«Давайте будем честными, продукты информационной безопасности продаются благодаря страху, что случится нечто плохое», — пишет Кристиан Кирш (Christian Kirsch), разработчик и маркетинг-менеджер известного хакерского инструмента Metasploit в компании Rapid7. Он раскрывает горькую правду, которую редко готовы признать маркетологи и бизнесмены в области ИТ-сеькюрити. Правда в том, что для успешной продажи продуктов — антивирусов, файрволов, консалтинга и так далее — нужно как следует напугать клиента. Это могут быть и статьи в прессе об огромном масштабе вирусных инфекций, «аналитические отчёты» о размахе киберпреступности. Последние опросы населения показывают, что в США люди уже боятся хакеров больше, чем террористов. Обоснованы страхи или нет, но они приносят деньги компаниям из индустрии информационной безопасности, потому что эта индустрия основана на страхе.
Не только коммерческим компаниям, но и правительству любой страны выгодно, когда граждане запуганы виртуальной угрозой — тогда легче принимать законы, ужесточающие контроль над обществом под видом «борьбы с терроризмом и киберпреступностью».
Запугать обывателей очень легко, потому что людям свойственно бояться всего неизвестного и непонятного, это в природе человека.
Кристиан Кирш концентрируется на том, как грамотно запугать корпоративного клиента, чтобы продать ему продукт в сфере информационной безопасности. Для этого существуют специальные методики оценки рисков после удачно проведённого тестирования на проникновение. Другими словами, исследователи должны (с разрешения заказчика) взломать корпоративную сеть, продемонстрировать свои возможности, а потом грамотно подсчитать, в какую сумму заказчику выльется ущерб в случае настоящей атаки. Соответственно, заказчику предлагают заплатить за защиту разумную часть от суммы предполагаемого ущерба. Методика оценки стоимости продукта составляется в рамках так называемого “cost benefit analysis", когда ущерб от одного взлома умножается на вероятность взлома и сравнивается со стоимостью защитных систем.
Хакерские инструменты вроде Metasploit созданы как раз для этого — для взлома в демонстрации как можно более значительного ущерба, чтобы подставить максимальное значение в формулу для оценки затрат/выгод.
На эту индустрию работают и крупные организации, которые постоянно публикуют статистику по оценке ущерба компании от взлома. Есть данные от Ponemon Institute, Verizon Business, Forrester Research, а также ФБР. Они оценивают вероятность взлома, стоимость даунтайма системы, потери от кражи/удаления/изменения данных, юридические расходы, а также упущенную прибыль в результате потери клиентов. В общем, например, по оценке Ponemon Institute, стоимость потерянной записи об одном клиенте составляет $204. Если у вас украли базу данных с клиентами на 10 000 записей, то «по науке» ущерб оценивается более чем в 2 миллиона долларов.
