Дмитрий Кузнецов: «Затраты на защиту ЦОД не должны превышать стоимость хранимой информации или стоимость размещенного ИТ-оборудования»

Вчера в 23:42

Дмитрий Кузнецов
директор Департамента системной интеграции компании УЦСБ (Уральский центр систем безопасности )

Дмитрий Кузнецов, директор департамента системной интеграции компании УЦСБ, поделился с журналом RUБЕЖ экспертным мнением о финансовых последствиях инцидентов в дата-центрах и оптимальных вложениях в их защиту.

RU: Сколько стоят риски в ЦОД?

Дмитрий Кузнецов: Для приблизительной оценки реализовавшихся рисков можно привести несколько цифр. Так, по данным Uptime Institute за 2022–2024 годы, средняя стоимость аварии в ЦОД составляет от 500 тысяч до 1,5 миллиона долларов за инцидент. Стоимость минуты простоя для крупных дата-центров варьируется от 5 до 17 тысяч долларов, а у некоторых гиперскейлеров, например на финансовых платформах или в e-commerce, этот показатель, по оценкам Ponemon и Gartner, может достигать от 100 тысяч до 1 миллиона долларов в минуту. Пожар в серверной грозит убытком от 500 тысяч до 5 миллионов долларов с учетом оборудования, восстановления инфраструктуры и простоя, а залив водой — в 200 тысяч–2 миллиона долларов. Потеря данных влечет за собой восстановление из резервных копий, если они есть, что стоит от 1 до 10 тысяч долларов за терабайт в зависимости от срочности. И это оценка только прямых затрат на устранение последствий, косвенные затраты оценить удается далеко не всегда.

- Где предел разумного вложения в безопасность в ЦОД? До какого уровня стоит обезопасить/застраховать ЦОД?

Д. Кузнецов: Физическую безопасность ЦОД можно разделить на несколько ключевых систем. Это прежде всего конструкция самого центра (стены, двери, контейнер), система контроля и управления доступом, система видеонаблюдения, а также система противопожарной безопасности, которая включает подсистемы оповещения о пожаре и пожаротушения. Стоимость этих систем не превышает 10–30% от стоимости оборудования ЦОД, не считая серверов и систем хранения данных. Что касается оценки рисков, то их стоимость зависит от масштаба инфраструктуры, критичности размещенных сервисов, отраслевых требований и эффективности мер защиты. Исходя из этого можно предположить, что затраты на защиту ЦОД не должны превышать стоимость обрабатываемой и хранимой в нем информации или стоимость размещенного ИТ-оборудования, если информацию оценить невозможно.

- На Ваш взгляд, какую долю бюджета целесообразно выделять на меры пожарной защиты, чтобы они не превышали потенциальный ущерб от рисков, но при этом обеспечивали достаточный уровень надежности? 

Д. Кузнецов: В России действует принцип нормативного регулирования, поэтому отказаться от строительства систем безопасности, например, противопожарной, практически невозможно. Требования к этой системе регулируются Федеральным законом № 123-ФЗ «Технический регламент о требованиях пожарной безопасности». Проектирование и расчет стоимости системы осуществляются в соответствии с регламентирующими документами. Как правило, стоимость системы противопожарной безопасности не превышает 5–15% от стоимости инженерной инфраструктуры ЦОД. Если обратить внимание на приведенные выше цифры по стоимости систем физической безопасности, то вопрос «строить их или не строить?» может отпасть сам собой.