Успішний кіберзахист потребує витрат

Зобов’язання щодо кіберзахисту з’явилося на тлі дедалі більш складних і важких кібератак. За останні кілька років атаки на критичну енергетичну інфраструктуру, телекомунікаційні компанії, урядові установи, а нещодавно і на політичні партії, показали суспільний і економічний вплив кібератак.

Якщо говорити про НАТО, в Щорічному Звіті Генерального секретаря за 2016 рік відзначається, що минулого року власні фахівці НАТО з кіберзахисту мали справу з 500 інцидентами щомісяця, що майже на 60% більше порівняно із 2015 роком.

Кібератаки підривають довіру до кіберпростору, а це фундаментальне питання, зважаючи на те, наскільки ми покладаємося на взаємопов’язані технології не лише для комунікації, а і заради нашого економічного зростання і майбутньої суспільної моделі.

Як нам найбільш ефективно розподіляти ресурси?

Альянс визнав на найвищому рівні, що для розв’язання цих завдань необхідно забезпечити ресурсами найсучасніші сили і засоби, освіту і підготовку.

Для досягнення цього тим, хто виробляє політику в столицях, необхідно буде відповісти на низку важливих запитань. Серед них: скільки ми повинні витрачати? Який має бути мінімальний рівень інвестицій? На що ми повинні витрачати гроші для досягнення базового рівня кібербезпеки, зокрема, зважаючи на динамічний характер загроз?

З відкритих джерел ми маємо інформацію про те, що деякі члени Альянсу вже досягли певних успіхів, відповідаючи на ці запитання. Наприклад, французький Пакт про кіберзахист від 2014 року передбачає виділення на кіберзахист один мільярд євро, а Велика Британія оголосила про інвестування 1,9 мільярда фунтів стерлінгів на забезпечення національної програми кібербезпеки.

Оборонні витрати – це складна сфера, яка не обмежується простим аналізом витрат і вигід. Проте в будь-якому разі необхідно пам’ятати, що вартість кібер(не)захищеності може бути значною. Наприклад, в дослідженні Атлантичної Ради і університету Денвера від 2015 року робиться висновок, що за найгіршого сценарію до 2030 року вартість кібернезахищеності для глобального валового національного продукту потенційно може сягнути 90 трильйонів доларів США. Ще більше занепокоєння викликає те, що в майбутньому вартість кібернезахищеності може перевищити вигоди, які пропонує кіберпростір. Отже, видатки, про які говорилося раніше, виглядають невеликими порівняно з потенційною сукупною вартістю незахищеності.

На що може витрачатися бюджет кіберзахисту?

Перед тим як відповідати на це запитання, варто зважити на декілька міркувань.

По-перше, витрати країн на кіберзахист можуть частково диктуватись їхньою залежністю від гарантованого і безперешкодного доступу до кіберпростору, а також від вразливості для кіберризиків. Тобто, якщо країна не використовує комунікаційно-інформаційні технології, лише тоді можна говорити про те, що витрачати нічого не треба. Більше того, динамічний характер загроз і специфіка вразливості для кіберризиків за будь-якої конкретної ситуації – те, що фахівці називають «поверхня атаки» - ускладнюють прийняття рішення про обсяг витрат. Це свідчить про необхідність підходити до кіберзахисту на основі оцінювання і управління ризиками, щоб можна було визначити пріоритетність забезпечення ресурсами в тих сферах, де загрози можуть завдати найбільшої шкоди.

По-друге, теоретично, дана кількість грошей в бюджеті кіберзахисту може забезпечити більший рівень оборони порівняно з придбанням інших форм оборонних сил і засобів. Гроші, витрачені на «файєрвол» чи підвищення рівня обізнаності користувачів, допомагають захиститись від усього спектра кібератак, в тому числі спрямованих на крадіжку грошей чи порушення діяльності інфраструктури. В результаті невеликі гроші, витрачені на кіберзахист, можуть багато чого зробити.

І нарешті, ті, хто розробляє бюджети для кіберзахисту, повинні розуміти, що результативний кіберзахист ґрунтується не лише на правильній технології, але і на правильних людях, підготовлених належним чином, і залежить від впровадження правильної політики. Загалом, на відміну від придбання традиційних форм оборонних сил і засобів, де наголос робиться на фізичному обладнанні, дієвість кіберзахисту може більше залежати від обміну інформацією, співпраці і координації. Це все речі, які важко піддаються фізичному виміру.

На додаток до того, що необхідно зважати на такий туманний характер цих видів діяльності, непросто зрозуміти вартість інших частин головоломки кіберзахисту: наприклад, додаткову вартість часу, який користувачі витрачають на здійснення базових заходів з «комп'ютерної гігієни», або додаткових зусиль, яких потребує запровадження кіберзахисту в програмне забезпечення військової техніки і обладнання.

До того ж цикли модернізації в кіберзахисті можуть повторюватися частіше, ніж в інших формах оборонних сил і засобів. Гарною ілюстрацією цього є приклад антивірусного програмного забезпечення: розширення присутності кіберпростору означає, що список цифрових відображень різноманітних вірусів, які використовують антивірусні програми, може оновлюватись у реальному часі. Для порівняння, основні зразки оборонного обладнання мають слугувати багато років – наприклад, літак Сі-130 «Геркулес», вперше піднявся у повітря у 1954 році і, в різних версіях, усе ще активно використовується.

Фізична і нефізична вартість кіберзахисту

Пам’ятаючи про це, видатки на кіберзахист можуть бути спрямовані на різноманітні речі. Вони можуть бути як фізичними, так і нефізичними за своїм характером, і можуть потребувати як одноразових інвестицій, так і щомісячних, щорічних або нерегулярних.

Люди – це вірогідно найбільш очевидний реципієнт видатків. Це може бути заробітна плата або інші непрямі витрати, такі як пенсії, або ж час, витрачений на їх навчання, курси і тренування. Зважаючи на те, що добір і збереження фахівців з ІТ є складним завданням для уряду (через привабливі зарплати, які може запропонувати приватний сектор), ці витрати можуть бути значними: справді, фахівці вважають, що вони можуть стати найбільшою статтею видатків в галузі кіберзахисту.

Вартість праці також необхідно враховувати: це може бути час, витрачений на розроблення, запровадження і обслуговування кіберзахисту, в тому числі здійснення модернізації систем безпеки, руйнування зловредного коду або виконання завдань із сертифікації.

І останній вид нефізичної вартості, спричинений природою кіберзахисту, це час і зусилля, витрачені на координацію, обмін інформацією, впровадження кооперації. Часто кажуть, що кіберзахист – це «командний спорт» і що «довіра є ключем». Важливість цих принципів стає очевидною, коли розуміємо, який обсяг часу потрібен для створення і встановлення надійних мереж і обміну інформацією. Навіть за часів відеоконференцій, ніщо не замінить зустрічі віч-на-віч, якщо мова йде про розбудову довіри.

Витрати фізичного характеру часто найбільш очевидні, але щодо вище описаної діяльності вони можуть становити невелику частку загальних витрат на кіберзахист. Ці кошти можуть витрачатись на апаратне забезпечення і програми, ліцензії для програмного забезпечення (які часто сягають тисяч або навіть мільйонів доларів чи євро) і їх налаштування і інтеграції для роботи у відповідному середовищі. Дедалі частіше витрати, що повторюються, пов’язані з послугами, які пропонують постачальники послуг з управління безпекою, які надають певну форму залученого кіберзахисту, здійснюючи, наприклад, аналіз загроз від імені своїх клієнтів. Інші видатки, які також можуть бути названі технологічними, передбачають придбання, як ще не виявленого, вразливого програмного забезпечення (відомого як «нульові дні») як спосіб запобігання його придбанню і використанню іншими.

І нарешті, видатки можуть бути спрямовані на стимуляцію інноваційної діяльності – дедалі більш важливої теми, коли можна скористатись перевагами ранніх етапів науково-дослідної роботи для покращання кіберзахисту. Це може мати форму грантів підприємствам або на науково-дослідну діяльність.

Скільки коштує нічого не робити

Зрозуміти невідчутні бюджетні наслідки кіберзахисту може бути не легше, ніж розслідувати на перший погляд примарні атаки, які здійснюються з віртуального світу.

Проте, якщо подивитись на деякі цифри щодо кібернезахищеності і відносну важливість того, що деякі країни дозволяють собі кіберризики, стає очевидно, що витрачання грошей на кіберзахист може бути виправданим захистом, який того вартий. Наприклад, кібератака на Центральний банк Бангладеш із залученням мережі Swift коштувала приблизно 81 мільйон доларів – значна сума для цієї країни.

У приватному секторі, після кібератак в 2015 році, британський провайдер зв’язку «TalkTalk», як повідомлялось, зазнав величезних збитків у 40 - 45 мільйонів фунтів стерлінгів і 15 мільйонів шкоди було завдано його доходам від торгівлі, на додаток до втрати більше ста тисяч клієнтів.

Пріоритети фінансування

Для уникнення таких економічних збитків важливо звертати увагу на те, на що витрачаються кошти, і скільки їх витрачається.
Вкладання коштів у людський капітал – в аспекті найму на роботу, утримання персоналу, навчання і освіту, схоже, є ключем до отримання результату. Тому важливе цільове витрачання грошей – особливо зараз, коли глобальне полювання на таланти означає, що приватний сектор легко може переманити висококваліфікованих і грамотних фахівців. При прийнятті рішення про витрачання коштів також необхідно зважати на те, що як в айсбергу, в кіберзахисті більша частка видатків лежить «нижче ватерлінії» і потребує час (і відповідно бюджет) для сталої координації, співробітництва і обміну інформацією для розбудови довіри.

Чого варте Зобов’язання щодо кіберзахисту?

У межах НАТО ці аспекти треба буде розв’язувати в контексті більш широкого політичного обговорення видатків на оборону між членами Альянсу. Зобов’язання щодо кіберзахисту може стати платформою для стимулювання обговорення в Альянсі видатків на кіберзахист і визначення пріоритетів. За допомогою інформації, яку члени Альянсу отримують із Звітів про виконання Зобов’язання щодо кіберзахисту, можна буде обмінюватися підходами і передовим досвідом щодо видатків на кіберзахист, допомагаючи таким чином зробити більш ефективним і дієвим кіберзахист усього Альянсу загалом.