Дорога кибербезопасность к 2025 году
Банки планируют рост расходов на защиту информации
Банки увеличивают расходы на информационную безопасность. По оценке экспертов, рост только в 2023 году мог составить 60%, в 2024 году речь может пойти еще о 20%. Причем среди ключевых причин специалисты называют не только активизацию кибератак, но и ужесточение регуляторных требований, в том числе с учетом необходимости замены продуктов иностранных разработчиков. В этом году последний фактор станет особенно значимым, поскольку в 2025 году кредитным организациям придется отчитываться о выполнении программ импортозамещения.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
Опрошенные “Ъ” эксперты по информационной безопасности (ИБ) отмечают, что расходы банков на это направление существенно увеличились в 2023 году и продолжат расти в 2024 году.
Так, руководитель группы по оказанию услуг в области кибербезопасности Kept Илья Шаленков оценивает рост расходов банков на 10–15%. По мнению исполнительного директора технологической практики «ТеДо» Максима Иванова, речь идет о 30–50%. В компании «Инфосистемы Джет» говорят об увеличении затрат финансовых организаций на ИБ на 30–60%.
В абсолютных цифрах для небольших и средних кредитных организаций это десятки миллионов рублей, а для крупных — сотни миллионов, уточняет глава комитета по ИБ Ассоциации российских банков Андрей Федорец.
По словам Максима Иванова, к ключевым статьям расходов относятся внедрение технических средств защиты информации, что «особенно актуально в связи со стратегией импортозамещения», а также закупка услуг MSSP-провайдеров (сервисы ИБ по подписке), поскольку некоторым компаниям «пришлось оперативно усиливать защищенность организации при нехватке собственных ресурсов». Особое внимание уделяется обучению сотрудников, добавляет Илья Шаленков.
В общем объеме расходов на ИБ на технические средства защиты информации в среднем приходится 40–60%, на мероприятия по импортозамещению — 10–20%, отмечает директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко. Доля трат на услуги MSSP-провайдеров, по оценке эксперта, составляет около 20–30%, такую же долю составляют траты на специалистов ИБ (категории могут пересекаться).
Увеличение издержек связано не только с активизацией атак, но во многом и с ужесточением регуляторных требований, отмечают эксперты. В соответствии с указом президента РФ №250 от 1 мая 2022 года, крупнейшие финансовые организации обязаны перейти на российские программные и аппаратные средства. Как отмечают эксперты, это «высокозатратные мероприятия, поскольку требуется вводить в эксплуатацию сложные информационные системы, повторяющие функциональность уже имеющихся».
Также на рост бюджетов оказывает серьезное влияние подорожание решений ключевых вендоров ПО и оборудования, подчеркивает заместитель коммерческого директора Angara Security Максим Чивелев.
Поставщики развивают функциональность своих решений, а также «заменяют различные заимствованные компоненты, привлекают для этого ресурс дорогостоящих команд разработчиков», что влияет на стоимость конечного продукта, поясняет ведущий консультант по информационной безопасности Aktiv.Consulting Александр Моисеев.
В самих банках отказываются официально обсуждать расходы на ИБ. «Учитывая общую тенденцию, затраты банков на ИБ увеличились, поскольку появились новые нормативы»,— подтверждает наблюдения экспертов собеседник “Ъ” в крупной кредитной организации. Например, добавляет господин Федорец, в соответствии с нормами ЦБ к управлению операционными рисками, потребуется замещать имеющиеся средства защиты инфраструктуры теми, которые имеют сертификаты ФСБ и ФСТЭК.
В этом году, уверены эксперты, затраты банков на ИБ продолжат увеличиваться. По оценке вице-президента Ассоциации банков России Алексея Войлукова, речь может идти об увеличении «в пределах 20%». Дальнейший рост будет по-прежнему связан с требованиями по импортозамещению и необходимостью замены ушедших из России поставщиков, считает гендиректор SafeTech Денис Калемберг. Это становится особенно актуальным в условиях истекания сроков, поясняет господин Моисеев, уже в 2025 году, а затем в 2030 году придется отчитываться перед регуляторами о внедрении программ импортозамещения.