Не надо экономить на цифровой безопасности

[halted]

ресурсы на модернизацию систем защиты выделяются по остаточному принципу.

Абстрактная задача:
Дано — парк МФУ величиной в 10 000 единиц, использующих SMBv1 при сканировании, без возможности обновления прошивки.
Обновление парка устаревших МФУ выйдет компании минимум в 100 миллионов рублей за самые плохенькие аппараты.
Через месяц могут спокойно объявить уязвимость в SMBv2, что затронет парк МФУ величиной в 50 000 единиц без возможности обновления прошивки с дальнейшими затратами в минимум 500 миллионов рублей.
Вопрос: как согласовать затраты на устранение уязвимостей и прибыль компании, зарплаты сотрудникам, выплаты учредителям?

Догадываюсь, что как только специалистам по безопасности придется взять на свой карман часть трат из-за безопасности, то сам подход к информационной безопасности кардинально изменится.

[DarkWolf13]

ДО даже если не по остаточному принципу выделять средства уровень и состояние безопасности будет зависеть от цены вопроса: если взять абстрактно модель угроз когда стоит задача просто защитится от случайных вирусов шифровальщиков и т.п и когда надо защитить сетевую подсистему от целенаправленных атак вроде перехвата управления и хищения данных для прохождения всевозможных сертификаций и аттестаций бюджета может и хватит а вот для реального обеспечения с постоянным мониторингом это все превращается в «гонку вооружений» двух противоборствующих сторон с переменным результатом