Цифровая устойчивость: шесть метрик, которые изменят кибербезопасность
Zurich Insurance Group предлагает шесть метрик для оценки цифровой устойчивости, включая уровень страхования, застарелые уязвимости и время восстановления, чтобы выявлять слабые места в кибербезопасности. В большинстве стран отчетность о киберинцидентах ограничена, регуляторы фокусируются на инцидентах, но не формируют систему оценки устойчивости, что приводит к уязвимостям и недостатку данных для анализа.
По данным Zurich Insurance Group, большинство стран до сих пор принимает решения в области киберполитики без достоверной статистики. Регуляторы фокусируются на отчетах об инцидентах, но не формируют систему оценки устойчивости к атакам. Это создает уязвимости и замедляет реакцию на системные угрозы. В отчете подчеркивается, что только 1% экономических потерь от киберинцидентов покрывается страхованием — факт, демонстрирующий масштаб незащищенных рисков.
Почему нужны метрики
Сейчас кибербезопасность оценивается через соблюдение норм или количество инцидентов. Однако такие данные не показывают, насколько страны готовы к атакам и восстановлению после них. Отсутствие единых стандартов мешает сравнивать устойчивость отраслей и отслеживать прогресс. Например, в Евросоюзе, несмотря на обязательные правила отчетности (NIS2, DORA), сбор информации ограничен. Только один из шести предложенных в отчете показателей полностью учитывается, а остальные — частично или не учитывается вовсе.
Шесть ключевых индикаторов
Zurich Insurance Group предлагает шесть метрик, которые могут стать основой для оценки устойчивости. Они соответствуют функциям NIST Cybersecurity Framework и предназначены для простоты интерпретации:
- Уровень страхования/аудита — доля организаций с киберстраховкой или сертификатом безопасности.
- Застарелые уязвимости — доля эксплуатируемых уязвимостей старше года.
- Крупные инциденты — количество серьезных атак за период.
- Время изоляции угрозы — среднее время на остановку распространения атаки.
- Время восстановления — средний срок возврата к нормальным операциям.
- Кадровый дефицит — процент незаполненных кибердолжностей.
Эти показатели не претендуют на исчерпывающую картину, но позволяют оценить динамику и выявить слабые места.
Пробелы в данных
В ЕС отчетность о киберинцидентах разделена между несколькими агентствами, которые редко делятся информацией. Это создает «слепые зоны»: невозможно отслеживать тенденции по секторам или согласовывать национальные и региональные стратегии. Например, данные о страховых покрытиях, возрасте уязвимостей и кадровом дефиците собираются лишь отдельными организациями, а не в агрегированном виде.
Институциональные решения
Отчет рекомендует создавать Национальные центры статистики кибербезопасности, которые будут централизованно собирать данные, отслеживать инциденты и публиковать отчеты. Такие структуры могли бы выпускать «справочники устойчивости» с цветовой индикацией, аналогичные публичным дашбордам в других сферах. В долгосрочной перспективе международные органы могли бы агрегировать данные, выявлять глобальные угрозы и унифицировать стандарты.
Интересно: Какие шесть метрик действительно могут стать «сигналом опасности» для экономик? Или это попытка придать структуру хаосу, не решая коренных проблем?
Цифровая устойчивость: зачем странам «показатели страха» и как они изменят рынок
Разговоры о метриках кибербезопасности, как и о любых стандартах, часто сводятся к вопросу: «Зачем еще один список?» Однако предложенные Zurich Insurance Group шесть показателей не просто формализуют хаос — они раскрывают системные слабости, которые регуляторы и бизнес игнорируют. Особенно это касается России, где киберриски становятся частью национальной стратегии, но подходы к их оценке остаются фрагментарными.
Почему метрики — не декларация, а инструмент давления
Сейчас регуляторы фокусируются на количестве инцидентов или их отчетности, но не на том, насколько страны готовы к атакам. Например, Евросоюз требует обязательную докладную по NIS2, но данные не агрегируются в единую систему. Это приводит к парадоксу: государства «оценивают» устойчивость, не зная реальных показателей. Предложенные Zurich метрики (страхование, время изоляции угроз, кадровый дефицит и др.) превращают абстрактные нормы в измеримые цели.
Тренд: Введение таких показателей заставит компании пересмотреть не только защиту, но и логистику восстановления — например, сокращение времени изоляции атаки с 72 часов до 4 часов станет приоритетом.
Скрытые победители и проигравшие
Метрики создают новые рычаги влияния. Страховые компании, которые до сих пор покрывали лишь 1% потерь от киберинцидентов, получат возможность требовать повышения стандартов в обмен на страховку. Это выгодно крупным корпорациям, но вредит малому бизнесу, не способному внедрить дорогостоящие системы. В России, где киберстрахование развито слабо, такой сценарий может ускорить консолидацию рынка: банки и госкомпании станут лидерами, а «хвост» отраслей — отстать.
Кадровый дефицит, указанный как один из показателей, откроет возможности для образования. Университеты, предлагающие программы по кибербезопасности, окажутся в центре внимания инвесторов. В России это может стимулировать развитие филиалов вузов в новых регионах, где сейчас отсутствуют специалисты.
Парадокс страхования: зачем платить за непокрытые риски?
Если только 1% потерь от атак покрывается страхованием, это не значит, что рынок несправедлив. Скорее, бизнес не готов к реальным убыткам. Страховые компании, в свою очередь, избегают рисков, не имея достоверных данных о «прочности» клиентов. Введение метрик может изменить баланс: компании с высоким рейтингом устойчивости получат более выгодные условия, а «слабые звенья» — будут вынуждены инвестировать в защиту. В России, где страхование киберрисков пока редкость, это создаст инерцию: сначала крупные игроки, затем рынок.
К чему это ведет? Метрики кибербезопасности станут частью корпоративной отчетности, как ESG-показатели. Компании, не соблюдающие их, столкнутся с давлением от инвесторов и регуляторов.
Национальные центры статистики: шаг к глобальному стандарту
Рекомендация Zurich по созданию центров сбора данных выходит за рамки технического решения. Это попытка создать инфраструктуру, где государство и бизнес будут работать с общими целями. В ЕС уже есть ENISA, но она не решает проблему фрагментации. Для России, где кибербезопасность входит в национальные приоритеты, такой шаг мог бы ускорить интеграцию с международными стандартами. Однако риски остаются: централизация данных может увеличить уязвимости при атаках, а также создать барьеры для малого бизнеса.
Заключение: от метрик к реальной устойчивости
Метрики Zurich — не панацея, но они указывают на слабые места, которые требуют системного подхода. Для России ключевой задачей станет адаптация этих показателей к национальным реалиям: от развития киберстрахования до создания единой системы сбора данных. Успех зависит не от внедрения шести индикаторов, а от готовности бизнеса и регуляторов рассматривать кибербезопасность как фактор устойчивости экономики, а не просто расходную статью.
