— У всех рисков много, но правильнее подумать от обратного — у кого их больше? Самые тяжелые последствия могут наступить от направленных APT-атак. Надо понимать, что такие атаки довольно дорогие и требуют много ресурсов и времени, поэтому осуществляются крупными хакерскими группировками в т.ч. с окологосударственной поддержкой сами знаете кого. В общем чем ближе компания к объектам КИИ, тем для неё рисков больше. Не обязательно объектом атаки будет сам объект КИИ, достаточно взломать поставщика ИТ-решения или какого-нибудь ИТ-подрядчика из цепочки поставок.

— Ничего не понятно, но очень интересно. Как вообще обычный инвестор может эти риски учитывать, например, при принятии решения об инвестировании в ИТ-компанию?

— Загуглить «программа Bug Bounty + имя компании» и прочитать все свежие материалы. Косвенно это будет свидетельствовать о заботе эмитента в части своей кибер-гигиены. К сожалению, другие материалы — отчёты по аудитам, результаты пен-тестов в общем доступе не найти, они конфиденциальны.

— У всех публичных компаний на мосбирже есть такие продукты, просто у некоторых это флагманские продукты.

— Давайте с другой стороны посмотрим. Какие компании ИТ-сектора очень технологичные, делают качественные и функциональные продукты в современной архитектуре?

— Таких компаний много, но к сожалению, болей частью они вне публичного пространства и насколько мне известно даже и не собираются пока на IPO. Они способны развиваться без внешнего капитала. Особенно много таких компаний в кибербезе.

— Кибербез? Я считал, что там по пальцам двух рук можно всех пересчитать.

— Это раньше так было. Сейчас даже чисто ИТ-компании пришли на рынок кибербеза. Более того, крупнейший Банк страны «С» самостоятельно разрабатывает и планирует выводить на рынок собственные ИБ-продукты и сервисы. И многие из этих продуктов сейчас просто не имеют конкурентов.

— Интересно получается. Раньше я думал, что покупаю акции Банка, потом вдруг выяснилось, что это уже ИТ-компания, а сейчас выходит, что не только ИТ, но и ИБ.