або чому бізнес не змінив ставлення до кібербезпеки
Я нічого не писав про річницю неПеті, висновки що їх (не) зробила українська держава та бізнес тощо. Зокрема тому, що дуже хотілося почути думки колег і не тільки, а вже потім виносити свої спостереження на публіку. Свою думку щодо цього дуже часто висловлюю і журналістам, і колегам, і навіть клієнтам, але вони її чомусь далі не транслюють. Можливо, вона змушує їх задуматись, а може й ні. З огляду на таку реакцію, я собі зробив висновок, що моя позиція по цій темі непопулярна, хоча поки що ніхто не висунув цікавих контраргументів. Тому давайте-но я її озвучу широко.
Інцидент з неПетєю довів українській державі та бізнесу те, що вони і так знали: кібербезпека не така й важлива, та інвестувати в неї (в тому вигляді, як це пропонує робити ринок) немає особливого сенсу.
Звісно, є певні виключення: деякі компанії, які були геть не готові, нарешті почали робити хоч щось. Деякі компанії, яких зачепило сильніше, ніж конкурентів, зробили корисні висновки. Деякі компанії навіть зробили гасло “ніколи знову” частиною бізнес-стратегії. Але тут йдеться про десятки організацій, всім іншим — відверто все одно.
І з економічної точки зору вони абсолютно праві. По-перше тому, що тотальний інцидент, який накриває весь ринок (вертикаль/галузь/регіон) рівномірно, не складає аж такої великої загрози. Ось вам приклад: коли збитків зазнають всі конкуренти в певній ніші, жодного з них це особливо не топить, адже ніхто не втрачає клієнтів через брак альтернативи. Ця ментальність дуже поширена і з точки зору бізнесу вона вірна.
По-друге, будемо відверті: ніхто не вмер, нікому не відтяло кінцівку, нікого не посадили у в’язницю. Жодна компанія не повідомила про те, що в наслідок неПеті вона збанкрутіла та припинила існування. А недоотриманий прибуток — це просто гроші, їх можна потім заробити (чи як ви їх там здобуваєте). Ці думки заспокоюють бізнес, а безкарність заспокоює чиновників.
Щоб розділяти думку бізнесу треба трохи розібратися в економіці кібербезпеки, а не лише в кібербезпеці. Інвестиції в захист — це sunk cost, бабки які вже ніяк не вдасться повернути. А корисність цього вкладення дуже сумнівна, адже в найкращому випадку із вами просто нічого не станеться. Тому з точки зору керування бізнесом, реінвестиція в бізнес набагато ефективніша, ніж інвестиція в його захист. А через те, що нічого відмінного від інвестиції в захист “класичний” ринок кібербезпеки бізнесу запропонувати не може — тут я цілком на боці бізнесу.
Звісно, окрім захисту в кібербезпеці є ще два місця, куди можна інвестувати з метою уникнення чи зменшення ризиків: це побудова безпечних та живучих систем (security engineering) та підготовка до інцидентів (incident response). Перше дозволяє в процесі побудови зменшити ризики експлуатації систем, а друге — з меншими наслідками пережити атаку, якщо/коли вона відбудеться. Ці два напрямки інвестицій, навпаки, є досить дієвими і значно менш ресурсомісткими. Але “це складно”, чи принаймні складніше за побудову КСЗІ або придбання джентльменського набору фаєрвол + антивірус.
Ось такі в мене думки на тему неПеті. Дива не сталося, бізнес не “прозрів”, це цілком логічно і здебільшого правильно. Молодці ті, хто правильно підходить до інвестицій в кібербезпеку. Шкода тих, хто вишикувався в чергу за новими блимаючими скриньками. А для решти нічого не змінилося і звинувачувати їх немає в чому.
Бережіться розумно.
Якщо вам цікаво розібратися в тематиці фундаментально, почніть із цих публікацій:
- Measuring the Changing Cost of Cybercrime — WEIS 2019 (https://bit.ly/31jye6p)
Our conclusions remain broadly the same as in 2012: it would be economically rational to spend less in anticipation of cybercrime (on antivirus, firewalls, etc.) and more on response.
- Cybersecurity is not very important — dtc.umn.edu (https://www.dtc.umn.edu/~odlyzko/doc/cyberinsecurity.pdf)
There is a rising tide of security breaches. There is an even faster rising tide of hysteria over the ostensible reason for these breaches, namely the deficient state of our information infrastructure. Yet the world is doing remarkably well overall, and has not suffered any of the oft-threatened giant digital catastrophes. This continuing general progress of society suggests that cyber security is not very important.