— У всех рисков много, но правильнее подумать от обратного — у кого их больше? Самые тяжелые последствия могут наступить от направленных APT-атак. Надо понимать, что такие атаки довольно дорогие и требуют много ресурсов и времени, поэтому осуществляются крупными хакерскими группировками в т.ч. с окологосударственной поддержкой сами знаете кого. В общем чем ближе компания к объектам КИИ, тем для неё рисков больше. Не обязательно объектом атаки будет сам объект КИИ, достаточно взломать поставщика ИТ-решения или какого-нибудь ИТ-подрядчика из цепочки поставок.

— Ничего не понятно, но очень интересно. Как вообще обычный инвестор может эти риски учитывать, например, при принятии решения об инвестировании в ИТ-компанию?

— Загуглить «программа Bug Bounty + имя компании» и прочитать все свежие материалы. Косвенно это будет свидетельствовать о заботе эмитента в части своей кибер-гигиены. К сожалению, другие материалы — отчёты по аудитам, результаты пен-тестов в общем доступе не найти, они конфиденциальны.