В самом начале ограничительных мер в рамках пандемии в одной компании произошла следующая история. Бизнес, аврально переходя из режима развития в режим экономии, объявил подразделениям о пропорциональном уменьшении всех расходов на 15% и в ответ попросил обслуживающие подразделения доложить, что именно изменится от этого. Все подразделения, кроме одного, довольно быстро справились с задачей. Сообщили, в каких сервисах каким образом упадет качество, а какие вовсе окажутся недоступными. Подразделения рассмотрели несколько вариантов и выбрали наиболее щадящий для бизнеса: для большинства подразделений постоянная оценка «сколько нам обходится тот или иной сервис» — это практически ежедневная рутина.
И только одно подразделение ответило: «Ничего не изменится». Это была служба кибербезопасности.
Почему так?
Случай породил множество шуток от «ну да, строить козни цифровизаторам ничего не стоит» до «может, вам просто не давать денег?». Но не спешите обвинять безопасников в неумении считать стоимость своих услуг. Давайте в тысячный раз попробуем разобраться в отношениях безопасности и бизнеса.
Понятно, что если, скажем, автопарку сократить финансирование, что означает меньше людей и горюче-смазочных материалов, хуже качество запчастей и т. п., то довольно легко посчитать, как изменится интервал движения, на сколько увеличится очередь из заявок и среднее время выполнения заявки. То есть многие бизнес-процессы просчитываются по довольно простым математическим моделям. К сожалению, это мало применимо к кибербезопасности.
Эффективность безопасности — то, что не произошло
Кибербезопасность как связь — чем она лучше, тем незаметнее. Если большинство бизнес-процессов измеряется по событиям, которые произошли, то результат деятельности киберзащитников — это не события, которые произошли, а события, которые не произошли.
А разницу между двумя несостоявшимися событиями, одно из которых «не могло произойти в принципе», а второе «едва не произошло», бизнесу показать не так просто. Стойки в барах слышали миллионы историй киберзащитников, которые можно выразить одной фразой: «Мы говорим начальству: «да мы тут могли все погибнуть», а оно нам — «но не погибли же». Как поется в некогда популярной песне, «а город подумал, ученья идут…»
Нельзя списывать со счетов и то, что кибербезопасники — специфические люди, выбравшие эту профессию не просто так. Многие из них выходцы из спецслужб или имеют военное образование, то есть изначально обучены «держать удар». Нет ресурсов? Значит, будем проявлять чудеса героизма, работать сверхурочно, если за кого-то и попросим, то за своих ребят. Отпуск? Что это такое? У нас же в штате некомплект, как я ребят одних оставлю? Поэтому довольно часто сокращение финансирования кибербезопасности действительно какое-то время не вызывает видимых изменений.
Рисковые модели
Конечно, для любящих математику существуют красивые рисковые модели, и можно посчитать, показать и обосновать всё, что угодно. Но бизнес — он весь про принятие риска, и риски кибербезопасности всегда меркнут по сравнению геополитическими или даже курсовыми рисками. Если риск не стопроцентный, то он в глазах бизнеса сразу становится пятидесятипроцентным («встречу динозавра или не встречу»), а принимать такие риски бизнесу не привыкать. Даже там, где рисковые модели — рутинная часть бизнеса (банковское дело, страхование), основной бизнес-инструмент для работы с рисками — это резервирование средств на компенсацию ущерба, а не действия, направленные на уменьшение риска. Что же говорить о менее зрелых с точки зрения оценки рисков отраслях?
Используя экономическую терминологию, можно сказать, что качество кибербезопасности не эластично по ресурсам, то есть изменение ресурсов не ведет к пропорциональному изменению качества. Это верно, кстати, и относительно увеличения ресурсов: увеличьте бюджет кибербезопасности в несколько раз и бизнес ничего особенного не заметит — как недопустимые события не происходили, так они и не будут происходить. Подумаешь, просто сотрудники службы кибербезопасности стали больше и спокойнее спать. Не будем дальше развивать эту тему — увеличения бюджетов не предвидится, да и бизнес может подумать: «А если нет разницы, зачем платить больше?»
Роль в цифровой трансформации
Но чем дальше, тем больше кибербезопасность становится элементом цифровой трансформации. Частично из-за того, что функциональность и работоспособность бизнесобразующих цифровых систем должна быть сосредоточена в одних руках. Частично из-за того, что, находясь вне цифровизации, не понимая бизнес-контекста цифровых систем, невозможно их эффективно защищать. Частично из-за постоянных изменений в бизнес-функционале, цифровых платформах и инфраструктуре, на которой они развернуты — быстрые изменения в объекте защиты требуют оперативной адаптации систем защиты, что сегодня практически невозможно сделать, навесив защиту поверх работающей системы.
А цифровизация (цифровая трансформация) как процесс — давно отлаженный экономический механизм, где всё считается, и там эластичность качества по ресурсам гораздо выше. Хотим больше нового бизнеса — нужны новые цифровые функции — их разработка, развертывание и инфраструктура для них стоят определенных денег, их можно посчитать объективно, без всяких экспертных и вероятностных моделей. А вот экономика кибербезопасности в этих моделях выглядит неудобно для экономистов.
Два пути
Сейчас в такой ситуации видны две практически противоположные стратегии кибербезопасников — сближение с цифровыми проектами вплоть до полного слияния и дистанцирование вплоть до полного отторжения.
Придерживающиеся первой стратегии считают кибербезопасность одним из свойств цифровой системы, такой же, как, скажем, масштабируемость. Для обеспечения этого свойства надо глубоко погружаться в цифровые системы еще на этапе идеи, поскольку на стадии проектирования уже можно вносить такие архитектурные решения, при реализации которых в процессе эксплуатации вообще не потребуется каких-то навесных решений по безопасности. Например, решив в цифровой системе передавать не сами данные, а только скоринг, можно не волноваться, что данные утекут. В результате можно построить цифровую систему, для обеспечения собственно кибербезопасности которой нужен гораздо меньший бюджет.
Приверженцы второй стратегии считают цифровизацию вообще не своим делом — в таких компаниях кибербезопасность строится поверх уже созданных цифровых систем. Вот одна цитата: «Вы нам покажите объект защиты, а мы вам скажем, что у вас получилось плохо с точки зрения кибербезопасности». Раньше подобная концепция называлась «безопасность — контрольная функция ИТ». При данной позиции безопасность становится пассивной, занимается не предотвращением опасных событий, а мониторингом состояния цифровой системы и расследованием инцидентов — отличить опасную аномалию от планового события цифровой системы можно, только находясь внутри, поэтому из-за высокой вероятности ложных срабатываний лучше в бизнес-процессы не вмешиваться.
Такое разнонаправленное движение приводит к тому, что в одних организациях кибербезопасность логично встраивается в программы цифровизации, а в других — противопоставляется ей и выполняет скорее роль подразделения, отвечающего за соответствие требованиям регуляторов.
Но тем цифровая трансформация и отличается от ИТ, что ею руководят не технари, а бизнесмены. А для бизнеса любые навязанные внешние требования воспринимаются как налог, а налоги принято законным образом минимизировать. Поэтому в первых компаниях бюджеты на кибербезопасность постоянно растут вместе с бюджетами на цифровизацию, а во-вторых — заморожены или даже сокращаются.
Плюсы и минусы прозрачности
Выводить кибербезопасность «на свет», делая ее работу экономически прозрачной — непривычно для безопасников старой закалки. Непрозрачная позиция «дайте нам денег и не интересуйтесь, как мы их тратим, а не то вас зашифруют и оштрафуют» имеет свои плюсы. Ведь если бизнес начнет понимать, как устроена безопасность, он будет пытаться ею управлять: где-то оптимизировать, где-то переводить на сервисную модель, а то и вообще аутсорсить с целью повышения эффективности. Бизнес чего доброго внезапно разберется, что для круглосуточно работающих систем держать своих специалистов дороже, чем покупать готовую функцию защиты, а это вызовет сокращение штатов и изменение роли безопасности. Чем меньше штат и бюджеты — тем меньше управленческий вес у подразделения, а властью добровольно никто не делится.
Но прозрачность, сначала несущая явные неудобства, затем начинает приносить значительные выгоды. С этим сталкиваются многие департаменты и даже целые компании, например, выходящие на биржу. Да, теперь нельзя скрывать неудачи, нельзя манипулировать отчетами, зато есть доступ к ресурсам — становится понятно, на что они тратятся и какую пользу приносят.
Основная проблема прозрачности любой функции для бизнеса в том, что она не может быть частичной: тут раскрываем, тут нет — она должна быть сквозной. Зато построив полную прозрачность, можно отрабатывать what-if-сценарии, с одного из которых и начался этот текст: «что изменится в цифровой системе, если изменится финансирование». Это здорово поможет при обосновании бюджетов и штатных расписаний — функция безопасности цифровой системы будет отталкиваться от стратегии развития цифрового бизнеса.
Только начало пути
Сама по себе экономическая прозрачность кибербезопасности не даст возможности построить хорошую функцию цифровой системы, это лишь одно из условий. Даже щедро выделенные финансы могут упереться во внешние ограничения: например, санкции, запрещающие покупку определенных эффективных решений. Или выделенные штатные единицы не смогут быть заполнены: сегодня рынок труда специалистов кибербезопасности — это рынок продавца. Кроме денег здесь многое решает и сложившаяся корпоративная культура, и интересные разнообразные задачи, и долгосрочная мотивация. Специалисты знают много случаев, когда компании, в которых, несмотря на рыночную компенсацию, годами не закрывают ключевые вакансии в кибербезопасности.
Но, как нас учат учебники по управлению, «управлять можно только тем, что мы можем измерять». Поэтому экономическая прозрачность кибербезопасности — первый шаг к управляемости, а затем и к органическому развитию.