Введение
Исключительную значимость информационная безопасность в современном мире получила из-за роста числа киберпреступлений и вредоносной активности в цифровой среде. Компании тратят огромные суммы на внедрение передовых технологий систем защиты. Тем не менее многие корпорации сталкиваются с недостаточным финансированием для обеспечения полноценной защиты.
Одна из ключевых задач при разработке проектов информационной безопасности – выбор оптимальной схемы финансирования и инвестиционной модели. От этого выбора зависят сроки, к которым проект будет завершен, степень вовлеченности руководства и итоговый финансовый результат.
1. Значение проектов информационной безопасности
Важную роль в стабильности компании играет защита данных. Сбой в их обработке может повлечь к серьезным финансовым проблемам, судам и потери доверия клиентов. По данным с конференции KUBAN CSC 2025, в 2025 году ущерб от киберпреступности в мире оценивается в 10,5 трлн долларов. В России убытки оцениваются в приблизительно 1,5 трлн рублей, а число атак увеличилось в три раза. Таким образом, проекты ИБ – неотъемлемый элемент результативности работы современных компаний.
2. Источники финансирования проектов ИБ
Для реализации проектов ИБ требуется колоссальное количество финансовых ресурсов. Основные источники финансирования представлены в таблице (табл. 1).
Таблица 1
Основные источники финансирования проектов ИБ
Источники | Характеристики |
Внутренние резервы компании | Преимущественно используются небольшими компаниями, стремящимися к автономии. Ключевой недостаток - ограниченность объёма, что часто вынуждает прибегать к поиску дополнительного финансирования. |
Банковские кредиты | Предоставляются на фиксированный срок под определенный процент. Сопровождается необходимостью поручительства и залоговым обеспечением. |
Инвестиции частных фондов | Привлечение инвестиций осуществляется в обмен на долю в компании или в будущей прибыли. Высокие ожидания от фондов накладывает на компанию повышенные обязательства по соблюдению условий. |
Государственные субсидии и гранты | Безвозмездная поддержка проектов в сфере ИБ со стороны государства. Доступна только после прохождения строгого конкурсного отбора и соответствия установленным критериям. |
3. Инвестиционные методы
Оптимальный способ финансирования проектов детерминируется рядом факторов: масштабом компании, ее финансовых возможностей и предпочтением акционеров. Ниже представлены наиболее популярные модели оценки инвестиций:
3.1 Метод чистой приведенной стоимости (NPV)
NPV (Net Present Value) – чистая приведенная стоимость – один из ключевых параметров эффективности инвестиций. Данный метод сравнивает объем вложенных средств с ожидаемым размером прибыли от них. Преимущества и недостатки данного метода представлены в таблице (табл. 2).
Таблица 2
Преимущества и недостатки метода чистой приведенной стоимости (NPV)
Преимущества | Недостатки |
Простота: при наличии нужных данных расчет NPV очень прост в исполнении. | Зависимость от ставки дисконтирования: она может быть субъективной, не отражать реальные риски в полном объеме, за счет чего значительно снижается точность показателя. |
Универсальность: показатель NPV может использоваться не только для различных типов проектов, но и для оценки различных опция развития компаний, где не требуются никакие вложения. | Не учитывает эффект масштаба: NVP не дает понимания эффективности используемых денег: у крупных проектов показатель может быть выше из-за огромных масштабов, а не из-за их прибыльности. |
Учет стоимости денег во времени: чем в более отдаленном будущем рассчитывается прибыль, тем меньший ее размер покажет NPV в сегодняшних деньгах, что позволяет точнее определять эффективность инвестиций. | Не учитывает горизонт проекта: допустим, первый проект длится 5 лет, а второй - 3 года. В первом проекте NPV будет выше, но показатель не учитывает возможность инвестора повторить двухлетний проект или вложиться в другой. |
Возможность сравнения различных проектов: проекты могут иметь различающиеся уровнями риска, сроками окупаемости и объемами инвестиций. | Противоречие с другими показателями оценки инвестиций: иногда результат NPV противоречит результатам других методов оценки, в таких случаях требуется более глубокий анализ. |
3.2 Метод срока окупаемости (PP)
Метод срока окупаемости – Payback Period (PP) – определяет период времени, необходимый для полного возврата всех инвестиций. Важно отметить, что этот подход не учитывает дальнейшую прибыль. Существует два подхода расчета срока окупаемости:
Простой срок окупаемости
При расчете не учитывает изменения стоимости денег с течением времени.
Подход удобен когда нужно:
- Выполнить предварительную оценку;
- Отсеять самые слабые варианты;
- Быстро сравнить несколько проектов;
- Понять, насколько длинным будет срок окупаемости.
К минусам подхода относят:
- Снижение стоимости денег со временем;
- Доходность проекта после окупаемости, так как два проекта с одинаковой окупаемостью, могут принести в дальнейшем разную прибыль;
- Риск будущих инвестиций.
Дисконтированный срок окупаемости
При расчете учитывает снижение стоимости денег с течением времени.
Подход удобен когда нужно:
- Принять инвестиционные решения;
- Сравнить проекты с разными рисками;
- Оценить проекты с длительным горизонтом планирования;
- Учесть не только скорость возврата, но и корректность оценки.
Как правило дисконтируемый срок окупаемости больше, чем простой.
3.3 Метод внутренней нормы доходности (ВНД)
Метод внутренней нормы доходности (Internal Rate of Return, IRR) – основной показатель, демонстрирующий, величину выгоды вложения средств в проект, показывающий годовую прибыль при повторном инвестировании по той же ставке.
К плюсам метода относят:
- Простоту использования;
- Возможность сравнения узких направлений;
- Сравнение доходности в процентах;
- Точность метода из-за учета изменения стоимости денег с течением времени.
К минусам относятся:
- Объемы проекта. Не учитываются объемы проекта, из-за чего возникает некорректность при расчете показателя;
- Плавающая ставка. В России ключевая ставка нестабильна, то есть при расчете ВНД проекта с фиксированным значением ставки, показатель может получиться некорректным.
4. Эффективные инвестиционные модели в ИБ
4.1 Модель Гордона-Лоеба
Модель Гордона-Лоеба – это экономико-математическая модель, определяющая оптимальный размер вложений в обеспечение компьютерной безопасности. Впервые она была опубликована в 2002 году в журнале ACM Transactions on Information and System Security и впоследствии получила признание как один из ведущих методов инвестиций в информационную безопасность.
Несмотря на широкую известность модели, детали ее применения компаниями не разглашаются. Тем не менее существует несколько примеров использования данной модели в реальной жизни. В таблице 3 приведены примеры использования данной модели.
Таблица 3
Примеры использования модели Гордона-Лоеба
Кто использует | Применение |
Частная некоммерческая организация – Better Business Bureau (США) | Рекомендует использовать данную модель владельцам малого бизнеса, чтобы рассчитать адекватный размер инвестиций в предотвращение киберпреступлений |
Университетский колледж Лондона (UCL) | Исследователи из него используют модель Гордона-Лоеба для создания более сложных моделей, которые будут включать в анализ кластеризацию атак и др. |
FAIR Institute | Специалисты этой организации приводят эту модель как основной финансовый инструмент для обоснования решений вложений в ИБ наравне с методами NVP и ВНД |
4.2. Модель взаимосвязанных рисков
Модель взаимосвязанных рисков (Interdependent Security, IDS) – это экономико-математическая концепция, учитывающая взаимосвязанность информационных систем, описывает влияние решений об инвестициях в сферу ИБ одной организации на другие организации через цифровую инфраструктуру.
Пример отрицательного эффекта
В 2017 году произошла атака вирусом NotPetya на украинское налоговое ПО, однако пострадали не только украинские компании, но и те, которые не являлись целью атаки, в их числе датская компания AP Moller-Maersk. В ходе атаки был заражен один из компьютеров, принадлежащий компании, из-за чего пострадала глобальная работа поставок и терминалов. Убытки составили $850 млн – $1 млрд. Глобальные потери от атаки вирусом NotPetya оцениваются в $10 млрд. В таблице 4 представлены другие компании, понесшие ущерб.
Таблица 4
Компании, понесшие ущерб от атаки вирусом NotPetya в 2017 году
Компания | Страна | Сфера деятельности | Заявленные потери |
Merck & Co | США | Фармацевтика | $1.4 млрд |
FedEx (TNT Express) | Нидерланды | Логистика, доставка | $400 млн |
Mondelez International | США | Продукты питания | $150 млн |
Reckitt Benckiser | Великобритания | Потребительские товары | $130 млн |
Saint-Gobain | Франция | Строительные материалы | $387 млн |
Nuance Communications | США | IT-решения (голосовые технологии) | $15–25 млн |
Таким образом, компании AP Moller-Maersk, Merck & Co, Mondelez International и другие хоть и не были целью атаки, но из-за недостатка инвестиций в безопасность, понесли значительные убытки. Этот случай наглядно демонстрирует разрушительность взаимосвязи через единое ПО.
Пример положительного эффекта
В 2018 году вступил в силу Общий регламент по защите данных (GDPR). До его принятия компании не учитывали, что утечка данных влияет на всю цифровую экосистему. Данный регламент стимулировал инвестировать в область информационной безопасности. По подсчетам французского регулятора CNIL количество утечек в Европе сократилось на 2,5–6%. Введение GDPR позволило избежать убытков в размере $6.3 – $15.2 млрд. Польза введения GDPR представлена в таблице 5.
Таблица 5
Польза внедрения GDPR
Категория | Характеристика |
Коррекция влияния на другие компании |
|
Снижение негативного влияния на клиентов |
|
Сдерживание роста киберпреступности |
|
Повышение стандартов безопасности |
|
Конкурентные преимущества для бизнеса |
|
4.3 Модель, основанная на теории игр
Модель, основанная на теории игр – это математико-аналитический подход к принятию инвестиционных решений, выявляющий оптимальные стратегии для инвестора. Данная модель прогнозирует поведение рынка, учитывая риск и неопределенность, связанные с рыночной нестабильностью. С точки зрения инвестирования в сферу ИБ теория игр помогает понять какие стратегии используют злоумышленники и компании в условиях взаимной зависимости. В таблице 6 приведены примеры применения данной модели.
Таблица 6
Примеры применения метода, основанного на теории игр
Компания | Тип игровой модели | Применение | Результат |
Kaspersky Lab | KIPS – Интерактивный симуляционный тренинг | Обучение топ-менеджменту по распределению бюджета в ИБ | Выросла осведомленность о взаимосвязи инвестиций ИБ и прибыли |
Google, Microsoft, Meta, Apple, Intel | Bug Bounty Programs (поиск уязвимостей) | Привлечение “белых” хакеров для поиска изъянов в защите | Экономически выгоднее введения своих команд на ту же задачу |
Минобороны США | Hack The Pentagon | Оценка государственных систем на уязвимости | Усиление национальной кибербезопасности |
5. Примеры реализации проектов ИБ в российских компаниях
Изучение успешной реализации проектов позволяет лучше понять, как выстраивается механизм внедрения информационной безопасности, а также выявить ключевые факторы, детерминирующих принятие инвестиционных решений.
5.1 Центр обработки данных в Сбербанке
В ноябре 2025 года Сбербанк создал и внедрил мультиагентную атакующую ИИ-систему для повышения уровня киберзащиты. По словам вице-президента Сбербанка Сергея Лебедя, перспективные системы киберзащиты будут функционировать по аналогии с «иммунитетом живого организма». Механизм системы заключается в имитации новых угроз ИИ-системой, в то время как защитный компонент будет обучаться на этом опыте и автономно корректировать работу сервисов безопасности. Функциональные возможности системы включают: проведение анализа и предварительной обработки инцидентов; формирование описания события и плана реагирования; взаимодействие с сотрудниками по необходимости
По состоянию на 2025 год система «Кибераналитик» функционирует в автономном режиме, близком к реальному времени, обеспечивая обработку 100% киберинцидентов, из которых 70% закрываются без участия человека. Благодаря ее работе Сбербанк за последние два года сократил время анализ инцидентов более чем в 20 раз, а время реагирования на угрозы – в 6 раз.
5.2 Внедрение PT Sandbox от Positive Technologies компанией ТПГ «Солид»
ТПГ «Солид» – промышленная российская компания, внедрившая PT Sandbox для защиты корпоративной почты от кибер угроз. Реализация проекта проходила совместно с Positive Technologies. По их данным промышленность стала основной целью хакеров за последние два года. Почти 47% атак, связанных с вредоносным ПО, начинались с фишинговых писем. PT Sandbox – песочница, работающая в режиме мониторинга и реагирования, она выявляет все подозрительные письма, автоматически блокируя их и сообщая о них назначенному администратору. Ранее вся почта проверялась вручную сотрудниками, что приводило к рискам утечки коммерческой тайны.
Как итог, внедрение PT Sandbox автоматизировало процесс сортировки писем, повысило общую киберустойчивость предприятия и обеспечило проактивное выявление атак.
5.3 Интеграции платформы Apsare для автоматической проверки исходного кода
Центр кибербезопасности УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса для управления технологическими процессами (HMI, SCADA и другие). Это позволило повысить защищенность продукта без остановки текущей разработки и без потери высокой скорости выпуска обновлений. Техническая сложность проекта заключалась в модульной архитектуре платформы, включающей базовое ядро и настраиваемые компоненты. Потенциальная уязвимость в ядре, могла распространяться на все системы.
В качестве решения была выбрана облачная платформа анализа защищенности приложений Apsafe – собственный продукт УЦСБ. Был создан скрипт, автоматически передающий исходный код из системы сборки Jenkins в Apsafe. В результате каждый билд в автоматическом режиме проходит комплексный анализ защищенности, а верифицированные экспертами результаты направляются непосредственно в таск-трекер разработчиков «Альфа платформы».
Эксперты УЦСБ не только выявляли уязвимости, но и детально разбирали каждую находку с командой «Атомик Софт». Совместная работа превратила потенциальные инциденты в обучающие кейсы, которые немедленно интегрировали в процесс код-ревью. Проект наглядно иллюстрирует переход от практики разовых проверок к модели, в которой непрерывная безопасность встроена в жизненный цикл разработки программного обеспечения.
Заключение
Проведенное исследование свидетельствует о том, что разработка и реализация проектов в сфере ИБ представляет собой сложный многоступенчатый процесс, в рамках которого особое значение приобретает детальная проработка финансовых аспектов. Оптимальное сочетание способов финансирования и инвестиционных моделей позволяет обеспечить максимальную результативность проектов при одновременной минимизации сопутствующих рисков. Представленные в работе практические примеры подтверждают возможность достижения существенных результатов даже в условиях ограниченности ресурсной базы и действия жестких регуляторных ограничений.
