Защита, которую не видно: почему промышленная кибербезопасность всё ещё не может доказать свою ценность совету директоров

Представьте себе мир, где одна-единственная кибератака может в одночасье остановить завод, парализовать энергосистему целого региона или привести к экологической катастрофе. Специалисты, которые защищают эти промышленные системы, живут в таком мире каждый день. Но вот парадокс: они годами не могут внятно объяснить совету директоров, зачем компании тратить на них деньги. Проблема не в том, что угроз нет — их как раз больше, чем когда-либо. И не в том, что не хватает экспертов. Всё упирается в простой, но неразрешимый вопрос: как оценить стоимость того, что никогда не случилось? В отличие от коллег из IT, которые могут посчитать ущерб от утечки данных, защитники операционных технологий (ОТ) работают ради сохранения статус-кво. Их успех — это тишина. Никаких громких взломов, аварийных остановок или заголовков в прессе. А как обосновать бюджет на то, чтобы ничего не происходило? Этот разрыв создаёт опасную брешь в управлении рисками. Пока в IT давно научились считать возврат инвестиций в безопасность, в промышленности нет единых метрик. Из-за этого компании часто недофинансируют защиту систем, от которых зависят жизни людей и безопасность страны. Ситуацию усугубляет слияние IT и ОТ-сетей. Руководство пытается применять к заводу те же критерии, что и к офисной сети: время на обнаружение угроз, количество установленных обновлений. Но на производстве установка патча может потребовать месячного простоя линии, а ложное срабатывание системы защиты — обернуться миллионными убытками. Ориентир на соответствие стандартам тоже не спасает. Сертификат — это лишь галочка, а не гарантия от целевой атаки. Пока совет директоров не научится видеть ценность в «невидимом щите», промышленность будет оставаться уязвимой. А цена такой уязвимости измеряется уже не в цифрах на счету, а в реальных физических последствиях.