Сколько стоит кибератака

В спецпроекте  «Кибергигиена» 5 сфер и Национальная Ассоциация Кибербезопасности  продолжают серию публикаций об азах цифровой гигиены.

В предыдущих статьях эксперты рассказывали, что каждый должен знать о своих персональных данных, а также делились реальными историями компаний в контексте киберугроз.

Сегодня рассказываем все, что нужно знать о кибератаках. Наш спикер — СЕО провайдера сервисов в сфере кибербезопасности RMRF Сергей Аветисян.

По оценкам исследователей в 2022 году ущерб, нанесенный киберпреступниками достигнет 6 трлн долларов США. Средний размер ущерба для отдельно взятого бизнеса колеблется от 2 до 8 млн долларов США.

Как правило, представители малого и среднего бизнеса считают, что их это не коснется, а киберпреступники охотятся за крупными объектами. К сожалению, это давно не соответствует действительности.

В 2019 году 55% кибератак в Великобритании пришлись на малый и средний бизнес. Значительная часть организаций, относящихся к малому и среднему бизнесу, прекращают свою деятельность в течение года после кибератаки. Т. е. на вопрос, во сколько обойдется бизнесу кибератака, можно смело отвечать, что под угрозой может находиться само существование бизнеса. Слишком высока цена для беспечности.

Сколько стоит кибератака: потери бизнеса

Цифры в миллионы долларов, конечно, выглядят пугающими, но слишком абстрактны для оценки рисков от возможных кибератак в случае конкретного бизнеса. Поэтому для начала предлагаю определить, какие именно финансовые потери может понести бизнес в результате кибератаки.

Штрафы. Если в результате расследования выяснится, что компания не предприняла достаточных и своевременных мер для предотвращения инцидента или реагирования на него, в зависимости от законодательства той или иной страны, это может стать основанием для административной ответственности. Более того, в соответствии с GDPR организация должна в течение 72 часов после обнаружения утечки уведомить контролирующие органы. Увеличение этого срока трактуется, как нарушение комплаенса.

Простой бизнеса и сбой в бизнес-процесcах. В высоконагруженных онлайн-сервисах и e-commerce проектах транзакции могут происходить буквально каждую секунду. Это значит, что оценить размеры ущерба от, например DDoS-атаки достаточно легко. Достаточно умножить количество транзакций за период простоя на их средний размер. Если в это время активны рекламные кампании с оплатой за переходы, то к общей сумме ущерба можно смело прибавлять рекламные траты.

Но не только онлайн-бизнесы могут остановиться вследствие кибератаки. Даже самые консервативные организации в наше время достаточно диджитализированы: деловая переписка, финансовые операции, управление цепочкой поставок и производство. Все это может остановиться в один миг. Все помнят атаку шифровальщиком PetyaA, когда оказались парализованными целые отрасли.

Поврежденная IT-инфраструктура, на восстановление которой нужны время и деньги.

Потеря цифровых активов. Понятие цифровых активов для некоторых все еще является несколько неясным. Логика состоит в том, что веб-сайт, CRM-система или база данных для компании является являются полноценными активами в портфеле предприятия. Несмотря на то, что они не являются чем-то физически осязаемым, цифровые активы имеют свою стоимость и играют свою роль в деятельности предприятия для получения дохода. Иногда роль цифрового актива может быть важнее, чем физических. Представим себе национальную розничную сеть, владеющую сотней магазинов в разных городах и интернет-магазином.

Потеря одного физического магазина означает потерю дохода в радиусе его обслуживания (город или район). Потеря же интернет-магазина влечет за собой потерю клиентов в масштабах всей страны. Иногда потеря цифрового актива означает фактически потерю бизнеса, например, если компания оказывает услуги эксклюзивной клиентской базе.

Кража интеллектуальной собственности. Промышленный шпионаж существует, наверное, столько, сколько существуют производство и технологии. Оцените свои инвестиции в научно-технические либо креативные разработки и спросите у себя, согласны ли вы расстаться с этой суммой в случае утечки.

Потери от недобросовестной конкуренции. Несколько лет назад американская компания Lyft оказалась в эпицентре скандала. Выяснилось, что компания делала рассылку по базе клиентов своего конкурента Uber, купленную у посредника, в свою очередь, получившего ее вследствие утечки.

Потеря доли рынка, объема продаж или стоимости акций. По разным оценкам, падение объемов продаж после кибератаки может составить до 40%. Акции банка Capital One потеряли 6% в стоимости сразу после того, как стало известно об утечке данных. Стоимость акций Equifax упала почти на 19% после обнародования факта утечки в 2018 году.

Для того, чтобы оценить и минимизировать риски от возможных кибератак, для начала нужно разобраться в том, какие виды атак существуют и насколько они опасны для того или иного бизнеса.

DDoS-атаки представляют наибольшую опасность для онлайн-сервисов, интернет-магазинов, браузерных игр и информационных ресурсов. Т.е. для тех организаций, у кого сайт является основной точкой взаимодействия с клиентами.

Атака шифровальщиками (Ransomware). Как показывает опыт крупнейших атак нескольких лет, в зоне риска могут оказаться абсолютно все. Оплата выкупа злоумышленникам не означает возвращения зашифрованной информации в исходное состояние, а зачастую, целью хакеров является не выкуп, а уничтожение данных.

Социальная инженерия. С помощью фишинга осуществляется около 80% атак на бизнес. Злоумышленникам легче всего проникнуть в корпоративную сеть через устройство сотрудника. Поэтому, постоянное обучение персонала, а также управление правами доступа остаются актуальными.

Инсайдерская атака. В отличие от жертв фишинга, чьи устройства используются злоумышленниками без их ведома, инсайдеры осознанно осуществляют вредоносную деятельность против компании.

В заключение хочу сказать пару слов о важности оценки киберрисков в бизнес-планировании. Так сложилось, что инвестиции в информационную безопасность являются самыми непонятными для бизнеса из-за того, что выгоды от них наименее осязаемы. Если компания достаточно инвестирует в информационную безопасность, то в результате с ней… ничего не происходит, все работает и идет своим чередом.

Если вопросам информационной безопасности не уделять внимания, то с компанией… тоже ничего не происходит, но это только на первый взгляд. По статистике, среднемировое время от фактической утечки данных до ее обнаружения составляет шесть месяцев, а иногда можно работать годами и не догадываться, что ваш бизнес на ладони у плохих парней.

С другой стороны, даже самая продвинутая система не гарантирует 100% защиты от инцидентов. Рассматривая возможные киберинциденты, как риски для бизнеса и оценив их потенциальный ущерб, организация может подготовить планы реагирования на инциденты и, в случае наступления последних, выйти с минимальными потерями.

Таким образом, на сегодня информационная безопасность уже давно перестала быть зоной компетенции гиков и спецслужб. Сегодня это полноценный бизнес-процесс, наряду с финансами или цепочкой поставок, требующих аналогичных системных подходов в управлении.

Тема кибербезопасности сегодня касается каждого: предпринимателя, родителя, детей и чиновников. В связи с повышенным интересом к этому направлению, при поддержке Национальной Ассоциации Кибербезопасности, 5Сфер запустил серию публикаций, в которых участники ассоциации раскрывают важные темы о киберугрозах, рассказывают об азах цифровой гигиены и учат противостоять мошенникам. 

Если вы читаете этот текст, значит интернет для вас — часть повседневной жизни. Давайте вместе делать ее безопаснее. Следите за публикациями нашего спецпроекта.

Мы говорим простым языком о сложных вещах и рассказывать, как защитить себя и своих близких о действиях нечистых на руку людей.