Страх как продукт: почему мы до сих пор продаём ужас вместо ценности
Рынок ИБ до сих пор продаёт не защиту, а спокойный сон до следующего квартала. Страх стал валютой - от отчётов «80% компаний под угрозой» до тепловых карт, где всё красное. Ниже — ещё более сжатая выжимка: как устроена эта машина страха и чем её заменить.
Как страх стал главным продуктом:
Доказать эффект от ИБ трудно: мало данных, спорные методики, внутренняя политика сильнее формул. В результате страх стал универсальным инструментом: случился инцидент - рынок завален продуктами и отчётами «как раз от такой угрозы».
Классика жанра:
Вирус уровня WannaCry использует старые уязвимости, но продаётся как «новая эра вымогателей и уникальных защит».
Отчёты «80% компаний под угрозой» строятся на кривых опросах своей аудитории и заканчиваются «запросите демо/пилот».
FUD даёт краткосрочное внимание, но в долгую убивает доверие и либо ведёт к хаотичным покупкам «серебряных пуль», либо к апатии: всё кажется одинаково страшным.
Чеклист для CISO:
На любую страшилку ответьте:
Какой конкретный сценарий атаки описан?
Какова вероятность и ущерб именно для нашей компании?
Что изменится в нашей модели угроз, если мы это купим/внедрим?
Если хотя бы на один пункт ответа нет - это продажа эмоции, а не безопасности.
Иммунитет CEO и красные тепловые карты:
У многих CEO уже аллергия на FUD-слайды «Россия в топ‑3 по атакам» и «каждая вторая компания пострадала».В ответ безопасники приносят тепловые карты, где половина клеток ярко‑красные.
Что реально происходит:
Красный цвет мгновенно бьёт по инстинктам, один слайд перекрывает пачку таблиц.
Но карта «всё красное» без чисел - это эмоциональный шантаж ради бюджета, а не управление рисками.
Что можно поправить быстро:
У каждой «красной зоны» должны быть: сценарий, диапазон потерь и время простоя.
Вместо абстрактных рейтингов - 2–3 реально возможных для вашего бизнеса кейса с понятными цифрами.
Медиа и «исследования»: аналитика или хоррор:
ИБ‑медиа и вендорские отчёты - крупная шестерёнка машины страха.
По оценкам редакторов, 90–95% исследований делаются ради продвижения продукта: методика мутная, цифры разных отчётов по одной теме могут расходиться на порядки.
Полезно:
Читать аналитику по реально эксплуатируемым уязвимостям и zero‑day в массовых продуктах.
Разборы реальных инцидентов - их мало, но именно они меняют практику.
Вредно:
Разгонять фейки, неподтверждённые сливы и «80% под угрозой» без описания выборки.
Фильтр для отчётов
Один вопрос: «Эта цифра способна изменить наше решение?»
Если нет - перед вами маркетинг, а не аналитика.
Регулятор против хакера: чей страх сильнее:
У российского заказчика два фронта: хакеры и регулятор.
Факты:
60–70% бюджетов ИБ уходит на комплаенс (приказы, ГОСТы, 152‑ФЗ, отраслевые требования).
Остаток - на «живую» защиту: SOC, мониторинг, сегментацию, реагирование.
Почему страх регулятора побеждает:
Атака - вероятностна, может и не случиться.
Проверка - гарантирована, с датой и понятными санкциями.
Мини-действие
Разложите бюджет на «комплаенс» и «реальную защиту».
В каждый комплаенс‑проект заложите хотя бы одну меру, которая действительно снижает риск.
Как уйти от продажи страха к продаже ценности:
Нужный сдвиг: от управления страхами - к управлению рисками и бизнес‑ценностью.
На практике:
Переводите «страшно» в «сколько стоит и что конкретно делаем в ответ».
Привязывайте ИБ к бизнес‑метрикам: простои, выручка, операционные издержки, скорость изменений.
Используйте новости и инциденты как материал для обучения и улучшений, а не как повод продавить очередную «серебряную пулю».
Если вы:
Перепишете одну ключевую презентацию, убрав хоррор и добавив сценарии с деньгами.
Хоть раз в неделю спросите команду: «Мы сейчас управляем риском или реагируем на хорошо проданный страх?» - значит, вы уже выходите из режима «страх как продукт» и начинаете говорить с бизнесом на взрослом языке.
А у вас решения по ИБ сейчас чаще объясняют «по регулятору надо», «видели страшный кейс» или нормальным разговором про риски и деньги?
