Кибертеррористы наступают: как украинские компании «укрепляют» свои позиции

«Самое точное определение того, что сейчас происходит в Украине, – кибертерроризм», – подчеркнул директор по работе с партнерами и клиентами представительства Cisco в Украине и странах СНГ Сергей Мартынчук на недавнем Cyber Defence Congress 2K18. Спикеры отмечали, что большинство крупных кибератак выполняли не экономические, а политические и военные задачи. Вместе с тем жертвами профессиональных хакерских ОПГ становится все большее число частных компаний.

Как бизнесу продержаться в этой войне с наименьшим числом потерь? Почему лучше стать случайной жертвой, а не инструментом кибератаки? На эти и другие вопросы отвечали спикеры конгресса. Mind выбрал наиболее интересные факты и мнения.

Масштаб ущерба. CEO и соучредитель страхового брокера «Инсарт» Александра Гладышевская констатирует, в 2017 году потери мировой экономики от кибератак оценены в $600 млрд. К 2020 году аналитики «оптимистично» прогнозируют рост ущерба до $2 трлн.

«Только от вируса Petya украинская экономика потеряла $466 млн, или 0,5% ВВП. Это лишь белые цифры. Оценить весь размер ущерба не может никто», – сообщила Александра Гладышевская.

Сергей Мартынчук отметил: до 2017 года многие украинские компании надеялись, что их «хата с краю». Но масштабные атаки прошлого года, особенно Petya, произвели отрезвляющий эффект. Спикер напомнил о недавно выявленном вирусе VPN Filter. «Им инфицировано более 500 000 устройств в 54 странах. Специалисты Cisco Talos пришли к выводу, что Украина – цель данной атаки. Самое важное, что атака еще не приведена в действие. Пока прошел только первый этап инфицирования. А судя по числу зараженных устройств, масштаб может быть огромным», – считает Сергей Мартынчук. Те, кто не успел «очиститься» от вируса, могут найти детальные рекомендации на блогеCiscoTalos. 

Президент Киевского отделения международной неприбыльной профессиональной ассоциации ISACA Алексей Янковский сообщил, что в ближайшее время нас ожидает кибератака, мировой ущерб от которой может достичь $50 млрд.

В одной лодке. Спикеры иронизировали, что все компании можно поделить на две категории: те, кто знает, что их хакнули, и те, кто еще не в курсе. Третьего, увы, не дано. По словам Алексея Янковского, в последнее время уровень угроз существенно возрос. «Если ранее мы имели дело с хакерами-одиночками, то сейчас – с профессиональными, структурированными ОПГ, в состав которых входит по 10-30 человек. Они отлично разбираются в различных сферах бизнеса, имеют неограниченные ресурсы и время. Могут позволить себе годами пытаться взломать систему», – рассказывает спикер.

«Согласно данным отчета Allianz Global Corporate&Specialty, киберугрозы уже переместились на второе место в рейтинге самых опасных рисков для бизнеса. Еще три года назад они были на 15-м», – рассказала Александра Гладышевская.

По словам Сергея Мартынчука, в условиях кибертерроризма компаниям отведена роль «мирных жителей», как в игре «Мафия». «У них есть два варианта – стать случайной жертвой или инструментом атаки. Участь вторых (например, компании M.E.Doc) не завидна. Если компания становится инструментом – ее страдания умножаются в десятки раз, потому что потеря имиджа просто сумасшедшая и порой непоправимая», – считает спикер.

Как компании «укрепляют» позиции? Пока общая картина «строевой подготовки» не впечатляет. «По данным отчета об инфорбезопасности Cisco, 66% инцидентов не обнаруживается месяцами и даже годами, до выявления проникновения в среднем проходит 229 дней, в 60% случаев данные утекают в первые 24 часа, и только 33% организаций узнают об атаках с помощью своего мониторинга», – подчеркивает Сергей Мартынчук.

Алексей Янковский из ISACA сообщил: их недавний аудит украинских компаний выявил, что многие пока не осознают риски, не знают о правилах, инструментах и подходах к противодействию. «После вируса Petya компании стали строить службы информационной безопасности (СИБ). Но даже крупные предприятия формируют СИБ из 2-3 человек. Кроме того, мы выявляем недостаточный уровень компетенции специалистов как IT–департаментов, так и СИБ, неотлаженные коммуникации между этими подразделениями», – рассказал Алексей Янковский.

Глава правления ИнАУ Александр Федиенко провел маленький эксперимент на конгрессе: попросил отозваться тех, у кого на предприятиях внедрены правила безопасности. Руку никто не поднял. «Можно нанять самых крутых специалистов, но без правил по кибербезопасности ничего не будет работать!» – отметил Александр Федиенко. Он уверен: правила должны знать все – как новые, так и старые сотрудники. Важно тестировать персонал и не бояться штрафовать тех, кто нарушает регламенты.

Александра Гладышевская привела показательный пример: «Наши клиенты заполняют опросники и сообщают, какие системы кибербезопасности у них работают. Иногда очень удивляют. К примеру, представители одной из украинских страховых компаний написали, что у них на рабочих станцияхнет антивируса. Эта компания входит в ТОП-10 на своем рынке и вообще никак не защищают данные своих клиентов».

Алексей Янковский сообщил, что пока лишь некоторые украинские компании стали строить центры мониторинга и управления безопасностью (Security Operation Center, SOC). Хотя многие начали интересоваться сейчас модными SOC.

Волшебная палочка. Помимо трех китов – внедрения инструкций, обучения сотрудников и использования разнообразных инструментов защиты – бизнесу помогает и киберстрахование», – полагает Александра Гладышевская. В случае ЧП (фишинга, кибервымогательства, кражи и уничтожения данных, получения контроля над IТ-ситемами, атак на POS-терминалы и т.п.) компаниям могут выплатить по страховке до $1 млн. Страховой тариф – от 1%. К примеру, $10 000 в год, если компания страхуется на $1 млн.

По словам CEO «Инсарт», застрахованным могут возместить убытки (упущенную прибыль, претензии третьих лиц, штрафы государства) и расходы (реагирование на кибератаку, восстановление данных и репутации, юридическую поддержку, проведение расследования).

Присутствовавшие на конгрессе сотрудники компаний после выступления спикера иронизировали, что страховщики начали отбирать у них работу: бизнесу проще заплатить $10 000 в год, чем оплачивать труд хотя бы нескольких специалистов по безопасности.