Что выгоднее бизнесу: защищать инфраструктуру или платить штраф

Новости о законопроекте об увеличении оборотных штрафов до 500 млн рублей за утечку данных россиян заставили экспертов по информационной безопасности (ИБ) включиться в дискуссию. Подобный закон, вероятнее всего, обратит внимание большинства на обеспечение информационной безопасности своих компаний. И хотя сейчас обсуждается еще не финальный текст законопроекта, который попадет в Госдуму, тема снова стала актуальной, причем для любого бизнеса. Комментирует Сергей Бочкарев, генеральный директор «АйТи Бастион».

Идеальный вариант: выстроить защиту организации так, чтобы она стоила меньше потенциального штрафа. Учитывая, что значительная часть жизни каждого из нас сейчас проходит онлайн, закономерно встает вопрос об обеспечении информационной безопасности каждого конкретного человека. Только за последние несколько месяцев были зафиксированы сотни случаев утечки значимых баз данных крупнейших российских компаний, хранящих персональные данные россиян: Ашан, Леруа Мерлен, Твое, Едим дома, Интурист, Подружка, Буквоед, Артек и других. А утечка больших объемов данных однозначно говорит о наличии в компании привилегированного административного доступа, возможно, не совсем корректно организованного.

По данным «Лаборатории Касперского», приведенным в пояснительной записке к законопроекту, в 2022 году было обнаружено 168 случаев их публикаций. Всего утекло более 2 млрд записей почти с 300 млн пользовательских данных, из которых 16% содержали пароли. Лидерами по объему скомпрометированных данных были сферы доставки (34%) и ритейл (14%). При этом сейчас максимальный штраф для компаний, допустивших утечки персональных данных, составляет 60 тыс. руб. и до 300 тыс. руб. при повторном нарушении.

Но поскольку открыто с бизнесом новый законопроект об увеличении оборотных штрафов не обсуждался, многие сейчас говорят про нерешенные ключевые проблемы для бизнеса в целом, и для среднего и малого бизнеса, в частности. 

Совершенно очевидно, что повышение штрафов за утечки персональных данных с 60 тыс. рублей до сотен миллионов становится «добавленной стоимостью» для бизнеса. Соответственно, встает вопрос :«Что выгоднее? Защищать или платить штраф?» И с этой точки зрения, увеличение штрафа является значимым стимулом для того, чтобы внедрять более надежные средства защиты от утечек и реализовывать дополнительные организационные меры. 

Как правило, малый и средний бизнес сейчас хуже всего защищен от кибератак. Но и тут, как всегда, — нельзя подходить однобоко. Случаются реальные ситуации, где требования выполнены, защита есть; но существуют и обстоятельства, которые не могут изменить исхода, поскольку факторов, влияющих на утечку информации, очень много: это и ошибки программного обеспечения (ПО), и человеческий фактор и т.п. Ведь очень часто утечки персональных данных случаются вследствие некорректных или злонамеренных действий сотрудников. И тут без функциональных решений по информационной безопасности не обойтись.

Учитывая рост числа атак через цепочки поставок, продукт компании «АйТи Бастион» СКДПУ НТ Компакт как решение вопроса со стоимостью защиты и штрафами выглядит очень привлекательным. При расчете экономической эффективности учитывается, в том числе, и недополученная прибыль компании в результате простоя организации из-за нарушения ее информационной безопасности. 

К примеру, когда инфраструктура легла и не работает ни 1С, ни CRM, — идет простой. За каждый день простоя не трудно посчитать недополученную выручку. Далее встает вопрос восстановления бизнес-процессов. Но есть базы данных, которые невозможно полностью восстановить, поэтому риск потери есть всегда. В результате чего нарушаются рабочие процессы, и вот тебе — опять недополученная прибыль. 

Помимо вполне реального финансового ущерба в случае утечки информации, компании получают еще и серьезный репутационный удар. Ведь неизвестно, каким образом будут использованы данные, попавшие в открытый доступ и что могут с их помощью натворить хакеры и другие заинтересованные стороны. 

И далеко не всегда объектом хакерских атак или банального слива данных привилегированных пользователей становятся крупные компании. Все чаще мы видим, что происходит утечка данных из медцентров, агентств недвижимости и других предприятий малого и среднего бизнеса. Становится очевидным, что управление доступом к своим базам данных и инфраструктуре необходимо каждой компании, работающей с чувствительной информацией. 

Но чаще всего бывает, что «пока петух не клюнет», решение проблем откладывается. Пока не случится утечка данных, большинство предпочитает игнорировать возможные угрозы. Зачастую компании начинают думать об ИБ и предпринимать действия только после того, как находят в СМИ информацию об утечке персональных данных по вине своей компании. Но, заплатив такого размера штраф единожды, большинство придут к тому, что приобретение системы ИБ — это насущная необходимость.

Конечно, усиление информационной безопасности должно быть в первую очередь оправдано с точки зрения экономики предприятия. Тут расчеты довольно простые, на наш взгляд. Вы знаете, сколько строк в вашей базе персональных данных — так можно определить, какой штраф вам грозит в случае утечки, при принятии новых поправок — от 3 до 15 млн рублей. На эту сумму уже можно опираться, рассчитывая экономическую целесообразность усиления ИБ. Скажем, в линейке наших продуктов есть СКДПУ НТ Компакт, который предназначен для предприятий малого и среднего бизнеса. Его стоимость — от 2 млн рублей, то есть на 30% меньше минимального штрафа. 

Так что, как в рязановской «Иронии судьбы…» — думайте сами, решайте сами: иметь или не иметь у себя средства защиты, которые помимо страховки от оборотных штрафов принесут еще чисто экономические эффекты.