Ничего личного, это просто бизнес.

Афоризм, разошедшийся по миру стараниями «Крёстного отца», на деле описывает не бизнес, а его патологию: нормальный бизнес — занятие глубоко личное, ибо делается людьми для людей и держится на самой нерыночной из субстанций — доверии. Безопасность в этой картине — не охранник у дверей коммерции, а одна из несущих конструкций доверия: клиент платит тому, у кого не пропадают деньги и данные, поставщик отгружает тому, у кого не горят склады, инвестор входит туда, где риски названы по именам и оприходованы по методике из предыдущей главы.

Безопасность — не просто расходы, а инвестиция в устойчивость бизнеса. Пренебрежение ею ведет к репутационным, финансовым и юридическим рискам, которые могут уничтожить даже успешную компанию.

Это не фигура речи, а строки из годовых отчётов. Хрестоматийный для нашей темы случай — американский ритейлер Target (2013): злоумышленники похитили данные десятков миллионов платёжных карт, проникнув в корпоративную сеть через подрядчика, обслуживавшего… системы вентиляции и кондиционирования, — учётные данные сервисной фирмы открыли дорогу к кассовым терминалам, а сегментации, о которой твердила глава 4, не оказалось. Прямые расходы ритейлера превысили двести миллионов долларов, генеральный директор лишился поста, а словосочетание «подрядчик по HVAC» навсегда вошло в учебники кибербезопасности — к тихой гордости слаботочников, о существовании которых наконец узнали советы директоров. Масштабнее ударил NotPetya (2017): транспортный гигант Maersk оценил свои потери от парализованной на недели инфраструктуры примерно в триста миллионов долларов, и это лишь один из пострадавших. Утечка у кредитного бюро Equifax (те же 2017-й, данные около ста сорока семи миллионов человек из-за непоставленного вовремя патча) обошлась компании по совокупности соглашений и расходов более чем в миллиард. Мораль этих некрологов одинакова: точка входа стоила копейки, последствия — процентов капитализации.

Чтобы читатель не заподозрил выборку в обвинительном уклоне, добавим и отечественной фактуры: атаки шифровальщиков на российские компании исчисляются регуляторами и вендорами тысячами в год, утечки персональных данных крупнейших сервисов измеряются сотнями миллионов записей, а оборотные штрафы за утечки, введённые законодателем, перевели тему из репутационной плоскости в финансовую с конкретными процентами от выручки. География инцидентов давно глобальна; локальны только иллюзии «нас это не касается».

В основе успешного бизнеса лежит предпринимательский риск, а за большим богатством кроется большая удача.

Экономическая теория, впрочем, настаивает, что удача — не вся история. Йозеф Шумпетер видел в предпринимателе агента «созидательного разрушения», который ломает сложившиеся комбинации ресурсов ради новых; Фрэнк Найт (знакомый нам по главе 7) определил предпринимательскую прибыль строже — как вознаграждение за принятие на себя неизмеримой неопределённости, той самой, которую нельзя застраховать и просчитать. В этой оптике предприниматель — профессиональный потребитель остаточного риска: всё, что можно было передать страховщику, банку и подрядчику, передано, а оставшееся и есть его ставка. Потому разговор предпринимателя со специалистом по безопасности — это не диалог храбреца с перестраховщиком, а переговоры двух риск-менеджеров о том, какие именно неопределённости фирма держит осознанно, а какие таскает по недосмотру.

Специалисту по безопасности, чтобы говорить с предпринимателем на одном языке (а к этому, по сути, и сводится вся глава), полезно владеть азами делового мышления: для широкой картины подойдёт «Личный MBA» Джоша Кауфмана — компактная замена дорогостоящему бизнес-образованию, — а для практики запуска и роста собственного дела стоит заглянуть в «Создание и развитие бизнеса» Ф. О. Богачёва (2027), где те же риски и шансы из главы 7 разобраны уже глазами основателя.
Определяющий фактор успешного предпринимателя — это его личность, которая, настойчиво и гибко прогибая реальность, создаёт прибавочную стоимость, лежащую в основе экономической прибыли.

Психологические портреты успешных предпринимателей, накопленные исследователями, рисуют любопытный для нашей темы парадокс: это люди с повышенной толерантностью к неопределённости — и одновременно с маниакальным контролем того, что контролю поддаётся. Великие авантюристы бизнеса страхуют грузы, дублируют поставщиков и нанимают параноиков в службу безопасности именно потому, что свой лимит риска тратят на главное — на продукт и рынок. Дилетант рискует везде понемногу; профессионал концентрирует риск там, где за него платят, и гасит там, где не платят. В терминах главы 7 — это осознанная структура портфеля рисков, и слаботочные системы в этом портфеле занимают скромное, но почётное место хеджа.

Уточним для строгости термин: экономическая прибыль отличается от бухгалтерской вычетом альтернативных издержек — дохода, который те же ресурсы принесли бы в лучшем из отвергнутых применений. Этот вычет имеет прямое отношение к нашей теме: бюджет безопасности конкурирует не с «прибылью вообще», а с конкретными альтернативами — рекламной кампанией, новым складом, дивидендами, — и проигрывает им всякий раз, когда выражен в прилагательных, а не в ожидаемых годовых потерях из главы 7. Перевод безопасности на язык альтернативных издержек («миллион в систему тушения против матожидания двух миллионов годового ущерба») — единственный известный науке способ выиграть этот конкурс честно.
На локальном уровне в бизнесе особую роль играет экономическая и юридическая безопасность, а персонально для предпринимателя и владельца бизнеса важна личная безопасность.

Отечественная история здесь поучительна особо: эволюция корпоративной безопасности от «крыш» и бронированных дверей девяностых к нынешним департаментам комплаенса, SOC-центрам и страхованию киберрисков — это, в сущности, история взросления самого капитализма, проделавшего за тридцать лет путь, на который у старших рынков ушло столетие. Физическая угроза первому лицу как класс рисков никуда не делась (исполнительная защита остаётся профессией), но статистически уступила место угрозам юридическим, информационным и репутационным — у современного предпринимателя втрое больше шансов пострадать от собственной переписки, чем от чужого кастета.

Зеркальная сторона корпоративной безопасности — конкурентная разведка: легальный сбор и анализ открытой информации о рынке и соперниках (методологию читатель найдёт в работах по конкурентному анализу из списка литературы, а инструментарий OSINT — у Майкла Баззелла). Граница с промышленным шпионажем проходит по закону и этике: открытые источники, выставки, патенты, вакансии, судебные реестры и бухгалтерская отчётность — да; проникновение, подкуп и прослушка — статья. Поучительно, что обороняющейся стороне это знание нужнее атакующей: посмотреть на собственную фирму глазами чужого аналитика (что о нас выдают вакансии? фотографии пропусков в соцсетях сотрудников? тендерная документация?) — самый дешёвый аудит информационной безопасности из существующих, и к социальной инженерии, питающейся этими крошками, мы вернёмся в следующей главе.

В результате предпринимательской деятельности снижается социальная напряженность, тогда как международные корпорации, ставящие своей исключительной целью прибыль, представляет собой потенциальную общественную угрозу.

Добавим сюда и прямой социальный эффект отрасли безопасности: каждый защищённый объект снижает фоновую преступность не только на своей территории — криминологи называют это диффузией выгод, обратной стороной более известного эффекта вытеснения преступности на незащищённых соседей (с которым мы встречались в главе 3). Между бизнесом и обществом здесь возникает редкая гармония интересов, которую портит лишь хроническое недопроизводство безопасности как блага: будучи отчасти общественным благом, она страдает классической проблемой безбилетника — все хотят жить в охраняемом квартале, платить за шлагбаум согласны не все.

Экономист назвал бы это проблемой экстерналий — издержек, которые деятельность фирмы возлагает на тех, кто не участвовал в сделке: дымящая труба, утечка чужих персональных данных, заблокированный эвакуационный выход ради сохранности товара. Классический спор о том, обязан ли бизнес чем-то кроме прибыли (Милтон Фридман: «социальная ответственность бизнеса — увеличивать прибыль» в рамках правил игры) против стейкхолдерского подхода, для практика безопасности разрешается буднично: правила игры — то есть техрегламенты, лицензии и уголовный кодекс — как раз и есть механизм принудительной интернализации экстерналий, и нарушающий их экономит не свои деньги, а чужие жизни, что рынок рано или поздно тарифицирует через суд, страховку или некролог бренду.

А в экономических сферах производства, распределения, обмена и потребления товаров и услуг безопасность повышает доверие к бизнесу и комфорт при заключении сделок, а значит увеличивает продажи!

Связь доверия и экономики, к слову, измерима: институциональные экономисты давно показали, что транзакционные издержки — цена проверок, залогов, предоплат и юристов — падают там, где партнёрам можно верить, и общества с высоким обобщённым доверием богатеют быстрее при прочих равных. Каждый замок и каждый нотариус — это монетизированное недоверие; безопасность, порождающая доверие, окупается, таким образом, дважды: предотвращёнными потерями и удешевлёнными сделками.

Рынок научился измерять это доверие и торговать им: сертификации (ISO 27 001 по менеджменту информационной безопасности, отраслевые стандарты вроде PCI DSS для платёжных данных) работают сигналами качества в смысле нобелевской теории сигналов Спенса (объясняющая, как рынки справляются с проблемой информационной асимметрии) — дорогие в получении, они отделяют тех, кто инвестировал в порядок, от тех, кто инвестировал в буклет. Страхование киберрисков выросло в самостоятельный рынок, и его андеррайтеры, люди без сантиментов, делают то, чего не добились десятилетия проповедей: выставляют тариф по фактическому состоянию защиты, превращая бэкапы и двухфакторную аутентификацию в строку экономии на премии. Когда дисциплину безопасности начинает насаждать страховой калькулятор, можно констатировать: отрасль повзрослела.

Заметим попутно, что безопасность давно перестала быть только статьёй чужих расходов и стала самостоятельной индустрией планетарного масштаба: мировые рынки физической безопасности и кибербезопасности измеряются каждый сотнями миллиардов долларов в год с устойчивым ростом, опережающим мировой ВВП, — страх, помноженный на цифровизацию, оказался одним из самых надёжных товаров эпохи. Для читателя-практика это означает две вещи: во-первых, карьерные перспективы (о них в главе 14), во-вторых — необходимость потребительской трезвости, ибо на растущем рынке маркетинговый шум растёт быстрее инженерного содержания, и продавцов «решений» нужно встречать вопросами из главы 7: какую вероятность какого риска и на сколько снижает ваш прибор?

Но в контексте слаботочных систем может статься неконструктивной ситуация, когда в нарушение баланса капитальных и оперативных затрат бизнес предпочитает экономить на безопасности, невольно повышая риски критичных угроз, подвергая опасности различного генезиса как менеджмент, так и клиентов.

Анатомия этой неконструктивности описывается экономикой не хуже, чем психологией. Во-первых, совокупная стоимость владения (TCO): капитальная смета слаботочной системы — лишь видимая часть айсберга, под водой — десятилетия обслуживания, ЗИПа, обучения и обновлений, и экономия десяти процентов на стройке регулярно оборачивается тридцатью процентами перерасхода на эксплуатации (закладка ЗИП из главы 13 кивает). Во-вторых, агентская проблема: решение об экономии принимает один человек (менеджер проекта с KPI по смете), а расплачивается за неё другой (эксплуатация, страхователь, эвакуируемые) и в другое время — классический конфликт принципала и агента, лечащийся только переносом ответственности через время: гарантийными удержаниями, страховыми регрессами и личной подписью под актами. В-третьих, моральный риск: застрахованный и «защищённый» расслабляется (компенсация риска из главы 6 передаёт привет), и страховщики не зря пишут в полисах франшизы — у расплаты должен оставаться личный, нестрахуемый осадок.

Лучшие практики корпоративного управления добавляют сюда верхний контур: вопросы безопасности выносятся на уровень совета директоров (комитеты по рискам и аудиту), у первых лиц появляются персональные метрики по инцидентам и готовности, а директор по безопасности получает прямой канал к правлению, минуя операционных руководителей, чьи KPI он своими бюджетами портит. Организационная схема, в которой безопасность подчинена тому, на чьи показатели она давит, — это конфликт интересов, нарисованный официально; удивляться его последствиям так же странно, как удивляться результатам экзамена, который студент принимает у себя сам.

Считаю, что во всеобщих интересах, как экономических, так и социальных, требуется повышение общественного внимания к вопросам равномерности затрат на минимизацию убытков и максимизацию прибыли для поиска оптимальной точки баланса.

Инструментом такого внимания, помимо проповедей, служат раскрытие и стандартизация: обязательная отчётность о существенных инцидентах (мировые биржевые регуляторы уже требуют её от эмитентов), отраслевые рейтинги защищённости, страховые тарифы, видимые рынку. Когда уровень безопасности фирмы перестаёт быть её внутренней тайной и становится наблюдаемым параметром — для инвестора, клиента, соискателя, — рыночный механизм начинает делать то, что не под силу инспекциям: переоценивать беспечность в реальном времени.

Деловой язык для этого поиска давно существует — управление непрерывностью бизнеса (BCM): для каждого критического процесса определяется целевое время восстановления (RTO) и допустимая потеря данных (RPO), считается стоимость часа простоя — и внезапно выясняется, что у касс супермаркета, серверной биржи и бухгалтерии завода эти цифры различаются на порядки, а значит, и защищать их одинаково — расточительно или преступно, смотря в какую сторону ошибиться. План непрерывности и аварийного восстановления (BCP/DRP), отрепетированный на учениях, относится к безопасности так же, как СОУЭ из главы 2 к пожару: он не предотвращает событие — он предотвращает превращение события в катастрофу.

Маркетинг, например, должен отвечать требованиям когнитивной безопасности, а финансово-коммерческая деятельность соответствовать этическим нормам политической безопасности.

Под когнитивной безопасностью маркетинга скрывается недурная исследовательская программа: тёмные паттерны интерфейсов (предотмеченные галочки, ловушки подписок, кнопка отказа цвета фона), эксплуатация когнитивных искажений из главы 6, агрессивный ретаргетинг — всё это атаки на процесс принятия решений потребителя, отличающиеся от социальной инженерии мошенников скорее юрисдикцией, чем механикой. Регуляторы постепенно подтягиваются (законодательство о защите прав потребителей и рекламе обогащается понятиями навязанных услуг и введения в заблуждение), но фундаментальная асимметрия остаётся: у атакующей стороны — лаборатории поведенческих данных, у обороняющейся — здравый смысл после рабочего дня. Фирма, зарабатывающая на этой асимметрии, технически прибыльна и стратегически токсична — доверие, как мы выяснили, актив медленный: копится годами, сгорает твитом.

Отдельная дисциплина на стыке безопасности и маркетинга — кризисные коммуникации: рано или поздно инцидент случается у всех, и дальнейшее определяется не столько его масштабом, сколько поведением фирмы в первые сутки. Законодательства (от европейского GDPR до отечественных требований об уведомлении регулятора об утечках персональных данных) всё жёстче требуют признаваться быстро; репутационная практика требует признаваться внятно: что произошло, кого касается, что мы уже сделали, что делать клиенту. Компании, прятавшие утечки месяцами, платили за молчание дороже, чем за сам инцидент, — старая истина Уоррена Баффета о репутации, которая строится двадцать лет и рушится за пять минут, в цифровую эпоху получила лишь поправку на скорость: теперь за пять секунд.

Успешный бизнес как источник и кладезь финансовых и материальных ресурсов притягивает внимание асоциальных элементов, в том числе и криминально-ориентированных, чем и вызвана необходимость стратегического подхода к обеспечению комплексной безопасности (некоторых, но не) всех участников экономически-социального взаимодействия предпринимателя и общества.

Самый недооценённый персонаж этой пьесы — инсайдер: по совокупности отраслевых обзоров, значимая доля ущерба бизнесу наносится изнутри — сотрудниками, подрядчиками, бывшими сотрудниками с непогашенными пропусками (глава 3 кивает своему antipassback). Криминолог Дональд Кресси ещё в пятидесятые сформулировал «треугольник мошенничества»: давление (долги, зависимости, обиды), возможность (бесконтрольный доступ) и рационализация («мне недоплачивают», «я только одолжил») — и практика корпоративных расследований с тех пор лишь подтверждает модель. Технические системы умеют сужать только среднюю вершину — возможность: разграничение доступа, журналирование, правило двух лиц, ротация обязанностей. Две другие вершины — епархия культуры и кадровой политики, и фирмы, где о безопасности судят по толщине турникетов, а не по климату в коллективе, защищены ровно наполовину — причём не той.

Для малого бизнеса вся эта симфония звучит, признаем честно, недостижимой роскошью: у лавки нет ни директора по безопасности, ни SOC-центра, ни аппетита к риску, оформленного протоколом. Рыночный ответ — аутсорсинг и сервисная модель: пультовая охрана вместо собственной смены, облачное видеонаблюдение по подписке, управляемые услуги кибербезопасности (MSSP), типовые полисы. Экономика здесь та же, что у страхования вообще: редкие компетенции и дорогая инфраструктура в складчину доступнее, чем в собственность, — а задача владельца сжимается до двух пунктов, которые нельзя делегировать: понимать свои главные риски (глава 7 уместится на одной странице, если честно её заполнить) и читать договоры с поставщиками безопасности до подписи, а не после инцидента.

Договорная грамотность заказчика, к слову, концентрируется в нескольких пунктах, которые стоит выучить, как таблицу умножения: предмет (мониторинг — это «смотрим и звоним» или «приезжаем и пресекаем»?), время реакции с санкциями, границы ответственности и страхование её, порядок эскалации и контакты живых людей ночью, условия выхода из договора и передачи данных преемнику. Поставщики безопасности не злодеи, но асимметрия информации работает на них: покупатель узнаёт качество услуги в момент, когда менять поставщика поздно, — потому репутационная проверка и тестовые инциденты («таинственный покупатель» для охраны) окупаются ещё на берегу.

Неумышленная неосторожность, саботаж, невнимательность, неудачное сочетание технических решений также могут стать причиной ущерба, например, вследствие пожара или иных техногенных катастроф.

Раскроем «неудачное сочетание технических решений» характерным примером, который автор наблюдал в разных декорациях не единожды: каждая подсистема спроектирована грамотно, смонтирована качественно и принята по акту — а объект уязвим, потому что на стыках никто не отвечал за целое. Источник бесперебойного питания честно держит видеонаблюдение, но коммутатор, через который оно работает, запитан от обычной розетки; пожарная автоматика образцово разблокирует СКУД, но калитка периметра управляется другой системой и о пожаре не извещена; резервный канал связи проложен — в том же лотке, что и основной, и экскаватор из главы 4 оформит оба одним движением. Сумма локальных оптимумов не равна глобальному — теорема, которую бизнес переоткрывает на каждом втором объекте за собственный счёт.

Статистика на этот счёт сурова: значительная часть малых и средних компаний, переживших крупную утрату данных или длительный простой без планов восстановления, не возвращается к бизнесу вовсе — оценки разнятся по отраслям и методикам, но порядок «каждая вторая в течение пары лет» кочует по исследованиям непрерывности не первое десятилетие. Причина прозаична: клиенты и контракты не ждут, пока погорелец отстроится, — конкуренты заберут их за время, меньшее любого RTO, написанного задним числом.

Напомню, что безопасность — краеугольный камень фундамента успеха! Безусловно, не менее важна и деятельность по оптимизации и повышению комфорта, в чём безусловными помощниками могут стать связь и автоматизация.

Пирамида Маслоу из главы 6 работает и в корпоративном масштабе: фирма, не закрывшая базовый ярус — сохранность людей, активов и данных, — строит верхние этажи стратегии на песке, и первый же серьёзный инцидент обнуляет годовые планы быстрее любого кризиса. При этом, как и у человека, гипертрофия потребности в безопасности патологична: компания, где согласование пропуска занимает неделю, а флешки запрещены вместе с инициативой, защищена от всего, включая развитие. Здоровый организм отличает иммунитет от аутоиммунного заболевания; здоровый бизнес — безопасность от бюрократического склероза, и граница эта проходит, как обычно, не по регламентам, а по здравому смыслу людей, их применяющих.

Сформулируем кредо главы в одну строку для занятых читателей: безопасность — это не статья затрат и не страховой амулет, а технология сохранения стоимости, симметричная технологиям её создания, и обе они обязаны говорить на одном языке — языке денег, вероятностей и доверия. Осталось рассмотреть поле, на котором эта стоимость нынче создаётся и похищается с наибольшей скоростью, — информацию. Ей посвящена следующая глава.

И коль скоро книга наша о слаботочных системах, переведём кредо на язык отрасли: для заказчика слаботочный раздел проекта — это покупка вероятностей по прайс-листу, и торговаться в нём осмысленно не за проценты сметы, а за проценты рисков; для подрядчика же безопасность заказчика — это товар с отложенной проверкой качества, который проверяется не приёмочной комиссией, а первым настоящим инцидентом, и репутация на этом рынке — единственный актив, который нельзя купить со скидкой. Договорная техника — SLA на обслуживание, гарантийные обязательства, страхование ответственности проектировщика и монтажника — лишь оформляет это распределение рисков буквами; читать эти буквы стоит так же внимательно, как принципиальные схемы.

Поэтому опытные заказчики выработали суррогаты проверки: референсы действующих объектов (не список логотипов, а телефон главного инженера, эксплуатирующего систему третий год), тестовые зоны и пилотные этапы, приёмочные испытания по сценариям из модели угроз, а не по таблице «включилось/не включилось». Подрядчику такие процедуры кажутся недоверием; на деле они — комплимент: всерьёз проверяют только тех, с кем собираются жить долго.