На щотижневому подкасті Security Intelligence від IBM Technology ведучий Метт Казінські обговорює з експертами з загроз і реагування на інциденти зсув у мисленні керівників: від прагнення до «нульових інцидентів» до готовності свідомо приймати більший кіберризик заради швидшої інновації, зокрема навколо AI. Панель, до якої увійшли Michelle Alvarez, Austin Zeizel та Erblind Morina, розбирає, як це змінює мандат кібербезпеки, де крихка межа між «апетитом до ризику» і банальною сліпотою, та що мають робити безпекові команди, щоб залишатися релевантними для бізнесу.
Від «зупинити все» до «мінімізувати шкоду»
На Gartner Security and Risk Management Summit 2026 аналітик Gartner Will Kendrick зафіксував тенденцію: апетити C‑suite до кіберризику зростають. Керівники все частіше готові приймати вищі рівні кіберризику, аби рухати інновації й досягати бізнес‑цілей.
Тло цього зсуву цілком прагматичне. Організації давно дійшли висновку, що повністю запобігти кіберінцидентам неможливо, незалежно від того, скільки витратити на безпеку. Звідси й теза Kendrick’а, яку наводять у подкасті: новий мандат кібербезпеки — це «більш цілісно мінімізувати шкоду та вплив на бізнес до, під час і після кібератаки, на відміну від максимізації повного запобігання, яке не є досяжним, скільки б ми не витрачали».
У розмові це формулюють як перехід «від кібербезпекового мислення до кіберстійкості». Прийняття факту, що «так, нас зламають, нас атакуватимуть», і фокус на мінімізації ризику — не як поразка, а як більш реалістична стратегія.
Такий підхід зміщує акценти: першочерговим стає не побудова «непроникного периметру», а готовність пережити інцидент з мінімальною шкодою для ключових процесів, даних та репутації.
Небезпечний побічний ефект: менше видимості, слабша реакція
Ціна цієї зміни, попереджає Erblind Morina, може виявитися вищою, ніж здається на перший погляд. Формальне «прийняття ризику» нерідко на практиці означає урізання витрат на видимість і детекцію.
У подкасті він описує те, що бачить у реальних інцидент‑респонс кейсах: коли організація зменшує бюджети на засоби виявлення, моніторинг та агентів на кінцевих точках, це «фактично жертвує детекцією». У результаті навіть за правильно декларованої «кіберстійкості» під час реального інциденту команда реагування майже сліпа.
За відсутності логів, телеметрії та базових сенсорів дуже складно простежити хід атаки, оцінити масштаб, зрозуміти, що саме було скомпрометовано, і локалізувати загрозу. За словами Morina, це «робить дуже важким успішний інцидент‑респонс» і прямо шкодить здатності компанії впоратися з тим самим ризиком, який зверху нібито були готові прийняти.
Він наголошує: перехід до кіберстійкості не означає, що можна «ігнорувати частину про запобігання», сподіваючись, що гарна IR‑команда витягне будь‑який кейс. Підготовка, видимість, базова гігієна — це домашня робота, без якої жодна стратегія «ми впораємося після інциденту» не спрацює.
Чому керівники втомилися від безпеки як «гальма бізнесу»
За даними, процитованими з виступу Kendrick’а, багато керівників зробили для себе ще один висновок: додаткові витрати на безпеку часто обертаються помітними побічними ефектами для бізнесу. У подкасті наводиться його формулювання: топменеджери «навчилися, що більше витрат на безпеку означає більше бізнес‑витрат, повільніший вихід на ринок, загальмовану інновацію й інструменти для даних та AI, більше бюрократії, надмірне нагнітання страху та виснажену продуктивність».
Цей перелік виглядає для учасників розмови дещо жорстким, але вони визнають, що в ньому є суттєва частка правди. Якщо безпека вибудувана як набір жорстких заборон, нескінченний «red tape» і витрати, вимірювані лише кількістю контролів, вона неминуче сприймається як гальмо.
Austin Zeizel звертає увагу на те, що в такій реальності роль кібербезпеки починає зсуватися «з менш технічної до більш стратегічної з точки зору ризику». Ключовим стає не просто зупиняти загрози, а «вміти комунікувати бізнес‑вплив і скеровувати ключові бізнес‑рішення» на основі цього впливу.
У цьому контексті зростання «апетиту до ризику» виглядає не стільки як легковажність, скільки як реакція на роки безпекових інвестицій з неочевидним для бізнесу ROI. Але безпекові лідери мають показати, що альтернатива «менше безпеки» — це не єдиний спосіб розв’язати проблему гальмування інновацій.
Без технічних кадрів «апетит до ризику» стає самозаспокоєнням
Ще один тривожний сигнал, який звучить у дискусії, стосується кадрового виміру. Morina пов’язує нинішнє відчуття вразливості не лише з бюджетами, а й з браком глибокої технічної експертизи в організаціях.
На його думку, у багатьох компаніях сформувався небезпечний перекіс: CISO‑функція стає менш технічною, сильніше орієнтованою на вендорські «срібні кулі» та high‑level GRC, тоді як люди, які глибоко розуміють інфраструктуру, мережеву безпеку та низькорівневі механізми атаки й захисту, відсутні або маргіналізовані.
Він говорить про ситуації, коли системи безпеки будуються навколо одного чи кількох продуктів, які подаються як універсальне рішення «проти всіх атак». Коли трапляється інцидент, з’ясовується, що базові речі — розуміння власного середовища, гігієна мережевих сегментацій, налаштування журналювання — опинилися поза фокусом. І виявляється, що загальна «поза безпеки» компанії значно слабша, ніж малювали слайди.
Morina проводить цю ж логіку і в площину AI. На його погляд, AI підсилює тенденцію до високорівневого управління: «усі хочуть бути менеджером, усі хочуть використовувати AI, щоб будувати та лідити, але де технічні люди в цьому випадку?» Замість заміни спеціалістів, що «розуміють, як працює інфраструктура і які ключові речі роблять середовище безпечним», AI тут ризикує стати ще одним шаром абстракції, який віддаляє керівництво від реальності систем.
У його оцінці організації мають більше інвестувати саме у навички — людей, здатних занурюватися в технічні деталі, а не лише в політики й фреймворки. Інакше збільшення «апетиту до ризику» перетворюється радше на самозаспокоєння, ніж на усвідомлену стратегію.
Безпека як «так, але ось як» і нова мова діалогу з бізнесом
У дискусії часто звучить слово «пріоритизація», і його прив’язують не лише до патч‑менеджменту, а й до загального підходу до ризику. Michelle Alvarez говорить про «фокусовані активні threat‑assessment’и», де шукати треба не будь‑які гіпотетичні загрози, а саме ті TTP, які з найбільшою ймовірністю стосуються конкретного середовища. Саме такий таргетований підхід, стверджує вона, перетворює результати безпекової роботи на зрозумілий для керівництва ризик‑профіль і, відповідно, на аргумент для адресного, а не розмитого бюджетування.
Zeizel розвиває цю думку в площині ролі фахівців: уміння говорити мовою бізнесу — не просто «приємний бонус», а навичка, «так само критична, як зупинити загрозу в першу чергу». Зі зростанням апетиту до ризику від безпекових команд чекають не лише технічного блокування атак, а й чіткого пояснення, які саме бізнес‑наслідки матиме той чи інший сценарій, і які варіанти компромісів можливі.
Це корелює з підходом, який на подкасті часто озвучують інші експерти: безпека не повинна бути в «бізнесі відмов». Її місія — бути в бізнесі «так, і ось як зробити це безпечніше». Така позиція допомагає одночасно підтримувати курс на інновації й уникати крайнощів, коли будь‑яке послаблення контролів виправдовується риторикою «ми ж будуємо кіберстійкість».
Бізнес‑безперервність як головний орієнтир для ризик‑апетиту
У фінальній частині розмови Alvarez формулює те, що, за її словами, стає однією з ключових тем обговорення: пріоритизація заради бізнес‑безперервності. Для C‑suite першочерговим питанням стає: які саме процеси генерують дохід і не повинні бути порушені кіберінцидентом?
Звідси випливає низка практичних наслідків. Безпекові команди мають:
– розуміти, які сервіси й ланцюжки постачання є критичними з точки зору виручки;
– оцінювати, як інциденти можуть вплинути не лише на власну організацію, а й на вендорів, партнерів та інші сторони;
– будувати плани реагування й резервування саме навколо цих вузлових точок.
Zeizel додає до цього ще один шар: потрібно дивитися «ширше, ніж лише на свою організацію». Витік даних чи успішна атака можуть мати каскадний ефект для третіх сторін і екосистеми загалом, а отже — і для довгострокової бізнес‑стійкості.
У підсумку «апетит до ризику» в такій рамці перестає бути абстрактною цифрою в матриці й перетворюється на розмову про те, який обсяг і характер перерв у роботі критичних процесів компанія реально готова витримати.
Межа між сміливістю та необачністю
Зростання готовності C‑suite йти на кіберризик у гонитві за інноваціями — факт, який фіксують як аналітики, так і практики. Але з розмови на Security Intelligence видно: успіх такої стратегії залежить від кількох умов.
Прийняття неминучості інцидентів має йти в парі з інвестиціями у видимість, детекцію та підготовку до інцидент‑респонсу. Стратегічна розмова про ризик не може замінити глибоку технічну експертизу й базову гігієну. А безпекові команди повинні одночасно посилювати свої навички пояснювати бізнес‑вплив і не втрачати здатності «копати вглиб» інфраструктури.
Коли ці елементи сходяться, «кіберстійкість» дійсно може стати відповіддю на світ, де повної безпеки не існує. Коли ж ні — зростаючий апетит до ризику швидко перетворюється на банальну вразливість, замасковану під стратегічну сміливість.