Актуальные проблемы инновационного развития экономики

Донбасса

УДК 004.056.5

ОЦЕНКА ЭФФЕКТИВНОСТИ НАЦИОНАЛЬНЫХ СТРАТЕГИЙ

КИБЕРБЕЗОПАСНОСТИ

Е.А. Шумаева, к. гос. упр., доцент, Г.С. Джура, соискатель

ГОУ ВПО «Донецкий национальный технический университет»,
г. Донецк

Кибербезопасность все чаще рассматривается, как

стратегическая проблема государственной важности,
затрагивающая все слои общества. Государственная политика
кибербезопасности служит средством усиления безопасности и
надежности информационных систем государства. В стратегии к
проблеме кибербезопасности применяется высокоуровневый и
нисходящий подход: выдвигается ряд государственных целей и
приоритетов, которые необходимо достичь за определённый
промежуток времени. Подобная стратегия представляет собой
модель решения задачи кибербезопасности внутри государства.
Ключевые слова: кибербезопасность, национальная стратегия
кибербезопасности, оценка эффективности, метрики
кибербезопасности.

Cybersecurity is increasingly seen as a strategic issue of national

importance that affects all segments of society. The state cybersecurity
policy serves as a means of enhancing the security and reliability of the
state's information systems. The strategy applies a high-level and top-down
approach to the issue of cybersecurity: it puts forward a number of state
goals and priorities that need to be achieved over a certain period of time.
The strategy is a model for solving the problem of cybersecurity within the
state.
Keywords: cybersecurity, national cybersecurity strategy,
performance assessment, cybersecurity metrics.

Введение. На сегодняшний день как для современного

государства, так и для бизнеса возникает необходимость в реализации
мероприятий по обеспечению кибербезопасности. Однако, стоит
отметить, что не во всех случаях инвестирование в средства защиты
информации позволяет получить положительный экономический
эффект. Зачастую одну и туже задачу можно решить множеством
способов, а определение того, какой из подходов является наиболее
оптимальным с учетом всех факторов, является краеугольным
 Актуальные проблемы инновационного развития экономики
Донбасса

вопросом. При этом считается, что, компания, приобретая

специализированное решение, улучшает уровень своей безопасности,
используя подход «купил, установил – стало лучше». Однако, этот
подход не является оптимальным и эффективным, т.к. прямые затраты
имеют шансы со временем не окупиться или оказаться менее
оптимальными относительно иных решений.
Целью исследования является анализ подходов к оценке
эффективности национальных стратегий кибербезопасности.
Результаты исследования.
Целью национальной стратегии кибербезопасности обычно
является обеспечение кибербезопасности личности, организации и
государства путем определения системы приоритетов, принципов и
мер в области внутренней и внешней политики. Национальная
стратегия кибербезопасности – составная часть стратегии
национальной безопасности и определяет согласованное видение
будущего экономического развития страны в данной сфере.
Из-за растущих угроз в киберпространстве за последнее
десятилетие около 50 стран мира выпустили национальные стратегии
кибербезопасности. Волна национальных стратегий
кибербезопасности демонстрирует комплексный и всеобъемлющий
подход к кибербезопасности с учетом экономических, социальных,
образовательных, правовых, правоохранительных, технических,
дипломатических и других аспектов. В ЕС несколько стран-членов
обновили свои стратегии (например, Чешская Республика, Эстония,
Нидерланды, Франция) [1]. Цели этих новых стратегий направлены
на повышение экономического и социального процветания, а также на
обеспечение защиты от киберугроз, в частности: партнерские
отношения с промышленностью; экономические стимулы, в том
числе, общественное частное партнерство; выявление важных
субъектов бизнеса и секторов для экономики; создание
киберстрахования и формирование технологической независимости в
сфере кибербезопасности. Государства пытаются определить
надлежащий уровень кибербезопасности и оптимальные способы
стимулирования частного инвестирования.
Стоит отметить, что специфика отрасли кибербезопасности
имеет широкое влияние на методы и средства, которые используются
специалистами по безопасности. Примером может служить
безопасность в банковском секторе, которая регулируется
нормативными документами и стандартами Банка России, такими как
Положение ЦБ РФ № 684-П, ГОСТ Р 57480.1-2017. В отрасли нефте-
газодобычи приняты свои стандарты, такие как, серия документов
 Актуальные проблемы инновационного развития экономики
Донбасса

СТО Газпром. Безопасность платежных систем на международной

арене регулируется в рамках общепринятого стандарта PCI DSS и
Положения ЦБ РФ № 382-П. Такие социально значимые сферы как
образование и здравоохранение целиком регулируются
ведомственными министерствами. Стоит упомянуть и Федеральный
закон РФ от 29.07.2004 N 98-ФЗ «О коммерческой тайне», который
дает право собственнику конфиденциальной информации защищать
ее всеми не противоречащими законам способами, по причине чего
возникают возможности по варьированию методов и средств защиты.
Коммерческие организации стремятся к извлечению максимальной
прибыли при минимизации затрат, поэтому если результат вложений
не оправдывает ожидания, возникают риски того, что безопасность
перестает рассматриваться как важный компонент системы
управления. Вследствие этого крайне актуальным становится вопрос
получения оптимального эффекта для достижения поставленной цели
при оптимальных вложениях. При этом важным остается вопрос
выбора между профессиональным решением от известного вендора,
многообещающей разработкой иного производителя, или
собственным решением организации, основанном на свободно
распространяемом ПО.
В государственных учреждениях наблюдаются иные тенденции.
Для собственника бизнеса выбор средств и методов защиты, за
исключением выполнения обязательных требований, определяется
главным образом его амбициями в то время, как сфера безопасности в
государственных структурах жестко регламентируется федеральной и
региональной составляющей законодательства. Однако, стоит
отметить, что с введением в силу 187-ФЗ РФ «О критической
информационной инфраструктуре» в понятие субъект критической
информационной инфраструктуры могут быть включены не только
государственные органы, но и частная компания или индивидуальный
предприниматель [2]. Во всех этих организациях усилия специалистов
по безопасности сфокусированы на предотвращение и минимизацию
рисков и ущерба, защиту законных интересов собственника и за счет
этого способствование извлечению как экономических, так и
социальных выгод.
Вариантом решения описанных выше проблем на
государственном уровне является использование инструментов
профессионального финансового планирования и выработки
индикативных показателей, позволяющих оценить эффективность
внедряемых проектов. Именно использование методов и
инструментов профессионального финансового планирования и
 Актуальные проблемы инновационного развития экономики
Донбасса

оценки показателей эффективности внедряемых решений позволяет

рационально и эффективно подходить к исследуемому вопросу.
Только выработка и реализация эффективных национальных
стратегий позволяет комплексно и поступательно подходить к
регулированию и оптимизации проблем и аспектов, касающихся
киберрисков и обеспечения кибербезопасности на государственном
уровне.
Рассмотрим основные подходы к оценке эффективности
национальных стратегий кибербезопасности для того, чтобы
определить, возможно ли, и в какой степени их применять с учетом
современных условий [3]:
1. Оценка экономического эффекта от обеспечения
кибербезопасности.
Данный подход позволяет оценить проблемы комплексно и
объективно т.к. в сфере кибербезопасности крайне актуальным всегда
было отсутствие стимулов для совершенствования мер и средств
обеспечения кибербезопасности. Всегда необходимы более
эффективные стимулы для увеличения инвестиций в
кибербезопасность. В целом, работа в этой области включает в себя
описание рынка, анализ в формате «затраты-выгоды», компромиссы
между участниками рынка, анализ стратегического поведения,
механизмов рынка, проблем, возникающих в сфере страхования
рисков, а также экономических последствий регулирования со
стороны правительств. Дальнейшие усилия направлены на анализ
финансовых выгод в качестве мотивации для киберпреступности,
моделирование киберугроз и принятие решений об инвестициях в
кибербезопасность.
2. Оценка последствий от внешних факторов.
Экономисты сегодня пытаются определить, насколько
оптимальными являются инвестиции субъектов рынка в меры и
средства для предотвращения угроз кибербезопасности с целью
минимизации негативных социальных последствий. В качестве
примера можно привести ситуацию, когда бизнес не учитывает свои
киберриски, и, в результате, убытки от таких рисков затрагивают не
только частные лица, но и тысячи граждан.
Индустрию кибербезопасности сегодня можно охарактеризовать
следующими основными внешними факторами [4]:
1. Монополизация рынков, которая характеризуется
увеличением сетей и корпораций. Примером этого является рост и
доминирование компании Microsoft.
 Актуальные проблемы инновационного развития экономики
Донбасса

2. Взаимозависимая безопасность. Отсутствие инвестиций в

кибербезопасность одного участника рынка может негативно
повлиять на безопасность других. Ситуация может быть
противоположной, когда инвестиции в кибербезопасность одного
участника рынка создают повышенный уровень кибербезопасности
для всех.
3. Информационная асимметрия. Отсутствие
заинтересованности в разглашении произошедших инцидентов у
организаций (в рамках минимизации репутационных потерь)
негативно влияет на сферу в целом, т. к. понимание необходимости
создания эффективных мер и средств кибербезопасности в некоторых
случаях приходит только после произошедших негативных
последствий у других организаций. Также к данной тенденции
относится и преувеличение или преуменьшение роли тех или иных
угроз в рамках популяризации своих продуктов вендорами [5].
4. Государственное вмешательство. Основная дискуссия сегодня
сводится к тому, является ли кибербезопасность общественным или
частным благом, и целесообразно ли вмешательство правительства в
регулирования данной сферы. Значительные инвестиции уже сделаны
частными лицами, предприятиями и правительствами; однако, ясно,
что кибербезопасность не может быть отдана исключительно
частному сектору. Это утверждение особенно очевидно в отношении
важнейших инфраструктурных секторов государств. Ситуация
позволила некоторым правительствам оправдать вмешательство
путем использования различных инструментов - регуляторных,
надзорных, координационных, стимулирующих и сдерживающих
(штрафных санкций).
5. Метрики для оценки эффективности стратегий
кибербезопасности. Учитывая значительные инвестиции в
кибербезопасность как со стороны частного, так и государственного
сектора, важно определить, каким образом государство (или другой
субъект) может разработать надлежащие метрики (показатели) для
оценки эффективности мер и средств кибербезопасности, и насколько
возможно применение классического ROSI к оценке эффективности
выбранных стратегий [6]. Дальнейшее исследование показывает, что в
качестве возможных показателей могут использоваться:
- рентабельность инвестиций;
- коэффициент полезного обмена информацией;
- количество жалоб (обращений);
- уровень положительного и отрицательного влияния на
состояние безопасности;
 Актуальные проблемы инновационного развития экономики
Донбасса

- количество нарушений или проявлений другого

злонамеренного поведения;
- издержки для бизнеса и т. д.
Проведенный анализ показывает, что существуют мнения,
декларирующие, что такое понятие, как базовые права человека,
должно быть включено в данный список показателей в форме
контрольного перечня по их соблюдению. Также существуют мнения,
что необходимо измерять уровень международного участия до и после
реализации национальных стратегий кибербезопасности. Данные
мнения, однако, не затрагивают предмет исследования и не касаются
практических предложений в данной сфере.
Некоторые методы оценки эффективности национальных
стратегий кибербезопасности были опубликованы ENISA и дают
обзор различных вариантов и ключевых показателей ее измерения [7].
Подходы на основе фактических данных реализации стратегии
кибербезопасности уже используются в «Цифровой повестке дня
(Digital Agenda)» и «Директиве о безопасности сетевых и
информационных систем (NIS Directive)» с целью обеспечения
возможности контроля ситуации государствами-членами ЕС [8].
Государства должны ежегодно представлять доклад о результатах в
Европейскую комиссию, которая затем сопоставит результаты в
отношении целей, поставленных в стратегии «Цифровая повестка
дня».
Отдельные страны, в том числе Великобритания и США,
провели финансовые оценки того, получили ли они лучшее
соотношение цены и качества при инвестировании в
кибербезопасность. Ни одна из этих оценок не описывает подробно,
как и какие измерения были использованы. Великобритания
признает, что сложно измерить данное соотношение, но опирается на
предыдущий опыт в других областях, таких как борьба с
терроризмом. Их подход к измерению цены и качества заключается в
развитии логической связи между стратегическими целями, выгодами
и ожидаемыми результатами в осуществляемой деятельности. Эти
показатели должны быть явными, надежными, заслуживающими
доверия и доступными в открытых источниках [9].
Национальное ревизионное управление Великобритании (The
UK National Audit Office) также определяет некоторые проблемы,
которые могут быть фундаментальными препятствиями в достижении
точных цифр и оценок. Во-первых, признается, что успех измерений
будет зависеть от того, происходят ли события (если события не
происходят, трудно определить, был ли успех стратегии обусловлен
 Актуальные проблемы инновационного развития экономики
Донбасса

ее политическими последствиями или какой-либо другой причиной).

Во-вторых, сложно определить масштаб успеха и какие части
стратегии способствовали ему.
Выводы. В заключение стоит отметить, что в большинстве
своем современные методы оценки эффективности мер и средств
кибербезопасности используют апостериорные оценки и результаты
аудитов из-за отсутствия данных. Реализация необходимых правил
для поощрения обмена такими данными является отправной точкой в
развитии исследуемой темы. Стимулирование обмена такими
данными позволило бы улучшить количественную оценку
эффективности национальных стратегий кибербезопасности. Такие
инициативы могут существенно оптимизировать системы отчетности
о нарушениях, предусмотренных в нормативном правовом
обеспечении государства.
Количественная оценка выполнения национальной стратегии
кибербезопасности также может стать полезным инструментом,
гарантирующим надзор за государственными расходами и
обеспечивающим оптимизацию соотношений «цена-качество» в
исследуемой отрасли.

Перечень ссылок

1. National Cybersecurity Strategies - ENISA – Режим доступа:

https://www.enisa.europa.eu/topics/national-cyber-security-strategies.
2. Категорирование объектов критической информационной
инфраструктуры (КИИ) – Режим доступа: https://www.anti-
malware.ru/analytics/Threats_Analysis/categorize-critical-information-
infrastructure-systems.
3. The Economics of Information Security Ross Anderson and Tyler
Moore – Режим доступа: http://citeseerx.ist.psu.edu/viewdoc/download?
doi=10.1.1.477.2090&rep=rep1&type=pdf.
4. Introducing the Economics of Cybersecurity: Principles and Policy
Options- Tyler Moore – Режим доступа:
https://www.nap.edu/read/12997/chapter/3.
5. State-of-the-Art of the Economics of Cyber-Security
and Privacy – Режим доступа:
https://www.econstor.eu/dspace/bitstream/10419/126223/1/Jentzsch_2016_
State-Art-Economics.pdf.
6. Return on investment (ROI) of cybersecurity training – Режим
доступа: https://securityboulevard.com/2019/07/return-on-investment-roi-
of-cybersecurity-training/.
 Актуальные проблемы инновационного развития экономики
Донбасса

7. An evaluation framework for Cyber Security Strategies – Режим

доступа: https://www.enisa.europa.eu/publications/an-evaluation-
framework-for-cyber-security-strategies
8. National Cyber Security Strategies - Interactive Map – Режим
доступа: https://www.enisa.europa.eu/topics/national-cyber-security-
strategies/ncss-map/national-cyber-security-strategies-interactive-map.
9. The UK cyber security strategy: Landscape review – Режим
доступа: https://www.nao.org.uk/report/the-uk-cyber-security-strategy-
landscape-review/.