Интернет вещей (IoT) открывает широкие возможности для инноваций, начиная от промышленных предприятий до здравоохранения и потребителей. Однако развитие проектов Интернета вещей создает значительные риски для разработчиков и пользователей. Количество и частота IoT-атак увеличивается и наблюдается рост прямого и косвенного ущерба. Так одно зараженное устройство может открыть для атаки всю экосистему компании с потенциальными сбоями: от нарушения конфиденциальности отдельных пользователей до массового сбоя общественных систем и угрозы для жизни людей. Актуальность выбранной темы объясняется ростом числа кибератак, скоростью появления новых угроз и увеличением ущерба от атак. Поэтому в статье рассматривается снижение эффективности существующих механизмов оценки киберрисков и восполняются пробелы в исследованиях в этой области. Авторами был разработан показатель Cyber ROI (CyROI), позволяющий отразить киберриски и измерить эффективность инвестиций в развитие Интернета вещей с учетом киберпреступности и связанных с ним мер контроля. Далее был сформирован подход к оценке киберрисков для проектов Интернета вещей (IoT), основанный на принципах риск-контроллинга и включающий этапы выявления рисков, моделирования деревьев рисков, оценки рисков и анализа результатов. Помимо формирования самого подхода, была представлена структурно-логическая схема оценки киберрисков и описаны входящие в него инструменты. В отличие от аналогов, разработанный подход обеспечивает системность в оценке киберрисков; позволяет интегрировать и координировать все связанные с этим действия и инструменты, моделировать доверительный интервал возможной рентабельности инвестиций, а также показывает шансы выйти за рамки риск-аппетита и толерантности к риску. Предложенный подход делает оценку киберрисков динамичной, итеративной, реагирующей на изменения в киберсреде. Также данный подход имеет значительное научное и практическое применение. По сравнению с существующими подходами, предложенный авторами подход к оценке киберрисков обладает большей гибкостью, учитывает корреляции между рисками, позволяет оценить влияние каждого фактора риска на CyROI и рассчитывать большое количество сценариев.

The Internet of Things (IoT) opens up vast opportunities for innovation, ranging from industrial enterprises to healthcare and consumers. However, the development of Internet of Things projects creates significant risks for developers and users. The number and frequency of IoT attacks is increasing, while the direct and indirect damage are on the rise. Thus, one infected device can make the entire ecosystem of a company vulnerable to attacks with potential failures: from violating the privacy of individual users to a massive failure of public systems and a threat to people’s lives. The relevance of the article is explained by the increase in the number of cyber attacks, the speed of the emergence of new threats and the increase in damage from attacks. Therefore, the article examines the decrease in the effectiveness of the existing mechanisms for assessing cyber risks and fills the gaps in research in this area. The authors developed Cyber ROI indicator (CyROI), which allows reflecting cyber risks and measuring the effectiveness of investments in the development of the Internet of Things, taking into account cybercrime and related control measures. Next, an approach to cyber risk assessment for Internet of Things (IoT) projects was formed, based on the principles of risk controlling and including the stages of risk identification, risk tree modeling, risk assessment and analysis of results. In addition to the formation of the approach itself, a structural and logical scheme for assessing cyber risks was presented with its tools described. Unlike analogues, the developed approach provides a holistic approach to the assessment of cyber risks; it allows integrating and coordinating all related actions and tools, simulating the confidence interval of possible return on investment, and shows the chances to go beyond risk appetite and risk tolerance. The proposed approach makes the assessment of cyber risks dynamic, iterative, responsive to changes in the cyber environment. Moreover, this approach has significant scientific and practical application. Compared to existing approaches, the author’s approach to cyber risk assessment has more flexibility, takes into account correlations between risks, allows you to assess the impact of each risk factor on CyROI and calculate a large number of scenarios.

Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Сер.: Экономические науки. — Санкт-Петербург: СПбПУ, 2019 -. — Загл. с титул. экрана. — Периодичность: 6 раз в год. — Выходит с 07.2019. — Электрон. журнал. — Свободный доступ из сети Интернет (чтение, печать, копирование).

Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Сер.: Экономические науки. — Санкт-Петербург: СПбПУ, 2019 -. — Текст: электронный. Т. 14, № 6, 2021. — 1 файл (4,23 Мб). — Свободный доступ из сети Интернет (чтение, печать, копирование). — <URL:http://elib.spbstu.ru/dl/2/j22-177.pdf>. — Текст: электронный