Что получит бизнес, внедрив безопасную разработку, или Возврат инвестиций и как его понять, если вы не экономист

Что получит бизнес, внедрив безопасную разработку, или Возврат инвестиций и как его понять, если вы не экономист

Компании проходят разные стадии своего жизненного цикла, которых Ицхак Адизес выделил десять. От зарождения бизнеса до его логического завершения встретятся самые разные проблемы, но вопрос «А где взять денег?» будет лейтмотивом каждого этапа развития. Потому что деньги пока что самый понятный и удобный количественный ресурс успеха той или иной активности. Хорошо, что мы научились считать эффективность инвестиций: теперь мы понимаем, зачем и куда мы движемся.

ВОЗВРАТ ИНВЕСТИЦИЙ ВОЛНУЕТ

ROI (return on investment, возврат инвестиций) — коэффициент рентабельности инвестиций, который помогает рассчитать окупаемость вложений в проект. Расчёт этого коэффициента позволяет определить эффективность потраченных средств. Есть ещё понятие ROSI (return on security investment), однако такой термин встречается реже. 

Исходя из названия и описания, становится понятным, что благодаря этому расчёту вы (как отдельный человек или инвестор) можете узнать, когда все ваши затраты вернутся к вам и в каком объёме превысят вложения. Абсолютно то же самое происходит и с бизнесом: любые затраченные ресурсы компания хочет когда-то вернуть, а понимать, когда это случится, лучше уже в момент этих самых затрат. 

Как правило, возврат инвестиций волнует любой бизнес — от крупного бизнеса до небольших компаний с численностью до 100 человек. Всё-таки цель бизнеса — выжить. А на это может повлиять очень много факторов. Если мы говорим про безопасность, то есть много примеров, когда ошибки в подходах к обеспечению кибербезопасности были фатальными для бизнеса: например, в 2022 году компания 7-Eleven была вынуждена на несколько дней приостановить работу своих магазинов из-за киберинцидента. Помимо репутационных рисков, компания понесла ещё и денежные потери, которые они не раскрывают. Но мы знаем, что средняя стоимость утечки — около 4,45 млн долларов (согласно отчёту IBM Security). 

При этом при расчёте возврата инвестиций в безопасность вообще возникает мискоммуникация с бизнесом: очень сложно обосновать затраты так, чтобы они базировались на чётко измеряемых данных — всё держалось на «страшилках» и включении затрат на информационную безопасность в операционные расходы. То есть бизнесу транслировали, что потратить деньги на безопасность необходимо, потому что: 

• это примерно как страхование;
• это, наверно, должно быть;
• это вроде как управление рисками.

Звучит убедительно, да?

НЕПРОЗРАЧНАЯ ИСТОРИЯ

Это далеко не все пункты, которыми оправдывают затраты на безопасность. Именно оправдывают, потому что обоснования тут нет. История с возвратом инвестиций в отрасль безопасности приложений ещё более непрозрачна: гибкие методологии разработки диктуют свои правила, не в каждой из них найдётся место безопасности. 

При этом реальная экономика денежных потоков часто не подсвечивается. Когда мы начнём декомпозировать затраты в информационную безопасность приложений, мы увидим, что они делятся на три больших блока (рис. 1). Каждый из этих блоков может как тратить деньги, так и экономить. Посмотрим на примере (рис. 2).

Рисунок 1. Когда мы начнём декомпозировать затраты в информационную безопасность приложений, мы увидим, что они делятся на три больших блока.

Рисунок 2. Каждый из этих блоков может как тратить деньги, так и экономить. Посмотрим на примере

Допустим, для компании, которая разрабатывает приложения, критически важно быть конкурентноспособными и соответствовать пожеланиям потребителя. Для этого её приложения должны быть не только прогрессивными и функциональными, но и технологичными: рынок требует постоянных изменений и улучшений. Поэтому нам нужно снижать ручной труд в угоду автоматизации. Соответственно, для таких компаний очень важно держать фокус внимания на качестве, а не на постоянном «тушении пожаров». И уже такие аргументы приводить в пользу расчёта экономической эффективности. 

В свою очередь, корректное использование инструментов и внедрение практик безопасной разработки позволяют улучшить показатели компании во многих аспектах, среди которых: 

• увеличение скорости релизов;
• повышение эффективности разработки;
• повышение эффективности управления разработкой;
• повышение качества кода;
• обеспечение соответствия требованиям.

А уже эти пункты можно посчитать в деньгах: сколько потратим, сколько заработаем.

БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЙ МОЖНО ВЫРАЗИТЬ В ДЕНЬГАХ 

Благодаря отчёту 2023 Data Breach Investigation мы знаем, что 95% всех утечек произошли в веб-приложениях, а 56% киберинцидентов за последние пять лет связаны также с веб-приложениями. При этом, несмотря на важность веб-разработки, в компаниях 99% сотрудников не осведомлены даже о списке угроз OWASP. Об этом мы знаем благодаря отчёту Proof Point. При этом начать процесс работы с уязвимостями можно очень легко — используйте, например, бесплатные плагины, которые помогают разработчику прямо во время написания кода осуществлять его проверку на уязвимости и сразу исправлять их, не выходя из IDE. У нас в Positive Technologies их набор регулярно пополняет команда PT Application Inspector, статического анализатора приложений. 

Логично, что из этих 99% львиную долю занимают среди прочего и специалисты по ИТ: разработчики, тестировщики и аналитики. Менее 50% компаний вообще обучают разработчиков безопасному кодингу — большая часть предпочитает «решать проблемы по мере их поступления», то есть просто устранять уязвимости, когда они нашлись! 

А найтись они могут далеко-далеко в продакшене. Например, когда будет пентест или приложение начнёт сбоить. Хуже, когда пентест будет незапланированным: тогда у вас нет времени устранять уязвимость — её уже проэксплуатировали. 

При этом трудозатраты на устранение уязвимостей разнятся: например, на этапе Development (когда разработчик только пишет код) требуется около четырёх часов в среднем, чтобы устранить проблему. А уже в продуктивной среде это время возрастает до 16–40 часов. Это, кстати, хороший пример для упражнений в математике: можно взять среднюю зарплату разработчиков в час и посчитать, где вы теряете деньги (рис. 3). 

Рисунок 3. Можно взять среднюю зарплату разработчиков в час и посчитать, где вы теряете деньги

КАК ПОВЫСИТЬ ЭКОНОМИЧЕСКУЮ ЭФФЕКТИВНОСТЬ С ПОМОЩЬЮ РАЗРАБОТЧИКОВ?

Глобально компании живут в парадигме того, что уязвимости либо экстренно устраняются в продакшене, либо до попадания в контур прода. Каждый из этих подходов имеет место, но мы считаем оптимальным превентивный подход. Всё-таки безопасность — это мера качества вашего продукта. Набор продуктов для защиты веб-приложений от киберугроз, таких как Web Application Firewall (WAF), например, PT Application Firewall, продукты SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing) — такие как PT Application Inspector и PT BlackBox, помогают на каждом этапе жизненного цикла продукта минимизировать развитие киберинцидентов — устранить уязвимости, обнаружить и заблокировать кибератаки. Сейчас важно и защищать контейнерные среды, так как большая часть прогрессивного бизнеса перешла в Docker и Kubernetes. Есть продукты и для их защиты, например PT Container Security. В идеале нужно, чтобы ИБ-продукты, установленные в компании, работали в связке между собой. Так можно получить синергию выше, потому что платформенный подход всегда экономит время. 

Когда разработчик не использовал методы безопасного кодинга и не тестировал приложение на безопасность до его попадания в продакшен, мы получим негативную картину: уязвимость всплывёт, и нам нужно будет её устранять, затратив большое количество времени. При этом обучение специалистов безопасной разработке (безопасному кодингу, внедрению и использованию нужных инструментов, ручному тестированию) занимает, как правило, меньше времени. 

Так как разработчики — основная движущая сила большого пласта бизнеса, стоит сказать о том, что и ROI очень часто зависит от них. При этом практики безопасности внутри разработки приложений приносят огромную пользу — как денежную, так и репутационную. GitLab и Forrester выпустили замечательный отчёт — Total Economic Impact, где рассчитали эффективность безопасной разработки с учётом корректного использования инструментов AppSec (когда они работают как единая DevSecOps-платформа). 

Цифры впечатляющие:

• ROI — 427%.
• Срок возврата инвестиций — менее полугода.
• Чистый дисконтированный доход — более 150 млн долларов.

Конечно, при разных вводных цифры будут отличаться, но даже при пессимистичных сценариях безопасная разработка возвращает деньги за 1,5–2 года. Мы считали.

Посмотрим основные затраты на безопасную разработку:

• обучение специалистов application security;
• обучение сотрудников практикам безопасного кодинга и работе с инструментами безопасной разработки;
• разбор дефектов, обнаруженных в процессе анализа приложения;
• внедрение платных инструментов;
• привлечение сторонних консультантов;
• амортизация физического оборудования.

А теперь основные затраты, если вы не будете делать разработку безопасной:

• позднее исправление уязвимостей;
• репутационные риски;
• простой команды разработки;
• внедрение экстренных патчей;
• нецелевое расходование человеческих ресурсов.

И это только основные затраты, конкретно для вашей компании приоритеты могут меняться. Это зависит от области деятельности, численности сотрудников и стека технологий. Единственное, что не будет меняться, — это необходимость внедрения проверок безопасности в цикл вашей безопасной разработки.