Налог ип усн: Какие налоги платит ИП при УСН — налоги при упрощенке

Упростит ли жизнь бизнесу единый счет

«У меня небольшой бизнес, занимаюсь грузоперевозками, я на упрощенке. В моем подчинении небольшой коллектив, десять человек. Слышал, что с 1 января 2023 года для всех ИП будет введен единый налоговый счет. Что это такое?» — спрашивает Артур.

Артур на упрощенке, то есть упрощенной системе налогообложения (УСН). Это специальный налоговый режим, при котором индивидуальный предприниматель платит один налог, заменяющий НДС и НДФЛ. Есть и другие обязательства перед бюджетом. То есть у него несколько налоговых платежек, которые нужно оплачивать периодически в течение года.

Главное, что интересует Артура, — нужно ли с 1 января 2023 года бежать в налоговую, писать заявление и открывать этот самый единый налоговый счет (ЕНС). И в чем суть перемен?

— Никуда бежать не надо, — объясняют специалисты череповецкой налоговой инспекции. — Федеральная налоговая служба откроет такой счет для каждой организации (юридического лица) и для каждого индивидуального предпринимателя. Суть перемен в том, что если сейчас вы заполняете отдельные платежки с разными суммами на каждый налог, то с 1 января 2023 года нужно будет одним платежом пополнять единый налоговый счет. Эти деньги с ЕНС налоговики распределят по налогам и сборам.

Хорошо, это понятно. Если провести аналогию с имущественными налогами, то получается следующее. Если раньше человек платил отдельно по трем платежкам — за квартиру, за машину, за дачные шесть соток, — то теперь он будет переводить деньги на один счет. А налоговая уже их администрирует (распределит) «по полочкам»: налог на имущество, транспортный, земельный.

А как со сроком уплаты?

— Срок уплаты налогов меняется, а периодичность остается. Например, сейчас ИП на УСН платят авансы до 25-го числа месяца после первого, второго и третьего кварталов, а по итогам года налог до 30 апреля. С 2023 года все те же квартальные авансы надо будет платить до 28-го числа месяца, следующего за кварталом, а налог до 28 апреля.

Страховые взносы и НДФЛ за сотрудников по-прежнему нужно будет платить ежемесячно, но тоже до 28-го числа. Таким образом, к 28-му числу у вас на ЕНС должна быть сумма, которой хватит для погашения совокупной обязанности — уплаты всех причитающихся налогов. Если денег на ЕНС не хватает — это долг бюджету, который называется отрицательным сальдо. Если после списания совокупной обязанности на ЕНС остались деньги — это положительное сальдо, или переплата.

А как с имущественными налогами физических лиц?

— Срок уплаты налога на имущество физических лиц, транспортного и земельного налогов не изменился, он останется прежним — не позднее 1 декабря. Налогоплательщики — физические лица будут производить оплату так же одним платежом, а инспекция распределит их отдельно по начисленным налогам.

Остались вопросы? Звоните 8-800-222-22-22. Это единый контактный центр ФНС.

Татьяна Ковачева

FuelCell Energy, Inc. — FuelCell Energy закрывает налоговое долевое финансирование с East West Bank для проекта топливных элементов базы подводных лодок ВМС США мощностью 7,4 МВт Inc.

(Nasdaq: FCEL) — мировой лидер в области технологий топливных элементов, целью которого является использование своих запатентованных современных платформ топливных элементов для обеспечения мира чистой энергией, — объявила сегодня о закрытии компании. о сделке по налоговому долевому финансированию с East West Bank для проекта топливных элементов мощностью 7,4 мегаватт («МВт»), расположенного на базе подводных лодок ВМС США в Гротоне, штат Коннектикут, также известной как Submarine Force. Обязательства East West Bank по налоговому равенству составляют 15 миллионов долларов. Мы считаем, что это обязательство еще раз демонстрирует заинтересованность рынка в финансировании распределенных устойчивых энергетических платформ FuelCell Energy, поскольку Компания работает с клиентами над достижением их целей по обезуглероживанию и повышению отказоустойчивости сети.

«Мы очень рады объединиться с East West Bank, участвуя в этом важном финансовом решении и поддерживая развертывание нашей коммерческой платформы», — сказал Майкл Бишоп, исполнительный вице-президент и финансовый директор FuelCell Energy. «Это эффективное финансирование позволяет FuelCell Energy сохранять большую часть долгосрочного регулярного денежного потока этого проекта и создает структуру, которая будет способствовать дополнительным возможностям капитала, которые, как ожидается, принесут дополнительные денежные средства Компании и повысят общую рентабельность капитала для этого проекта. ».

Компания продолжает продвигать проект за счет механического заканчивания и ожидает, что коммерческая эксплуатация начнется до конца сентября 2021 года. После коммерческой эксплуатации Компания рассчитывает добавить заемное финансирование для завершения структуры капитала проекта.

«East West Bank рад сотрудничать с FuelCell Energy в проекте топливных элементов, расположенном на базе подводных лодок ВМС США в Коннектикуте», — сказал Кристофер Симеоне, старший вице-президент East West Bank. «Как лидер в финансировании чистых и альтернативных источников энергии, мы с нетерпением ждем, когда ВМС США и сообщество Гротона получат выгоду от этого важного проекта».

«Проект базы подводных лодок ВМС США является важным проектом для FuelCell Energy, демонстрирующим наше высококачественное и надежное решение в области экологически чистой энергии, которое обеспечивает электрическую устойчивость наиболее важной инфраструктуры страны, поддерживая при этом цели обезуглероживания ВМФ», — сказал Джейсон Фью, президент и Генеральный директор, FuelCell Energy. «Инициатива Соединенных Штатов по критически важной электрической инфраструктуре Министерства обороны США важна для национальной безопасности, и для нас большая честь иметь возможность развернуть нашу платформу в конфигурации микросети для выполнения этой миссии», — добавил Фью. «Мы с оптимизмом смотрим на то, что текущая политика, ориентированная на инфраструктуру, должна предоставить дополнительные возможности для развертывания нашей платформы SureSource™ в поддержку инициативы Defense Critical Electrical Infrastructure».

Компания FuelCell Energy установила силовые платформы SureSource™ мощностью 7,4 МВт на базе подводных лодок ВМС США в Гротоне, штат Коннектикут, для обеспечения долгосрочного энергоснабжения существующей электрической подстанции. Завод на топливных элементах является частью многогранного плана Муниципального электроэнергетического кооператива Коннектикута («CMEEC») по предоставлению новых энергоресурсов и поддержке стремления Министерства обороны повысить отказоустойчивость и независимость от сети ключевых военных объектов. Высокоэффективный проект по выработке энергии на топливных элементах сводит к минимуму выбросы углерода, обеспечивая при этом непрерывную подачу электроэнергии на стратегическую военную базу. ВМС США продолжают покупать электроэнергию у CMEEC и Groton Utilities, которые, в свою очередь, покупают электроэнергию у FuelCell Energy в соответствии с 20-летним соглашением о покупке электроэнергии. Эта структура с оплатой по мере использования позволяет CMEEC и военно-морскому флоту избежать прямых инвестиций в владение электростанцией, которая будет эксплуатироваться и обслуживаться компанией.


О Восточно-Западном берегу

East West Bank предоставляет финансовые услуги, которые помогают клиентам достигать большего и использовать новые возможности. Банк полностью принадлежит компании East West Bancorp, Inc., совокупные активы которой составляют 59,9 млрд долларов. East West Bank управляет более чем 120 офисами в США и Китае. В Соединенных Штатах у East West Bank есть филиалы в Калифорнии, Джорджии, Массачусетсе, Неваде, Нью-Йорке, Техасе и Вашингтоне. В Китае присутствие East West включает филиалы с полным спектром услуг в Гонконге, Шанхае, Шаньтоу и Шэньчжэне, а также представительства в Пекине, Чунцине, Гуанчжоу и Сямэне. Для получения дополнительной информации о East West посетите www.eastwestbank.com.


О компании FuelCell Energy

FuelCell Energy, Inc. (NASDAQ: FCEL): FuelCell Energy — мировой лидер в области устойчивых экологически чистых энергетических технологий, которые решают некоторые из наиболее важных мировых проблем, связанных с энергетикой, безопасностью и глобальной урбанизацией. Являясь ведущим мировым производителем запатентованных технологических платформ топливных элементов, FuelCell Energy имеет уникальную возможность обслуживать клиентов по всему миру экологически безопасными продуктами и решениями для предприятий, коммунальных служб, правительств и муниципалитетов. Наши решения предназначены для того, чтобы сделать мир населенным чистой энергией, повышая качество жизни людей во всем мире. Наши установки мегаваттного класса нацелены на крупных потребителей по всему миру, и в настоящее время мы предлагаем решения менее мегаватт для небольших потребителей электроэнергии в Европе. Чтобы обеспечить систему отсчета, одного мегаватта достаточно для непрерывного питания примерно 1000 домов среднего размера в США. Мы разрабатываем решения для распределенного производства электроэнергии «под ключ», а также обеспечиваем комплексное обслуживание электростанции на протяжении всего срока службы. Наше решение на топливных элементах представляет собой чистую и эффективную альтернативу традиционной выработке электроэнергии на основе сжигания и дополняет энергетический баланс, состоящий из прерывистых источников энергии, таких как солнечные и ветряные турбины. Наша клиентская база включает в себя коммунальные предприятия, муниципалитеты, университеты, больницы, государственные учреждения/военные базы и различные промышленные и коммерческие предприятия. Нашими ведущими географическими рынками в настоящее время являются Соединенные Штаты и Южная Корея, и мы ищем возможности в других странах по всему миру. Компания FuelCell Energy, базирующаяся в Коннектикуте, была основана в 1969.

SureSource, SureSource 1500, SureSource 3000, SureSource 4000, SureSource Recovery, SureSource Capture, SureSource Hydrogen, SureSource Storage, SureSource Service, SureSource Treatment, SureSource Capital, FuelCell Energy и логотип FuelCell Energy являются товарными знаками FuelCell Energy.

Предупреждающий язык

Этот пресс-релиз содержит прогнозные заявления по смыслу положений о безопасной гавани Закона о реформе судебных разбирательств по частным ценным бумагам от 1995 в отношении будущих событий или наших будущих финансовых результатов, связанных с определенными непредвиденными обстоятельствами и неопределенностями. Прогнозные заявления включают, помимо прочего, заявления в отношении ожидаемых финансовых результатов Компании и заявления относительно планов и ожиданий Компании в отношении продолжения разработки, коммерциализации и финансирования ее технологии топливных элементов, а также ее бизнес-планов и стратегий. Эти заявления не являются гарантией будущих результатов, и все прогнозные заявления подвержены рискам и неопределенностям, которые могут привести к тому, что фактические результаты будут существенно отличаться от прогнозируемых. Факторы, которые могут вызвать такую ​​разницу, включают, помимо прочего: общие риски, связанные с разработкой и производством продукта; общие экономические условия; изменения в нормативно-правовой среде коммунальных предприятий; изменения в коммунальной отрасли и на рынках распределенной генерации, распределенного водорода и энергетических платформ на топливных элементах, настроенных на улавливание или секвестрацию углерода; потенциальная волатильность цен на энергию; наличие государственных субсидий и экономических стимулов для технологий альтернативной энергетики; наша способность соблюдать федеральные законы и постановления правительства США, штатов и иностранных государств, а также правила листинга фондовой биржи Nasdaq; быстрые технологические изменения; конкуренция; риск того, что наши предложения не будут преобразованы в контракты или что наши контракты не будут преобразованы в доход; признание нашей продукции рынком; изменения в учетной политике или практике, принятые добровольно или в соответствии с общепринятыми в США принципами бухгалтерского учета; факторы, влияющие на нашу позицию ликвидности и финансовое состояние; государственные ассигнования; способность правительства и третьих сторон расторгнуть свои контракты на разработку в любое время; способность правительства осуществлять права «входа» в отношении некоторых наших патентов; арбитражное и иное судебное разбирательство с POSCO Energy Co. , Ltd.; наша способность реализовать нашу стратегию; наша способность снижать нормированную стоимость энергии и нашу стратегию снижения затрат в целом; наша способность защищать нашу интеллектуальную собственность; судебные и иные разбирательства; риск того, что коммерциализация нашей продукции не произойдет в ожидаемый срок; наша потребность в дополнительном финансировании и его наличие; наша способность генерировать положительный денежный поток от операций; наша способность обслуживать наш долгосрочный долг; наша способность увеличивать мощность и срок службы наших электростанций, а также выполнять требования наших контрактов; наша способность расширять клиентскую базу и поддерживать отношения с нашими крупнейшими клиентами и стратегическими деловыми союзниками; изменения со стороны Управления по делам малого бизнеса США или других государственных органов, а также в отношении реализации или толкования Закона о помощи, помощи и экономической безопасности в связи с коронавирусом, Программы защиты заработной платы или связанных с ними административных вопросов; опасения, угрозы или последствия пандемий, инфекционных заболеваний или эпидемий, включая новый коронавирус, и связанные с этим сбои в цепочках поставок, сдвиги в спросе на чистую энергию, влияние на капитальные бюджеты и инвестиционные планы наших клиентов, воздействие на графиков наших проектов, влияет на нашу способность обслуживать существующие проекты и влияет на спрос на нашу продукцию, а также на другие риски, указанные в документах Компании, поданных в Комиссию по ценным бумагам и биржам. Заявления прогнозного характера, содержащиеся в настоящем документе, действительны только на дату настоящего пресс-релиза. Компания прямо отказывается от каких-либо обязательств или обязательств публиковать любые обновления или изменения к любому такому заявлению, содержащемуся или включенному посредством ссылки в настоящий документ, чтобы отразить любое изменение в ожиданиях Компании или любое изменение событий, условий или обстоятельств, на которых основано любое такое заявление.

Контакт
:         

ФьюэлСелл Энерджи, Инк.

[email protected]
203.205.2491
Источник: FuelCell Energy

Источник: FuelCell Energy, Inc.

Киберкражи и потеря интеллектуальной собственности

Потеря данных клиентов из-за хакеров может быть дорогостоящей и неприятной, но потеря интеллектуальной собственности киберворами может угрожать будущему компании. Первый шаг к приоритизации защиты интеллектуальной собственности и готовности к инцидентам: правильная оценка возможных потерь интеллектуальной собственности.

Это кошмар бизнес-лидера — осознание того, что в корпоративной сети произошел взлом и что ценные интеллектуальные активы теперь находятся в неизвестных руках. Для правительственной лаборатории США это могут быть иностранные агенты, крадущие чертежи новой системы оружия; в биофармацевтической фирме штатные ученые могут получить конфиденциальные данные о потенциальном излечении от рака; или у разработчика игр хакеры могли украсть последнюю предварительную версию шутера от первого лица. И самое страшное: поскольку информация существует в виде данных, а не, скажем, папок в картотеках, утечка может оставаться незамеченной в течение недель или месяцев.

По сравнению с более известными киберпреступлениями, такими как кража кредитных карт, данных о состоянии здоровья потребителей и другой информации, позволяющей установить личность (PII), о которой правила обычно требуют публичного сообщения, кибер-кража IP в основном остается в тени.

Такие сценарии не дают руководителям спать по ночам по уважительной причине: интеллектуальная собственность (ИС) является сердцем компании 21-го века, важным двигателем инноваций, конкурентоспособности и роста бизнеса и экономики в целом. Сегодня интеллектуальная собственность может составлять более 80 процентов стоимости одной компании. 1 Поэтому неудивительно, что воры, вооруженные средствами, мотивами и возможностями, идут по горячим следам.

Узнать больше

Посмотреть веб-трансляцию Dbriefs

Изучить коллекцию управления киберрисками

Читать Deloitte Review

Хотя кража ИС вряд ли нова, и некоторые ИС все еще могут быть доступны только физическими средствами, цифровой мир упростил кражу. 2 По словам координатора по защите прав интеллектуальной собственности США Дэнни Марти, «достижения в области технологий, возросшая мобильность, стремительная глобализация и анонимный характер Интернета создают все более сложные проблемы в области защиты коммерческой тайны». 3 (см. врезку «Приверженность администрации США защите коммерческой тайны»).

ОБЯЗАТЕЛЬСТВО АДМИНИСТРАЦИИ США ПО ЗАЩИТЕ КОММЕРЧЕСКОЙ ТАЙНЫ

Президент продолжает сохранять бдительность в устранении угроз, включая неправомерное присвоение коммерческой тайны корпорациями и государством, которые ставят под угрозу статус Соединенных Штатов как мирового лидера в сфере инноваций и творчества. Развитие технологий, возросшая мобильность, стремительная глобализация и анонимный характер Интернета создают все более сложные задачи в области защиты коммерческой тайны. Благодаря скоординированной, межведомственной и многогранной стратегии эта Администрация продолжает привлекать иностранные правительства для усиления международных усилий по обеспечению соблюдения законов, продвигать инициативы частного и государственного секторов для разработки передовых отраслевых методов защиты коммерческой тайны, а также повышать осведомленность общественности для информирования заинтересованных сторон и общественности о пагубных последствиях незаконного присвоения коммерческой тайны для бизнеса и экономики США.

В рамках этой стратегии предприятия также играют важную роль в решении растущих проблем, связанных с защитой коммерческой тайны. Первой линией защиты от кражи коммерческой тайны часто является наличие надежной и хорошо реализованной стратегии кибербезопасности и управления/защиты данных, а также планирование на случай непредвиденных обстоятельств в случае возникновения существенного события. Администрация призывает компании рассматривать и обмениваться друг с другом методами, которые могут снизить риск хищения коммерческой тайны, в том числе подходами к защите коммерческой тайны, которые идут в ногу с технологиями. 6

— Дэнни Марти, координатор по защите прав интеллектуальной собственности США, администрация президента

Тем не менее, по сравнению с более известными киберпреступлениями, такими как кража кредитных карт, данных о состоянии здоровья потребителей и другой информации, позволяющей установить личность (PII), о которой правила обычно требуют публичного сообщения, кибер-кража IP в основном остается в тени. Большинство случаев не получают широкого внимания, возможно, потому, что воздействие на общественность менее прямое, а также потому, что, учитывая потенциальный ущерб бренду и репутации, у компаний мало стимулов сообщать или предать гласности такие инциденты. Кроме того, по сравнению с нарушениями PII, кража IP имеет последствия, которые труднее понять: меньше предварительных, прямых затрат, но потенциальные последствия, которые могут метастазировать в течение месяцев и лет. Кража PII может быстро стоить клиентов, кредитных рейтингов и репутации бренда; потеря интеллектуальной собственности может означать утрату преимуществ первого выхода на рынок, потерю прибыльности или, в худшем случае, потерю целых направлений бизнеса в пользу конкурентов или фальшивомонетчиков.

Руководители, по понятным причинам, могут испытывать затруднения при точном измерении таких косвенных гипотетических воздействий; в результате за закрытыми дверями они редко уделяют киберкраже IP то внимание, которого оно заслуживает. 4 Не принимая во внимание широкие последствия кибератаки, затрагивающей корпоративную интеллектуальную собственность, компании часто пренебрегают надлежащим определением приоритетов защиты интеллектуальной собственности и готовности к инцидентам.

Хорошей новостью для руководителей является то, что существует подход к оценке спектра убытков от киберкражи ИС, основанный на общепринятых принципах оценки и финансового моделирования, чтобы они могли позиционировать ИС в более широкой программе корпоративных киберрисков. Обладая более полной информацией о рисках, связанных с интеллектуальной собственностью, ее потенциальной потерей и влиянии этой потери на компанию, руководители могут понять все последствия кражи интеллектуальной собственности, что позволяет лучше согласовать свою программу киберрисков с управлением ИС и стратегическими приоритетами компании. .

Форма современной кражи ИС

Исторически сложилось так, что кража ИС в основном принимала форму недовольных или оппортунистических сотрудников, скрывающихся с документами, компьютерными дисками или прототипами. Правонарушитель либо непосредственно знал, либо мог получить физический доступ для совершения преступления и получения коммерческой тайны в любой форме. Небольшое количество людей с физическим доступом ограничивало круг подозреваемых, что часто делало такую ​​кражу рискованной.

Напротив, в цифровом мире похитители интеллектуальной собственности могут действовать из любого места в условиях относительной анонимности, что делает круг возможных подозреваемых как широким, так и глубоким. В число правонарушителей могут входить нынешние и бывшие сотрудники, конкуренты, преступные и развлекательные хакеры, а также иностранные государственные деятели. Кража IP может быть основным мотивом или оппортунистической эксплуатацией: когда корпоративные данные легче украсть в большом количестве, шансы на то, что самородки IP могут быть обнаружены в большом количестве данных, возрастают. 7

Когда выход на рынок первым может определять победителей рынка, кража ИС или покупка украденной ИС может быть намного быстрее и дешевле, чем инвестировать в инновации с нуля. В некоторых областях затраты на исследования и разработки (НИОКР) растут, а рыночные возможности сокращаются. Например, при ограниченном количестве жизнеспособных нефтяных месторождений и высоких барьерах для создания нового запатентованного лекарства для лечения определенного заболевания кража коммерческой тайны конкурента может обещать более верный путь к быстрой прибыли.

Какие активы наиболее подвержены риску? Естественно, воры в первую очередь охотятся за корпоративными секретами, а не за уже находящейся в открытом доступе интеллектуальной собственностью, такой как патенты и товарные знаки. Наиболее ценными для преступников являются коммерческая тайна и конфиденциальная коммерческая информация, которую можно быстро монетизировать. Коммерческие тайны могут включать в себя данные об испытаниях лекарств, формулу краски, производственный процесс или уникальный дизайн; Собственная коммерческая информация может включать в себя геологические исследования месторождений сланцевой нефти, планы слияний или информацию о деловых переговорах и стратегиях. Данные, защищенные авторским правом, такие как программный код для анализа данных, также стали популярной мишенью. При таком широком объеме ценной информации на различных незаконных рынках кража ИС является проблемой практически во всех отраслях и секторах.

Оценка спектра убытков от киберкражи

Соответствие требованиям и нормативные требования к раскрытию информации обычно формируют корпоративное внимание к последствиям кибератак. В свете широко разрекламированных инцидентов в ведущих розничных сетях, медицинских компаниях, банках и государственных учреждениях эти требования в основном касаются кражи персональных данных, платежных данных и личной медицинской информации. В большинстве штатов требуется, чтобы организации сообщали о таких атаках клиентам и сотрудникам, чья информация могла быть украдена9.0072 8 и федеральные нормативные акты о ценных бумагах требуют корпоративного раскрытия значительных кибер-событий, связанных с PII, которые могут иметь существенные последствия. 9 Как следствие, корпоративные дискуссии о влиянии кибератак, как правило, сосредоточены на затратах, общих для этих типов атак, в том числе на уведомление клиентов, кредитный мониторинг, судебные решения и штрафы регулирующих органов. Помогает то, что существует множество прецедентов, основанных на этих громких утечках данных, которые помогают руководителям рассчитать подверженность их компаний в случае утечки PII.

В отличие от этого, когда речь идет о размышлениях о стоимости потенциальных утечек интеллектуальной собственности, многие из этих затрат являются «скрытыми» или косвенными, и поэтому их трудно определить и количественно оценить (рис. 1). Они включают не только хорошо понятные затраты на киберинциденты, такие как расходы, связанные с соблюдением нормативных требований, связями с общественностью, гонорары адвокатов и улучшения кибербезопасности, но также менее заметные и часто нематериальные затраты, которые растягиваются на месяцы или даже годы, включая девальвацию торговое название, аннулированные контракты и упущенные будущие возможности. Как бы ни было сложно для руководителей оценить эти долгосрочные и косвенные затраты, выявление и количественная оценка всего спектра потенциальных потерь ИС имеет важное значение для способности компании расставлять приоритеты в своих усилиях по киберзащите. 10

При рассмотрении применимости моделей финансовых рисков к киберрискам в разделе «Количественная оценка риска» в этом выпуске Deloitte Review утверждается, что, хотя стандартные модели могут быть полезны, важно разработать четко определенные модели киберрисков, которые согласуются с характером данного бизнеса. 11 Проиллюстрированный здесь подход рассматривает конкретные обстоятельства организации в определенный момент времени.

Чтобы получить точные оценки киберриска, необходимые для принятия обоснованных решений, руководители должны точно понимать, как весь спектр воздействий может проявляться с течением времени. Для этого компания должна рассмотреть временные рамки, охватывающие потенциальный длинный хвост после нарушения, который можно условно разбить на три этапа:

  • Сортировка происшествий. Через несколько дней или недель после обнаружения атаки компания собирает команды для анализа произошедшего, устранения любых очевидных пробелов, принятия экстренных мер по обеспечению непрерывности бизнеса и реагирования на юридические вопросы и потребности в связях с общественностью.
  • Управление воздействием. В последующие недели и месяцы компания предпринимает ответные шаги, чтобы уменьшить и устранить прямые последствия инцидента, включая активные действия по восстановлению отношений, ИТ-инфраструктуры или растущим юридическим проблемам.
  • Восстановление бизнеса. В последующие месяцы и годы компания активно устраняет ущерб, нанесенный бизнесу, стремится противостоять мерам конкурентов, стремящихся получить прибыль от украденной информации, и укрепляет свою киберзащиту, уделяя особое внимание долгосрочным мерам.

Для моделирования затрат на каждом этапе организации могут применять междисциплинарный подход, используя знания своего бизнеса наряду с вероятным сценарием кибератаки, чтобы понять, какие действия могут потребоваться. Затем они могут применить общепринятые методы оценки для расчета истинной стоимости нарушения. Сопоставление этих затрат по трем этапам может затем предоставить бизнес-руководителям более точное описание киберрисков компании на протяжении всего жизненного цикла реагирования.

Сценарий: Широкая досягаемость бреши

Чтобы проиллюстрировать описанный выше процесс оценки, рассмотрим следующий сценарий с участием вымышленной ИТ-компании стоимостью 40 миллиардов долларов. Компания Thing to Thing разрабатывает сетевые продукты, поддерживающие управление технологией Интернета вещей (IoT).

Компания из Кремниевой долины с 60 000 сотрудников и операционной прибылью 12,2% вложила значительные средства в исследования и разработки, производство и маркетинг для поддержки разработки и выпуска основного сетевого продукта IoT. За шесть месяцев до запуска продукта федеральное агентство информирует Thing to Thing о взломе сети на одном из своих объектов, на котором размещена новая инновация. Первоначальное расследование показывает, что кибер-воры из иностранных государств похитили интеллектуальную собственность, относящуюся к 15 из 30 линеек сетевых устройств, которые, по прогнозам, принесут четверть общего дохода компании в течение следующих пяти лет. Хотя мотивы хакера неясны, анализ позволяет сделать вывод, что эта информация может позволить хакеру обнаружить и использовать ранее неизвестные конструктивные недостатки или, что еще хуже, внедрить вредоносный код в новые продукты Thing to Thing. С еще более серьезными последствиями, через 30 дней после предупреждения о взломе известный блогер из Силиконовой долины сообщает о доказательствах того, что иностранное национальное государство занимается реинжинирингом сетевого продукта, предполагая, что он может превзойти Thing to Thing на рынке и подорвать цену фирмы. .

Методология, основанная на сценариях, — установление конкретных нарушений различного масштаба и серьезности и моделирование их воздействия — позволяет реалистично и наглядно исследовать жизненный цикл ИС для более глубокого выявления потенциальных рисков при перемещении и хранении конфиденциальной информации компании, независимо от того, быть внешними, внутренними, злонамеренными или случайными.

На начальном этапе сортировки Thing to Thing нанимает больших шишек из ведущей PR-фирмы, чтобы связаться с заинтересованными сторонами и создать кампанию по сохранению репутации. Кроме того, компания нанимает адвокатов и судебно-медицинскую фирму для расследования инцидента, а также фирму по кибербезопасности, чтобы помочь в сортировке и устранении нарушения.

На этапе управления последствиями компания вынуждена приостановить запланированные продажи и поставки своих новых продуктов на время разработки и развертывания обновленной прошивки для затронутых устройств. Несмотря на то, что штат отдела исследований и разработок уже перегружен, Thing to Thing решает ускорить выпуск нового устройства на два месяца, а не быть захваченным киберворами — решение, которое вынуждает компанию нанимать дополнительных специалистов по исследованиям и разработкам. Но утрата уверенности в способности Thing to Thing защитить собственную сетевую среду, а также безопасность своих продуктов усиливается: правительство расторгает ключевой контракт, который, по прогнозам, должен принести 5 процентов доходов, и компания страдает от дополнительного 5-процентного падения доходов. доход, поскольку текущие клиенты и клиенты отступают.

В долгосрочной перспективе, на этапе восстановления бизнеса, компания проводит оценку в масштабах всего предприятия, чтобы разработать более надежную стратегию управления киберрисками и план внедрения. Это порождает различные инициативы, в том числе программу инвентаризации, классификации и защиты IP-адресов, а также проекты модернизации инфраструктуры безопасности предприятия, — все это ведет к дополнительным расходам. Кроме того, затраты на расследование и судебные разбирательства, связанные с нарушением, растягиваются на годы, как и затраты на PR для восстановления доверия потребителей и заинтересованных сторон. Продажи продуктов, наконец, возвращаются к норме через год, но сбои в работе нескольких отделов, вызванные перенаправлением ресурсов компании на устранение нарушений, снижают операционную эффективность.

Временная шкала реагирования на кибер-инциденты на рис. 2 показывает, как события и последствия этого сценария взлома могут развиваться с течением времени. Из 14 факторов воздействия, которые обычно составляют общее воздействие кибератаки, 12 некоторые, такие как затраты на уведомление о нарушении или предложения по мониторингу после нарушения, не применяются в случае Thing to Thing, как они могут быть в случае утечки данных PII. Компания сталкивается с другими прямыми расходами, связанными с юридическими консультациями, связями с общественностью, расследованием и улучшением кибербезопасности, которые относительно легко определить и, в некоторой степени, количественно оценить.

Более косвенные и отсроченные затраты на кражу ИС труднее определить и рассчитать, включая потерю стоимости самой украденной ИС, сбои в работе, потерю контрактов, обесценивание торговой марки и более высокие страховые взносы (таблица 1). В общей сложности аналитики Thing to Thing подсчитали, что один этот инцидент с кибер-кражей IP обошелся компании более чем в 3,2 миллиарда долларов.

Мы берем две ключевые потери Thing to Thing от кражи IP — целостность сетевого продукта и пятилетний государственный контракт — чтобы проиллюстрировать методологии оценки менее ощутимых затрат. При оценке последствий как украденной ИС, так и утерянного контракта используются следующие общепринятые принципы:

  • Метод «с и без». Этот подход оценивает стоимость актива после атаки по сравнению с его стоимостью в отсутствие кражи. Разница представляет собой значение воздействия, приписываемого инциденту.
  • Приведенная стоимость будущих выгод (и затрат). Чтобы рассчитать прогнозируемые выгоды от актива с учетом временной стоимости денег, стоимость связана с конкретным моментом времени, когда была обнаружена атака.
  • Допущения относительно отраслевых эталонов. Типичные отраслевые ориентиры используются для определения стоимости или финансового воздействия, связанного с различными активами. Примеры включают ставки роялти за лицензирование технологии или торговой марки.

В дополнение к использованию этих принципов для расчета стоимости утраченной ИС, компания исходит из того, что срок полезного использования ИС составляет пять лет. Из фактов, изложенных в сценарии Thing to Thing, мы знаем, что компания приписывает 25 процентов своего общего дохода линиям продуктов, на которые повлияла украденная интеллектуальная собственность. Расчеты финансового воздействия также предполагают ставку роялти в размере 2,5% для потенциальных сценариев лицензирования, связанных с интеллектуальной собственностью, которая основана на сопоставимых лицензионных соглашениях для связанных технологий и размерах прибыли компаний, выпускающих технологическое оборудование. Эта ставка роялти используется для окончательной оценки стоимости. Наконец, исходя из рисков, связанных с этим типом ИС, для выполнения необходимого дисконтирования, как описано выше, используется ставка дисконтирования в размере 12 процентов. Применяя эти методы финансового моделирования и лежащие в их основе предположения, аналитики приходят к выводу, что потеря этой ИС обошлась компании примерно в 150 миллионов долларов.

Чтобы рассчитать стоимость государственного контракта, мы снова учитываем факты, изложенные в сценарии Thing to Thing, что контракт, рассчитанный на пять лет, приносит 5 процентов от общего годового дохода компании. Чистые денежные потоки, полученные компанией за пятилетний период с действующим контрактом, были дисконтированы с использованием 12-процентной ставки дисконтирования, что позволило получить сумму в 15 миллиардов долларов. Потеря контракта приводит к 5-процентному снижению годовой выручки и 2-процентному падению нормы прибыли (при снижении выручки компания работает в условиях более низкой операционной базы, поскольку ее постоянные затраты распределяются на более низкую базу доходов), в результате чего потеря стоимости более 1,6 миллиарда долларов.

Эти два примера являются лишь частью общей стоимости взлома IP-адресов, как показано на приведенной выше диаграмме. И хотя руководство, действующее из лучших побуждений, может не замечать ничего, кроме (значительной) стоимости самой утраченной ИС, реальное влияние на бизнес гораздо больше. В этом случае стоимость потерянной интеллектуальной собственности в размере 150 миллионов долларов представляет собой небольшую долю от общей суммы в 3,2 миллиарда долларов.

Комплексная защита IP и готовность к реагированию

Цель описанного выше сценария не в том, чтобы шокировать пугающе высокими цифрами, а, скорее, в том, чтобы выделить наиболее значимые последствия кибератаки, чтобы руководители могли понять все последствия кражи IP. Как только руководители осознают важность защиты цифровой ИС, этот сценарий также может помочь в проверке готовности их собственной организации. Изучив возможные сценарии атак и составив более точную картину того, как может быть затронут бизнес, руководители организаций могут затем разработать обоснованную стратегию управления киберрисками, связанными с защитой их ИС.

Методология, основанная на сценариях, — установление конкретных нарушений разного масштаба и серьезности и моделирование их воздействия — позволяет реалистично и наглядно исследовать жизненный цикл ИС для более глубокого выявления потенциальных рисков при перемещении и хранении конфиденциальной информации компании, будь то быть внешними, внутренними, злонамеренными или случайными. Работа над сценарием может помочь в количественной оценке часто скрытых затрат и масштабных последствий потери ИС. Оценивая потенциальный ущерб и показывая невидимые затраты, можно инициировать продуктивный диалог на уровне руководства и совета директоров. Обладая конкретными данными, руководители могут затем принимать обоснованные решения о том, куда лучше инвестировать, чтобы свести к минимуму самые дорогостоящие последствия. Смутная и страшная угроза становится более определенной, и враг начинает выглядеть так, как будто его можно победить с помощью упреждающих стратегий и средств защиты. Оценка риска ИС на протяжении всего жизненного цикла разработки превращает страх перед потенциально разрушительной кибератакой в ​​уверенность: даже если кибер-воры нанесут удар, организация сможет отреагировать и восстановиться.

Это повышение осведомленности может затем привести к интеграции стратегий кибер-рисков в общую стратегию компании по управлению ИС. В статье Deloitte Review «Волшебники и тролли: ускорение технологий, патентная реформа и новая эра ИС» описываются девять аспектов, которые должна охватывать стратегия в области ИС. 13 Однако по мере увеличения количества средств и мотивов для кибер-краж руководителям следует перейти к включению аспекта кибер-риска в стратегическую структуру управления ИС компании (рис. 3). Управление программой ИС в целом на исполнительном уровне должно включать в себя как явный надзор за элементами управления киберрисками, так и признание того, что многие другие элементы программы ИС связаны с проблемами киберрисков.

В более комплексном подходе к киберрискам могут участвовать разработчики, ИТ-специалисты, юридические лица, специалисты по управлению рисками, представители бизнеса и другие руководители для синхронизации и согласования стратегии организации в области ИС с эффективной программой киберрисков, чтобы обеспечить соответствующие меры безопасности, мониторинг и процессы реагирования. на протяжении всего жизненного цикла ИС. Особенно важно понимать ценность и защищать ИС на ранних стадиях ее становления. Полагаясь на тактику защиты ИС, такую ​​как «первый подаст файл» или «обнаружение и блокировка» для защиты самых ценных секретов компании, — хотя это и важно — не удается признать, что ИС имеет ценность еще до того, как она «созреет». ИС на начальных этапах развития может быть одинаково ценна для конкурентов или противников задолго до принятия решения о подаче патента. Таким образом, потребность в скорости для защиты ИС в ее цифровой форме на всех этапах ее жизненного цикла возросла в геометрической прогрессии — по крайней мере, соизмеримо со скоростью, с которой злоумышленник может получить доступ к самым сокровенным секретам компании и скрыться от них.

Учитывая их важность для роста, доли рынка и инноваций, интеллектуальная собственность и киберриски должны по праву находиться в одном ряду с другими стратегическими инициативами, управляемыми на уровне высшего руководства. Одним из важных соображений для высшего руководства является обеспечение того, чтобы элемент киберриска в стратегии организации в области ИС соответствовал ее более широкому подходу к корпоративным рискам и структуре ИТ/киберрисков. 14 Например, методология и показатели оценки рисков, используемые для оценки киберуязвимости ИС, должны соответствовать тому, как другие подразделения предприятия измеряют риски. Вся программа киберрисков, включая ее компонент ИС, должна быть включена в программу управления корпоративными рисками организации, чтобы предоставить руководству представление о киберрисках ИС в контексте всех рисков.

Учитывая их важность для роста, доли рынка и инноваций, интеллектуальная собственность и киберриски должны по праву находиться в одном ряду с другими стратегическими инициативами, управляемыми на уровне высшего руководства.

Благодаря такой контекстуальной осведомленности о риске руководители могут задавать сложные вопросы, чтобы выяснить, насколько эффективно компания управляет своей интеллектуальной собственностью, а также насколько хорошо интегрирована в этот процесс программа киберрисков. На практике эти вопросы могут включать:

  • Где можно уменьшить количество людей, имеющих доступ к ИП?
  • Где находятся наиболее уязвимые звенья при рутинной обработке и защите ИС?
  • Является ли стратегия управления/защиты данных компании достаточной и понятной?
  • Согласованы ли возможности кибермониторинга и расставлены ли они по приоритетам для обнаружения угроз в отношении наиболее стратегических активов ИС компании, включая полное использование возможностей совместного использования киберугроз между частным сектором и государством?
  • Если инновационная экосистема компании распространяется на партнеров, поставщиков или третьих лиц, были ли меры контроля и политики надлежащим образом расширены за пределы корпоративных границ?
  • Знают ли исследователи или разработчики из лучших побуждений информацию о политиках компании в области хранения, управления данными и их хранения, чтобы информация не оставалась незащищенной? Этот последний пункт показывает, что «защита» — это не только техническая функция, но и функция человеческого сознания: люди на протяжении всего жизненного цикла ИС должны осознавать свою решающую роль в охране ценных корпоративных секретов.

Наконец, хотя улучшенная безопасность — в классическом смысле политик и средств контроля технологий — может повысить шансы предотвращения ограбления, абсолютное предотвращение невозможно. То, насколько хорошо организация реагирует на взлом, может снизить потери — кража не обязательно должна стоить 5 миллиардов долларов. Реакция на инцидент приобретается на опыте, но это не обязательно означает ожидание реального инцидента. Моделирование кибератак обеспечивает тренировочную площадку для проверки способности технических и бизнес-групп анализировать и восстанавливать основные процессы миссии и, что более важно, способности всей организации действовать решительно. Практика помогает лидерам «узнать то, чего они не знают» и приводит к более точным планам реагирования на неизбежные «реальные вещи».

Закрытие пробела в экспозиции IP

Учитывая существенный вклад ИС в основной бизнес компаний и постоянную опасность кибератак на ИС, управление рисками кражи ИС должно стать неотъемлемой частью корпоративной стратегии в области ИС под компетенцией генерального директора, финансового директора, главного юрисконсульта и , что не менее важно, CIO и CISO. Корпоративная стратегия в области ИС должна включать элементы киберрисков наряду с исследованиями и разработками, патентами и авторскими правами, монетизацией и другими планами в области ИС. Зная, что риски растут, руководители высшего звена обязаны защищать интеллектуальную собственность всеми силами компании перед инвесторами, сотрудниками, клиентами и партнерами. Для корпоративных лидеров и их заинтересованных сторон цель та же: защита и создание возможностей для ценных инноваций для поддержки будущей конкурентоспособности и роста компании.

При этом для обеспечения подлинной устойчивости требуется стратегическое внимание всей компании со стороны руководства организации к общему бизнес-риску, который представляет собой кибер-кража IP-адресов. Точное знание того, какой ИС владеет компания, где и как эта ИС охраняется, а также включение киберзащиты ИС в общую программу управления ИС должно быть неотъемлемой частью стратегии. Когда ИС является движущей силой роста и конкурентоспособности столь многих компаний, понимание всех последствий ее потенциальной утраты или неправомерного использования является хорошим началом для управления рисками и перехода от простого признания к действиям.