В Докладе о глобальных рисках 2020 года Всемирного экономического форума говорится, что киберпреступность будет оставаться вторым по значимости риском для мировой торговли вплоть до 2030 года. С точки зрения доходов, киберпреступность затмевает совокупный годовой доход таких гигантов как Tesla, Facebook, Microsoft, Apple, Amazon.
Киберпреступность также как все отрасли переживает волну индустриализации и предлагает, по сути, тот же набор, что и обычные компании: разработку продукта, техническую поддержку, дистрибуцию, контроль качества, обслуживание клиентов. Киберпреступники крадут, а затем продают новые технологии или секретные стратегические планы, которые дают их покупателям преимущество перед конкурентами.
Киберпреступления – это командная работа, поэтому она менее рискованна, чем совершение традиционных правонарушений. К примеру, в США вероятность поймать участников киберпреступлений и привлечь их к ответственности оценивается всего в 0,05%.
Чаще всего современные киберпреступники используют программы-вымогатели и DDoS-атаки, которые легче монетизировать. Например, загрузочные сервисы – это своеобразные «наемники» DDoS, которые используют крупномасштабные ботнеты или манипулируют облачными учетными записями для создания вредоносного потока данных, который замедляет или останавливает работу ИТ.
Атаки могут длиться несколько дней и стоить от десяти до нескольких тысяч долларов. Также они могут быть частью схемы выкупа, вандализма, саботажа или просто способом маскировать многовекторную атаку с захватом ИТ-ресурсов жертвы.
DDoS-атаки являются одной из самых серьезных угроз, с которыми сталкивается глобальный бизнес. Предпочтительные цели DDoS-атак – это банки и общественные организации (полицейские управления, местные органы власти). В последнее время список жертв также пополняется туристическими агентствами, интернет-инфраструктурой и онлайн-играми.
Киберриск включает в себя кражу личных данных, приостановку деятельности, ущерб репутации, кражу записей клиентов и расходы на восстановление данных. Сосредоточив внимание на операционной стороне, риски кибербезопасности можно определить, как операционные риски для информационных и технологических активов, которые имеют последствия, влияющие на конфиденциальность, доступность или целостность информации и информационных систем. Такое широкое определение оправдано, поскольку основу киберриска составляют различные и меняющиеся причины.
Киберриски также можно классифицировать по видам деятельности (криминальные и некриминальные), типу атаки (распределенная атака «отказ в обслуживании», вредоносное ПО) и источнику атаки (террористы, преступники, правительство). В отличие от других рисков, которые обычно учитываются в страховании, киберриски характеризуются высокой корреляцией и общей сложностью подтверждения убытков для страховой компании. Высокая корреляция объясняется, с одной стороны, глобальной взаимосвязанностью, а с другой стороны, эффектом масштаба, связанным с развитием ИТ-систем.
Поскольку современные технологии интегрируются в сложные социотехнологические сети в критически важной инфраструктуре таких секторов, как энергетика, телекоммуникации, банковское дело, то киберриск становится все более ощутимой угрозой. Из-за растущей взаимозависимости внутри секторов сбой в критически важной инфраструктуре, вызванный кибератакой, может задеть национальные и отраслевые границы, что способно привести к катастрофическим последствиям.
COVID-19 и более широкое использование цифровых технологий в пандемическом мире многократно повысили экономическую значимость киберрисков. Однако при разработке правдоподобных сценариев как самих киберрисков так и способов на их реагирование, необходимо учитывать ряд соображений, к которым относятся экономические и технологические факторы, определяющие киберриск, доступность высококачественных данных и эволюция тактики и методов злоумышленников.
Успешный подход требует определения сценариев относительно типа угрозы атаки. Самый распространенный тип атаки – это атака на открытые данные, которая включает в себя утечку данных, их раскрытие и кражу. Иллюстрацией такого сценария может стать крупномасштабная кража данных электронных медицинских карт.
Следующая атака – отключение поставщика. При этом пользователь сталкивается с длительными простоями или задержками в работе, что вызывает широкомасштабные перерывы и другие каскадные последствия для бизнеса. Еще один тип атаки – атака на критические уязвимости. Например, атака вредоносного ПО NotPetya в 2017 году, нацеленная на критические уязвимости в операционной системе Microsoft Windows.
Наконец, популярная атака – «злоупотребление доступом» – кража денег у поставщика финансовых транзакций через скомпрометированную учетную запись клиента. Так, кибератака на Airbus в 2019 году произошла через скомпрометированный VPN-доступ таких поставщиков, как Rolls-Royce и Expleo. Прямой VPN-доступ поставщиков к Airbus был использован хакерами для получения доступа к сетям Airbus с целью кражи данных.
Современная реальность такова, что неудовлетворительная подготовка службы информационной безопасности компании часто является большей проблемой, чем произошедший сбой в работе техники. В связи с этим рассмотрим несколько возможных сценариев реагирования на киберинциденты, с помощью которых можно проверить готовность сотрудников компании. Проведение практических кибертестов может повысить уровень реагирования на инциденты за счет:
- четкого определения ролей и обязанностей;
- уточнения обязанностей по принятию решений;
- обеспечения понимания протоколов и требований;
- наращивания потенциала для успешного реагирования и восстановления после серьезного киберсобытия.
Для службы информационной безопасности важно знать, как вредоносные вложения и вредоносное ПО, особенно программы-вымогатели, могут попасть в сеть. Если вредоносные вложения проходят через фильтры и попадают в электронные почтовые ящики или сотрудники посещают веб-сайты, зараженные программами-вымогателями, то необходим план, проверенный кибертренировками, чтобы иметь возможность быстро реагировать и ограничивать ущерб.
Следует помнить, что киберпреступники часто используют методы социальной инженерии для получения доступа к системам и информации. Они могут выдавать себя за сотрудников, подрядчиков или сторонних поставщиков, чтобы расположить сотрудника разгласить конфиденциальные пароли и другие средства контроля доступа. Необходимо протестировать сотрудников путем имитации запросов паролей из знакомых источников, таких как служба поддержки или даже паролей руководители, которых также часто подделывают.
Компьютеры и устройства, которые не прошли надлежащую аутентификацию перед подключением к корпоративной сети, являются идеальной мишенью для злоумышленников. Если в компании используются облачные приложения и инфраструктура, необходимо отслеживать доступ к таким средам, как Microsoft Azure, Google или Office 365. Существует риск их взлома и неправомерного использования, если они не настроены должным образом для обеспечения оптимальной безопасности, или если кто-то с авторизованным доступом настраивает мошеннические учетные записи или операции с ними.
Вышеприведенные сценарии реагирования на киберинциденты можно использовать для проверки готовности службы информационной безопасности. Регулярное прохождение кибертестов может помочь лучше подготовиться к реальным атакам, повышая защиту от потенциальных мошенников.
Эффективность ведения бизнеса в эпоху цифровых технологий заключается в защите ИТ-систем, а экономические последствия киберпреступности должны рассматриваться как самые важные аспекты, на которых должна сосредоточиться компания, потому что неспособность защитить свою интеллектуальную собственность, финансовую информацию и ИТ-сети имеет фатальное экономическое значение.
