Взаимосвязь рисков информационной безопасности и финансовых рисков в организации: теоретическая модель интеграции в ERM
Алексашина Т.В.1 
, Разинкина И.В.1
1 Финансовый университет при Правительстве Российской Федерации, Москва, Россия
Статья в журнале
Управление финансовыми рисками (РИНЦ, ВАК)
опубликовать статью | оформить подписку
Том 22, Номер 3 (Июль-сентябрь 2026)
Введение
Ускоренная цифровая трансформация экономики и перевод ключевых процессов в электронные каналы формируют новые источники уязвимости для организаций и пользователей. Наряду с расширением возможностей цифровизация существенно повышает уровень рисков информационной безопасности [8]: рост зависимости от цифровых каналов и данных увеличивает уязвимость организаций и пользователей к кибератакам, утечкам информации и мошенничеству, что влечёт как операционные, так и финансовые последствия. Информационная безопасность перестала быть исключительно технологической функцией: для современной организации она непосредственно связана с финансовой устойчивостью, непрерывностью деятельности и доверием клиентов. Любой значимый киберинцидент - от компрометации учетных данных до остановки сервисов - трансформируется в финансовые потери, причем не только прямые (хищение средств или расходы на восстановление), но и косвенные, проявляющиеся через простой, регуляторные санкции, судебные споры и репутационный ущерб.
Актуальность усиливается динамикой цифрового поведения и масштабом мошенничества. По данным Аналитического центра НАФИ и компании «Ингосстрах», в 2025 году 94% россиян сталкивались с мошенничеством [1]. При этом сохраняется дефицит практик цифровой гигиены: значимая доля пользователей не защищает смартфон от постороннего доступа, использует одинаковые пароли на разных сайтах и принимает cookies, не понимая их назначения [4]. На уровне устойчивости к инцидентам показателен и низкий уровень регулярного резервного копирования рабочих данных: регулярно (не реже раза в неделю) его делают лишь 13% опрошенных, хотя риск взлома аккаунтов воспринимается как одна из главных угроз [9]. Параллельно растет доля пользователей мобильного банка (в 2024 году — 74%), что увеличивает потенциальный масштаб ущерба при атаках на цифровые каналы и платежные процессы [3]. На стороне организаций это означает, что вероятность и «цена» киберинцидентов растут одновременно, а значит, требуется язык и методика, позволяющие переводить киберриски в финансовые категории для управленческих решений. Каждый второй россиянин (57%) сталкивался с утечкой персональных данных, кражей денежных средств или другими серьезными проблемами при использовании цифровых финансовых сервисов [5].
В этой связи ключевым становится вопрос управляемости: как перевести риски информационной безопасности в финансовые категории и встроить их в общую систему принятия решений. Здесь используется понятие ERM (Enterprise Risk Management) - интегрированное управление рисками на уровне организации, при котором все существенные риски рассматриваются в едином портфеле, сопоставляются с целями бизнеса и риск‑аппетитом, а решения о мерах управления и инвестициях принимаются на основании единых критериев существенности и управленческой отчетности.
Исследования, посвящённые взаимосвязи рисков информационной безопасности и финансовых рисков, сходятся в том, что киберинциденты следует рассматривать не как изолированные технические события, а как фактор, формирующий финансовые последствия через несколько каналов: прямые потери (мошенничество, вымогательство), перерывы в деятельности и операционные сбои, регуляторно‑правовые издержки, а также репутационные эффекты, отражающиеся на поведении клиентов и контрагентов. В этой логике информационная безопасность становится элементом экономической устойчивости и конкурентоспособности организации, а управление киберриском требует сопоставимости с финансовыми метриками и корпоративным управлением рисками.
Экономическая трактовка киберриска как объекта управленческого выбора наиболее последовательно выражена в моделях оптимизации инвестиций в защиту. Так, в работе Л. Гордона и М. Лёба показано, что оптимальный объём инвестиций в информационную безопасность определяется не максимизацией затрат на защиту, а балансом ожидаемого ущерба и эффективности контролей; при определённых условиях рациональный уровень инвестиций может составлять лишь часть потенциального ущерба, что делает принципиально важными корректную оценка риску и приоритизацию мер защиты [13]. Для перевода «технического» риска в управляемую финансовую величину в практико‑ориентированной литературе применяются подходы количественной интерпретации киберриска в денежном выражении, где сценарий служит базовой единицей анализа, а ущерб раскладывается на составляющие, сопоставимые с показателями отчётности и денежных потоков [6].
Эмпирические исследования финансовых последствий киберинцидентов, как правило, используют событийный анализ реакции рынка на публичные сообщения об утечках и нарушениях безопасности. Ранние работы демонстрируют статистически значимый отрицательный эффект на рыночную стоимость компаний после объявлений о нарушениях безопасности [14, 15]. В более поздней работе С. Романовского подчёркивается, что издержки киберинцидентов неоднородны и включают как прямые потери, так и затраты на реагирование, восстановление и юридическое сопровождение; при этом наблюдается высокая вариативность ущерба и значимость редких, но крайне тяжёлых событий, что методически поддерживает применение сценарного анализа и стресс‑оценки [20]. В качестве источников для типологии событий и ориентировочных компонент ущерба широко используются отраслевые отчёты (IBM Cost of a Data Breach; Verizon DBIR), которые хотя и не являются академическими исследованиями, предоставляют проверяемые и регулярно обновляемые эмпирические ориентиры для калибровки сценариев [17, 21].
На уровне методологических рамок интеграции киберрисков в финансовое управление важную роль играют стандарты и руководства по управлению рисками и устойчивостью. ISO/IEC 27005 фиксирует процесс управления рисками информационной безопасности и поддерживает сценарное описание риска, обеспечивая переход от «актив — угроза — уязвимость — последствия» к процедурам оценки, обработки и мониторинга [18]. Для структурирования мер управления киберриском и описания зрелости процессов широко применяется рамочная структура NIST CSF 2.0, позволяющая систематизировать меры по жизненному циклу управления (управление, идентификация, защита, выявление, реагирование, восстановление) и тем самым связать их с влиянием на частоту и тяжесть сценариев [19]. Встраивание киберрисков в корпоративный контур обеспечивается принципами COSO ERM, где ключевыми являются риск‑аппетит, согласование рисков с целями и портфельная агрегация рисков в управленческой отчётности [16]. Наконец, перевод последствий киберинцидентов в финансовые категории во многих работах опирается на логику операционного риска: Базельский комитет по банковскому надзору трактует значительную часть киберсобытий как источники операционных потерь и подчёркивает значимость надлежащих процедур управления, контроля и мониторинга [12].
Российские исследования усиливают теоретическую связку между информационной безопасностью и экономической устойчивостью и конкретизируют особенности финансового сектора и экосистемных моделей. В статье М. А. Самойлова показано, что взаимосвязь экономической и информационной безопасности определяется степенью защищённости информационных активов, а укрепление экономической устойчивости возможно через регулярный процесс информационной безопасности, реализуемый системой процедур и технических/программных средств [10]. Работа А. В. Царегородцева и соавт. фокусируется на рисках информационной безопасности цифровых продуктов финансовых экосистем и подчёркивает ограниченность «классических» моделей анализа риска в гетерогенной среде экосистем; авторы предлагают метод оценки, учитывающий динамику факторов риска и сценарную управляемость в рамках конкретных реализаций угроз [11]. Исследование Е. А. Беляева и соавт. систематизирует методики оценки рисков информационной безопасности кредитно‑финансовых организаций, выделяет их достоинства и недостатки и фиксирует недостаточную формализацию оценки киберрисков при доминировании регуляторного внимания к операционным рискам; обосновывается необходимость разработки методов, учитывающих отраслевые особенности и связывающих угрозы и уязвимости для оптимизации оценки [2].
В совокупности рассмотренная литература позволяет заключить, что теоретически обоснованный анализ взаимосвязи рисков информационной безопасности и финансовых рисков должен строиться на сценарной модели ущерба с финансовой декомпозицией последствий и последующей портфельной агрегацией в системе корпоративного управления рисками. При этом остаётся актуальной задача унификации «языка» между функциями информационной безопасности и финансового риск‑менеджмента, включая сопоставление сценариев киберриска с финансовыми категориями риска и управленческими показателями устойчивости.
Несмотря на наличие развитых теоретических и прикладных подходов к управлению рисками информационной безопасности, а также значительного массива исследований, фиксирующих финансовые последствия киберинцидентов, в современной литературе сохраняется недостаточная методологическая проработанность вопроса их интеграции в контур корпоративного финансового риск‑менеджмента. Существующие работы, как правило, развиваются в параллельных направлениях: экономические и эмпирические исследования преимущественно оценивают величину ущерба и реакцию рынков, тогда как стандарты и руководства по кибербезопасности концентрируются на процессах идентификации, оценивания и обработки рисков и на описании мер защиты. Тем самым сохраняется разрыв между «технической» интерпретацией киберрисков и их финансовым представлением, что затрудняет обоснование управленческих решений и выбор приоритетов по мерам защиты на уровне организации.
Цель настоящей статьи - предложить теоретическую причинно‑следственную модель трансляции рисков информационной безопасности в финансовые риски и показать, как увязать оценку киберрисков с рамками ERM и операционного риска, чтобы обеспечить сопоставимость с финансовыми метриками и риск‑аппетитом.
Научная новизна работы заключается в формировании интегративной концептуальной схемы, которая формализует многоканальное влияние инцидентов информационной безопасности на финансовые результаты через операционные, правовые и репутационные эффекты, и обеспечении методической связки сценарной оценки киберрисков с категориями финансовых рисков, применяемыми в корпоративном управлении.
Материалы и методы
Работа носит теоретический характер и выполнена на основе анализа вторичных источников и концептуального моделирования. В качестве эмпирического фона использованы открытые аналитические данные о распространенности мошенничества и цифровых практик (в частности, данные НАФИ), поскольку они отражают поведенческий фактор как важный источник частоты инцидентов. Теоретическая часть основывается на научных публикациях, посвящённых взаимосвязи экономической и информационной безопасности организаций, а также особенностям управления рисками информационной безопасности в цифровых финансовых экосистемах. Далее используется сопоставление и согласование четырёх рамочных подходов, применяемых в управлении рисками и мерами контроля. Логику процесса управления риском задает международный стандарт по управлению рисками информационной безопасности ISO/IEC 27005: установление контекста, идентификация сценариев, анализ и оценка риска, обработка риска, мониторинг [7]. Для описания и классификации мер защиты и процессов реагирования используется фреймворк для управления киберрисками NIST CSF, позволяющий классифицировать управленческие, организационные и технические меры по этапам жизненного цикла управления киберрисками (управление, идентификация, защита, выявление, реагирование, восстановление). Это дает возможность сопоставлять конкретные меры внутреннего контроля с их влиянием на вероятность (частоту) реализации сценариев и тяжесть их последствий. Встраивание киберрисков в контур управления обеспечивается принципами COSO ERM: риск‑аппетит, связь рисков с целями и показателями, портфельная агрегация, управленческая отчетность. Перевод последствий киберинцидентов в финансовый язык производится через логику операционного риска в подходах Basel: классификация потерь, событийная природа потерь, сценарный анализ, учет крупных редких потерь и стресс‑оценка воздействия на устойчивость.
В рамках исследования применялись контент‑анализ источников и концептуальное моделирование: выделялись типовые киберсценарии и соответствующие им финансовые эффекты. Количественные оценки для конкретной организации не рассчитывались; результат представляет собой теоретическую модель, пригодную для дальнейшего применения в прикладных оценках.
Результаты исследования
Предложенная модель трактует киберинцидент как первичное событие, которое порождает цепочку эффектов и в итоге отражается в финансовом контуре. Важно, что финансовая природа ущерба почти всегда многоканальна: один инцидент способен одновременно вызвать простой, регуляторные последствия и репутационный отток, а потому его корректнее оценивать не «единой оценкой риска», а через финансовую декомпозицию ущерба и последующее агрегирование в портфеле ERM.
Рисунок 1. Причинно‑следственная модель трансляции рисков информационной безопасности в финансовые риски [1]
Ниже приведена модель, описывающая последовательную трансляцию киберрисков в финансовые последствия и управленческие решения в ERM-портфеле. В рамках модели цифровой контекст и внешние зависимости определяют состав критичных активов и процессов; сочетание актуальных угроз, уязвимостей и состояния мер защиты формирует вероятность и потенциальную тяжесть реализации сценария. Реализация угрозы приводит к инциденту информационной безопасности, который вызывает операционные, правовые и репутационные эффекты и далее отражается в финансовом контуре организации через прямые потери, потери от простоя, рост операционных расходов, штрафы и изменения денежных потоков. Полученные оценки соотносятся с категориями финансовых рисков в портфеле корпоративного управления и с параметрами риск‑аппетита, после чего принимаются решения по обработке риска (усиление мер защиты, перенос риска, инвестиции, установление лимитов). Замыкание контура обеспечивает снижение частоты и/или тяжести последующих инцидентов и повышение операционной устойчивости.
Пример трансляции инцидента информационной безопасности в финансовые последствия. В качестве исходного события рассматривается компрометация учетной записи администратора. Инцидент приводит к росту операционных расходов, связанных с проведением расследования, усилением процедур управления доступом (в том числе внедрением многофакторной аутентификации для критичных систем) и выполнением внеплановых обновлений программного обеспечения. Одновременно формируются финансовые последствия в части денежных потоков и обязательств: возможны задержки проведения платежей, возникновение штрафных санкций за нарушение установленных требований к обработке и передаче данных, а также дополнительные затраты на информирование клиентов. На уровне корпоративного управления рисками данные последствия отражаются в пересмотре мер обработки риска, включая перераспределение ресурсов в пользу повышения киберготовности, корректировку параметров страхового покрытия и формирование финансовых резервов на покрытие потенциальных потерь от аналогичных инцидентов.
Для прикладного использования модели предложено сопоставление типовых киберсценариев с финансовыми категориями риска и измеримыми эффектами (табл. 1). Важное наблюдение состоит в том, что один сценарий почти всегда формирует несколько финансовых эффектов одновременно, а значит, оценка должна выполняться не одной «интегральной» оценкой, а через финансовую декомпозицию ущерба (прямые потери, простой, затраты на восстановление, штрафы и резервы, репутационный отток).
Таблица 1. Соответствие киберсценариев и финансовых рисков
|
Сценарий риска
информационной безопасности
|
Доминирующая
категория финансового риска
|
Финансовые
последствия
|
Метрики для ERM
|
Управленческие рычаги
|
|
Социальная инженерия
(подмена реквизитов, фишинг платежей)
|
Операционный риск
(потери от мошенничества)
|
Прямое хищение;
расходы на расследование и возвраты; рост затрат поддержки
|
сумма потерь; число
инцидентов; доля успешных атак
|
Предотвращение и
защита; выявление и мониторинг; реагирование и сдерживание
|
|
Компрометация учетных
записей
|
Операционный риск
|
Хищение средств;
компенсации; репутационный отток
|
средний ущерб; количество
случаев захвата аккаунтов за выбранный период; время блокировки
|
Предотвращение и
защита; выявление и мониторинг; реагирование и сдерживание
|
|
Утечка персональных
данных
|
Правовой/регуляторный
риск
|
Штрафы; судебные
издержки; рост стоимости привлечения клиентов
|
штрафы; индекс
лояльности; стоимость привлечения клиента; отток клиентов
|
Управление;
предотвращение и защита; выявление и мониторинг; реагирование и сдерживание
|
|
Разрушение данных
|
Операционный риск
(простой)
|
Недоступность
сервисов; недополученная выручка; затраты на восстановление
|
время недоступности
сервиса, потери от перерыва в деятельности, целевое время восстановления,
допустимая потеря данных, затраты на восстановление
|
Предотвращение и
защита; выявление и мониторинг; реагирование и сдерживание; восстановление и
устойчивость
|
|
Недоступность
цифровых каналов
|
Риск доходности
(через простой) и операционный риск
|
Потеря
выручки/комиссий; SLA‑штрафы; расходы на устойчивость
|
доступность сервиса;
недополученная выручка; штрафные санкции за нарушение соглашений об уровне
сервиса
|
Предотвращение и
защита; выявление и мониторинг; реагирование и сдерживание; восстановление и
устойчивость
|
|
Злоупотребление
привилегиями
|
Операционный и
правовой риск
|
Прямые потери;
расследование; споры; восстановление
|
события
привилегированного доступа; нарушения разделения полномочий; потери
|
Управление;
предотвращение и защита; выявление и мониторинг; реагирование и сдерживание
|
|
Атака через
подрядчика/поставщика
|
Концентрацион-ный и
операционный риск
|
Каскадный простой;
затраты на миграцию; контрактные споры
|
время простоя; число
инцидентов у поставщиков; затраты на смену поставщика
|
Управление;
предотвращение и защита; выявление и мониторинг; реагирование и сдерживание
|
|
Ошибки конфигурации
облака
|
Правовой/операционный
риск
|
Утечки; штрафы;
расходы на аудит и устранение
|
время экспозиции;
число ошибок; стоимость устранения
|
Идентификация и учет;
предотвращение и защита; выявление и мониторинг; реагирование и сдерживание
|
Обсуждение
Результаты исследования позволяют интерпретировать риски информационной безопасности как устойчивый фактор формирования финансовых рисков организации. Принципиальным является вывод о том, что последствия киберинцидентов проявляются в нескольких взаимосвязанных измерениях: в операционном - через нарушение доступности и деградацию процессов; в правовом - через возникновение обязательств по соблюдению требований, применение штрафных санкций и рост судебных издержек; в репутационном - через изменение поведения клиентов и контрагентов. В совокупности это формирует финансовые эффекты, распределенные во времени и отражающиеся как в отчетности о финансовых результатах, так и в денежных потоках. Такая трактовка объясняет, почему оценка киберриска в виде единого «интегрального» показателя нередко оказывается недостаточной для управленческих решений: без декомпозиции ущерба затруднены выбор приоритетных мер и проверка их экономической обоснованности.
Предложенный подход развивает существующие научные взгляды к управлению киберрисками. Он согласуется с экономической логикой оптимизации инвестиций в защиту, однако смещает акцент с вопроса «сколько инвестировать» на вопрос «в какие именно меры и с каким ожидаемым финансовым эффектом».
Сравнение с эмпирическими исследованиями, оценивающими финансовый эффект публичных инцидентов, включая реакцию рынка, показывает, что наблюдаемая в них неоднородность ущерба и значимость редких, но крупных событий требуют сценарной логики и стресс‑представления риска. Авторская интерпретация состоит в том, что именно многоканальность эффектов и «хвостовой» характер потерь делают сценарную финансовую декомпозицию методически предпочтительной по сравнению с оценками, основанными только на средних значениях или качественных шкалах существенности.
В сопоставлении с нормативно‑методическими рамками по управлению рисками и кибербезопасности авторский подход сохраняет их процессную основу, но дополняет ее финансовой интерпретацией результатов. Международные стандарты и рамочные структуры описывают, как организовать идентификацию, оценку и обработку киберриска, а также как классифицировать меры предотвращения, обнаружения, реагирования и восстановления. В настоящей статье предлагается связать эти элементы с финансовыми категориями риска и риск‑аппетитом в контуре корпоративного управления, что обеспечивает сопоставимость киберрисков с иными видами рисков и повышает обоснованность управленческих решений на уровне портфеля ERM.
Сопоставление с российскими исследованиями позволяет уточнить вклад работы в предметную область. Идея взаимосвязи экономической и информационной безопасности получает развитие через формализацию механизма перехода от защищенности информационных активов к финансовым последствиям. Акцент на цифровых экосистемах и гетерогенности среды расширен включением внешних зависимостей и третьих сторон в исходную постановку риска и в карту соответствия сценариев. Выводы о недостаточной формализации оценки рисков информационной безопасности в финансовом секторе поддерживаются предложением инструмента сопоставления киберсценариев с финансовыми рисками и показателями ERM.
Ограничением исследования является его теоретический характер и отсутствие эмпирической калибровки модели на данных конкретных организаций. Тем не менее, разработанная конструкция создаёт необходимую основу для последующих прикладных исследований и практического внедрения.
Заключение
Проведённое исследование подтвердило, что риски информационной безопасности и финансовые риски организации образуют единую систему, в которой киберинциденты через операционные, правовые и репутационные эффекты преобразуются в финансовые потери и влияют на устойчивость денежных потоков.
Выявленная проблема заключается в сохраняющихся методических ограничениях интеграции киберрисков в корпоративный финансовый риск‑менеджмент. Результаты оценки рисков информационной безопасности часто фиксируются в технических терминах без воспроизводимого перехода к финансовым показателям. В ходе исследования выявлено, что на уровне практики управления отсутствует единый подход к разложению ущерба по ключевым финансовым каналам, где важно отделять прямые потери, потери от простоя, правовые издержки, репутационно‑поведенческие эффекты.
Основные научные результаты исследования состоят в следующем:
1) Разработана причинно-следственная модель, раскрывающая механизм трансляции рисков информационной безопасности в финансовые риски организации.
2) Предложена карта соответствия киберсценариев и финансовых рисков, позволяющая увязывать технические сценарии с финансовыми последствиями, метриками и управленческими решениями в рамках ERM.
3) Обоснована необходимость финансовой декомпозиции ущерба как обязательного условия корректной интеграции киберрисков в систему корпоративного управления рисками.
Для решения выявленной проблемы рекомендуется использовать сценарный подход к оценке киберрисков с обязательным выделением финансовых каналов ущерба, закреплять результаты оценки в параметрах риск-аппетита и управленческой отчётности, а также применять карту соответствия как инструмент согласования терминологии и принятия управленческих решений.
Перспективы дальнейших исследований связаны с количественной параметризацией предложенной модели: оценкой частоты и тяжести потерь по сценариям, разработкой подходов к агрегации киберрисков на портфельном уровне, а также эмпирической проверкой модели на данных организаций, прежде всего финансового сектора и экосистемных структур, с применением сценарных и стресс‑процедур.
[1] Составлено авторами
Страница обновлена: 29.06.2026 в 14:36:07
Vzaimosvyaz riskov informatsionnoy bezopasnosti i finansovyh riskov v organizatsii: teoreticheskaya model integratsii v ERM
Aleksashina T.V., Razinkina I.V.Journal paper
Financial risk management
Volume 22, Number 3 (July-september 2026)