи. Он может организовать референс-визиты к текущим заказчикам, составить аналитику атак, рассказать о наиболее подходящих и эффективных способах развертывания решения в конкретной инфраструктуре. Эта экспертиза помогает объяснить, как именно технология способна решить конкретную задачу, причем с учетом особенностей компании.

Помимо потенциального ущерба, нужно оценить операционную эффективность, то есть насколько внедряемое решение снижает нагрузку на ИБ-команду, автоматизирует реагирование, уменьшает число ложных срабатываний и затраты на администрирование решения.

Третий шаг — это расчет TCO в перспективе 3-5 лет: стоимость внедрения, технической поддержки, обновлений, обучения, человеческих ресурсов и инфраструктуры. Нередко компании забывают учитывать интеграцию с другими системами, что приводит к непредвиденным расходам. Именно поэтому открытая экосистема и способность продукта работать в разнородной среде становятся критически важными.

Можно выделить и наиболее критичные риски для конкретной инфраструктуры и уже подобрать защиту от них, если ИБ-бюджет ограничен. Но, конечно, комплексный подход к информационной безопасности наиболее эффективен.

А нам это точно нужно?

CEO опасаются избыточных трат, а CISO недостаточного финансирования. Часто камнем преткновения становится необходимость обосновать закупку нескольких, казалось бы, схожих продуктов, которые на самом деле направлены на разные уровни угроз. Или желание сэкономить и купить один универсальный комбайн (более дешевый) вместо нескольких отдельных решений.

Чтобы понять достаточность ИБ-защиты, нужно составить актуальную для конкретной организации модель угроз. Иногда достаточно провести пентест или анализ защищенности и приоритизировать риски, чтобы понять слабые места и направить туда силы и деньги.

Представим, что CISO хочет закупить и WAF, и API Firewall. Первый (WAF, Web Application Firewall) защищает сайт от классических веб-атак. Второй (API Firewall) — данные и бизнес-логику, которые передаются именно через API. Но большинство компаний не готовы обслуживать отдельный инструмент для защиты API, считая, что с этой функцией справится и WAF.

Обоснование покупки двух решений можно строить не вокруг «еще одного security-продукта», а вокруг того, что это два разных уровня защиты, нацеленные на принципиально разные риски. В частности, WAF защищает веб-интерфейс: сайт, формы, личные кабинеты и классические веб-атаки вроде SQL-инъекций или XSS. Он хорошо работает на периметре и фильтрует HTTP-трафик.

API Firewall решает другую задачу: он контролирует, кто к каким данным или объектам имеет право доступа, соответствует ли запрос бизнес-логике и спецификации API. Обычный WAF такие сценарии не видит, потому что они не нарушают технических правил HTTP, но именно они чаще всего приводят к утечкам и потерям данных. Недаром организация OWASP выделяет API в отдельный список угроз Top Ten.

Переведем на язык бизнеса: WAF снижает риск отказа сервиса и классических атак, а API Firewall — риск утечки данных, штрафов, прямых финансовых потерь. В этой логике WAF и API Firewall — не дублируют, а дополняют друг друга: первый защищает вход в систему, второй — сами ценности бизнеса, и только вместе они дают управляемый уровень риска для компании.

А вендор кто?

Когда закупка какого-то класса продукта согласована, встает вопрос — какого вендора выбрать? Правильный выбор партнера может сэкономить бюджет и избавить от лишней головной боли.

Например, компания может значительно сэкономить на открытой экосистеме — то есть умении миксовать решения разных производителей. Это дает возможность выбрать продукты с наиболее адекватным сочетанием цены и качества. Но широкие возможности по интеграции с другими ИБ-решениями закладывают далеко не все вендоры, привязывая заказчиков к своей экосистеме. А значит, выгоднее выбрать продукт, который умеет «дружить» с разными решениями.

Также очевидно, что надо смотреть на опыт вендора, публичные референсы, поговорить с коллегами из других компаний.

Но лучший вариант — это пилотное тестирование (или «пилот»). Оно позволяет убедиться, насколько реальны обещания производителя, сколько времени нужно на администрирование решения, насколько отзывчива техподдержка. Пилот длится в среднем от 2 недель до месяца, хотя все зависит от особенностей защищаемой инфраструктуры. Если вы хотите, чтобы пилот был эффективен, то включайтесь в процесс, проверяйте все опции, заводите за WAF боевой трафик, чтобы оценить качество защиты в реальных условиях и понять, нет ли деградации работы приложения. Также стоит провести функциональное и нагрузочное тестирования, чтобы понять, как будет вести себя защита при высокой нагрузке.

В конечном счете, грамотное бюджетирование — это постоянное балансирование между разумной заботой и паранойей.  ИБ, как функция, должна помогать бизнесу зарабатывать деньги, минимизируя потери и не создавая препятствий. Если в стратегии ИБ-директора показана связь каждого рубля с предотвращенным ущербом, то кибербез из расходов превращается в инвестицию, которая защищает бизнес, повышает его устойчивость и позволяет развиваться без страха перед внешними угрозами.