Алексей Мостовщиков: «Безопасность ЦОД — это не только затраты, но и инвестиции в репутацию и непрерывность бизнеса»

2 часа назад

Алексей Мостовщиков
управляющий директор ВСП Глобал

Журнал RUБЕЖ поговорил с Александром Овчинниковым, генеральным директором ВСП Глобал, Александром Даниловым, управляющим директором ВСП Глобал, и Алексеем Мостовщиковым, президентом Международной ассоциации промышленников и предпринимателей «МОСТ», генеральным директором АНО «Агентство Цифрового Развития», о стоимости рисков в ЦОД, пределах разумных вложений в безопасность и будущих трендах отрасли.

RUБЕЖ: Сколько стоят риски в ЦОД?

Александр Овчинников: Только вчера встречались с одной из ведущих страховых компаний страны на тему страхования рисков ЦОДостроения. Риски в ЦОД — это не абстрактная категория, а вполне измеримые финансовые потери. Их можно структурировать по четырем уровням:

Прямые потери от простоя — наиболее очевидная составляющая. По данным отраслевых исследований, час незапланированного простоя крупного ЦОД обходится оператору в диапазоне от нескольких миллионов до десятков миллионов рублей в зависимости от класса объекта и профиля клиентов. Для ЦОД, обслуживающего финансовые организации или критическую инфраструктуру, эта цифра кратно выше.

Кибератаки и утечки данных — второй по значимости компонент. Средняя стоимость инцидента с утечкой данных в России в 2024—2025 годах оценивалась в сотни миллионов рублей с учетом расследования, уведомлений, судебных издержек и штрафов по ФЗ-152 и новому законодательству об оборотных штрафах за утечки персональных данных.

Физический ущерб (пожар, затопление, механическое повреждение оборудования) — при отсутствии надлежащей защиты может привести к полной потере инфраструктуры. Восстановление серверного зала класса Tier III «с нуля» — это сотни миллионов рублей только на оборудование, плюс сроки восстановления от 3 до 18 месяцев.

Репутационный и регуляторный ущерб — наименее предсказуемый, но потенциально самый долгосрочный. Потеря якорных клиентов после крупного инцидента может обнулить годовую выручку, а санкции регулятора (особенно в сегменте государственных и финансовых данных) — поставить под угрозу саму лицензию на деятельность.

Совокупный риск для среднего российского коммерческого ЦОД мощностью 5—10 МВт можно оценить в диапазоне 500 млн — 3 млрд рублей в сценарии реализации тяжелого инцидента. Для крупных объектов эта планка существенно выше. Имеет смысл страховать  риски и в период  строительства объекта.

- Где предел разумного вложения в безопасность в ЦОД?

Александр Данилов: Универсального процента не существует, но есть рабочий принцип: затраты на защиту не должны превышать математическое ожидание потерь, скорректированное на вероятность инцидента и стоимость репутационного ущерба. На практике в отрасли сложился ориентир: 8—15% от совокупных капитальных затрат на строительство и оснащение ЦОД — на системы физической и инженерной безопасности (пожаротушение, контроль доступа, видеонаблюдение, резервирование инженерных систем). Еще 5—10% от операционного бюджета — на кибербезопасность и мониторинг.

При этом важно различать базовый и избыточный уровни защиты. Базовый — это требования стандартов (Tier, ГОСТ Р 58811, требования ФСТЭК для объектов КИИ). Все, что выше, — это инвестиция в конкурентное преимущество и снижение страховой премии, которую нужно оценивать отдельно. Добавление каждого следующего уровня защиты дает убывающую отдачу: первые 80% защиты стоят 20% бюджета, последние 20% — еще 80%.

Затраты по пожарной защите ЦОД определяются текущими нормативами и требованиями ведущего мирового сертификационного бюро — UpTime Institute, который регламентирует качество ЦОДов аналогично звездной системе в гостиницах.  Однако в ближайшие годы надеемся на создание Отечественного бюро сертификации ЦОД — такая работа ведется.   

- До какого уровня стоит защищать / страховать ЦОД? Какой баланс между уровнем пожарной защиты и затратами считать оптимальным, учитывая специфику бизнеса, тип данных, регуляторные требования и другие факторы?

Алексей Мостовщиков: Ответ зависит от трех переменных: тип данных, тип клиентов, регуляторный контекст. Для ЦОД, обрабатывающего персональные данные или данные финансовых организаций, минимальный целевой уровень — соответствие требованиям ФСТЭК (для КИИ), ФСБ и Банка России. Это не выбор, а обязательство.

Для коммерческого ИИ-ориентированного ЦОД, как в нашем случае, оптимальный уровень — Tier III с элементами Tier IV по критичным системам (электропитание, охлаждение) в сочетании с полисом комплексного страхования имущества и ответственности. Это дает баланс между надежностью и стоимостью владения.

Страхование имеет смысл рассматривать как перенос остаточного риска — того, что не закрывается техническими мерами. Комплексный полис для ЦОД должен покрывать: имущественный ущерб, перерыв в деятельности (Business Interruption), киберриски и ответственность перед клиентами. Страховать все «до нуля» нецелесообразно: франшиза в 10—15% держит оператора в зоне ответственности и снижает моральный риск.

Страхование ЦОДа от риска механических повреждений в период эксплуатации — это базовая необходимость. Потенциальные издержки по рискам  репутационных, и прямых финансовых издержек от вероятных кибератак и механических повреждений, в 10-ки раз превышают стоимость их страхования. Пожарные риски защищаются высококачественными проектными решениям и их реализацией на стройке. А страховать стоит все возможные риски эксплуатации ЦОД. В общем бюджете строительства такого объекта, страхование — одна из наименьших статей затрат.

- Как определить контрольную точку в оснащении системами безопасности (критерии или метрики)? На сколько стоит «перезакладываться»? 

Александр Овчинников: Контрольная точка определяется через метрику «стоимость риска vs. стоимость контрмеры». Алгоритм прост:

Первое — инвентаризация угроз с оценкой вероятности и максимального ущерба (ALE — Annual Loss Expectancy). Второе — расчет стоимости каждой защитной меры в год (CAPEX + OPEX). Третье — сравнение: если мера снижает ALE на сумму, превышающую ее годовую стоимость, — она оправдана. Если нет — это избыточность.

«Перезакладываться» разумно в двух случаях: когда последствия инцидента необратимы (уничтожение уникальных данных, ответственность перед критическими клиентами) и когда дополнительная защита снижает страховую премию на сопоставимую или большую сумму. В остальных случаях избыточность — это замороженный капитал.

Практический ориентир запаса прочности для ИИ-ориентированного ЦОД: N+1 по всем критичным инженерным системам как минимум, 2N по электропитанию и охлаждению для объектов с непрерывной ИИ-нагрузкой (GPU-кластеры генерируют значительно больше тепла и потребляют мощность равномернее, чем традиционные серверы, что повышает требования к резервированию).

- Какие требования к безопасности ЦОДов вы считаете достаточными / недостаточными / избыточными, и почему?

Александр Данилов: Субъективная оценка: в целом недостаточны, местами избыточны формально, но недостаточны содержательно. Действующие требования хорошо описывают физическую и инженерную безопасность — пожарная защита, контроль доступа, электробезопасность регулируются детально. Здесь претензий немного. Критические пробелы — в трех областях:

Кибербезопасность ИИ-инфраструктуры практически не регулируется отдельно. Существующие требования ФСТЭК писались под традиционные ИС и плохо адаптированы к специфике GPU-кластеров, распределенного обучения моделей и мультитенантных ИИ-платформ. Атака на обучающую выборку или отравление модели — это угрозы, для которых нет ни стандартов защиты, ни обязательных требований.

Требования к цепочке поставок оборудования минимальны. При текущем уровне импортозамещения и работе с параллельным импортом риски закладных устройств и скомпрометированного firmware существенны, а регуляторного ответа на эту угрозу нет. 

Требования к непрерывности бизнеса (BCP/DR) носят рекомендательный, а не обязательный характер для большинства операторов ЦОД, не относящихся к КИИ. Это создает ситуацию, когда оператор формально соответствует всем требованиям, но при реальном инциденте не имеет работающего плана восстановления.

- Когда и как окупается расчетная премия?

Алексей Мостовщиков: Страховая премия «окупается» в двух измерениях — прямом и косвенном. Прямое — это реализованный страховой случай. Математика здесь проста: если вероятность тяжелого инцидента в год составляет 1—3%, а потенциальный ущерб — 500 млн рублей, то «справедливая» премия находится в диапазоне 5—15 млн рублей в год. При реализации события страхование окупается многократно.

Косвенное — и это часто недооценивают — страховой полис является инструментом привлечения клиентов и финансирования. Крупные корпоративные клиенты и государственные заказчики все чаще включают наличие страхового покрытия в квалификационные требования к оператору ЦОД. Банки охотнее финансируют проекты с застрахованными активами и снижают стоимость заемного капитала. Таким образом, премия окупается не только через выплаты, но и через расширение клиентской базы и улучшение условий финансирования.

Практическая рекомендация: страхование начинает быть экономически оправданным с момента, когда стоимость застрахованных активов и ответственность перед клиентами превышают 200-300 млн рублей. До этого порога самострахование через резервные фонды может быть эффективнее.

Затраты оправданы при любой нештатной ситуации как в период строительства, так и период эксплуатации. 

- Назовите драйверы, вызовы и технологические тренды рынка ЦОД на ближайшие 1-2 года?

Александр Овчинников, Александр Данилов:

Драйверы роста:

Главный — взрывной спрос на ИИ-инфраструктуру. Обучение и инференс больших языковых моделей требуют качественно иной плотности вычислительной мощности и энергопотребления, чем традиционные нагрузки. Это формирует устойчивый спрос на специализированные GPU-ориентированные ЦОД. Параллельно работают факторы импортозамещения (перевод государственных и корпоративных систем на отечественную инфраструктуру) и рост объема данных, генерируемых отечественными цифровыми сервисами.

Вызовы:

Дефицит энергетических мощностей в крупных городах становится реальным ограничителем: подключение к электросетям в Москве и Санкт-Петербурге — узкое место. Дефицит квалифицированных кадров для эксплуатации сложной ИИ-инфраструктуры. Санкционные ограничения на поставку высокопроизводительных GPU создают зависимость от параллельного импорта с сопутствующими рисками для цепочки поставок и сервисного обслуживания.

Технологические тренды в безопасности:

Жидкостное охлаждение как новый стандарт для GPU-серверов меняет всю логику пожарной безопасности: традиционные газовые системы пожаротушения проектировались под воздушное охлаждение, а в плотных жидкостно-охлаждаемых стойках мощностью 100+ кВт они требуют переосмысления.

ИИ-системы мониторинга безопасности (предиктивная аналитика отказов, аномальное поведение в сети, автоматическое реагирование на инциденты) переходят из категории «передовой опыт» в категорию «отраслевой стандарт».

Архитектура Zero Trust для внутренней сети ЦОД — следующий обязательный рубеж, особенно актуальный для мультитенантных платформ, где разные клиенты работают на общей физической инфраструктуре.

Наконец, цифровые двойники инженерной инфраструктуры позволяют моделировать сценарии инцидентов и оптимизировать расстановку систем защиты до начала строительства — это инструмент, который существенно меняет экономику безопасности на этапе проектирования.

Ключевой технологический тренд будущего рынка ЦОД — искусственный интеллект (ИИ). Понимая перспективы развития ИИ мы запустили авторский девелоперский проект «ИТ-кластер ДолИИна» в Ленинградской области. Это общественно-деловое пространство, включающее офисную часть, залы для проведения отраслевых ИИ мероприятий, пространство ИИ-роста. Наш проект стал первой  открытой средой развития ИИ, объединяющей классические и ИИ-шные вычислительные мощности и питательную среду развития ИИ-предприятий.