Кибератаки и несовершенство программного обеспечения могут привести к сбоям, способным «каскадно распространяться по сетям, влияя на общество самым неожиданным образом», говорится в отчете Global Risks Report 2018 Всемирного экономического форума (ВЭФ).
По мнению экспертов форума, киберугрозы достигли «беспрецедентных масштабов» и по разрушительному воздействию сопоставимы с экологическими и геополитическими проблемами. Пока этой опасности отведено лишь шестое место в рейтинге технологических рисков. Но уже в ближайшую пятилетку кибератаки возглавят список потенциальных угроз, уверен совладелец Group-IB Илья Сачков.
За последние несколько лет география киберпреступности серьезно расширилась. В 2015 году в Турции атака на 400 тыс. веб-сайтов повлияла на работу СМИ, телекоммуникационных, банковских сетей и госучреждений. Взлом группой хакеров BlackEnergy электроэнергетических информационных систем Украины в том же году оставил без электричества около 200 тыс. человек, параллельно киберпреступники атаковали телефонные сети, затрудняя восстановление энергоснабжения.
В 2017 году северокорейская банда кибервзломщиков добралась до эталонной системы межбанковских переводов SWIFT и сумела вывести из тайваньского банка Far Eastern International около $60 млн. Наиболее масштабными по охвату и эффекту в СМИ стали эпидемии вирусов-шифровальщиков, прокатившиеся по миру в прошлом году: вредоносная программа WannaCry за три дня атаковала 200 тыс. компьютеров в 150 странах. Зашифрованными оказались данные в китайских университетах, на французском и японском автозаводах Renault и Nissan, а также в немецкой железнодорожной компании Deutsche Bahn. Ущерб от одного только WannaCry был оценен в $1 млрд.
Государственный фактор
По оценке страхового синдиката Lloyd’s of London, общий ущерб от глобальной кибератаки может достичь $121 млрд в том случае, если бизнес лишится доступа ко всем облачным хранилищам данных. Ущерб может быть выше потерь от знаменитых североамериканских ураганов, говорит Илья Сачков: последствия шторма «Сэнди» в 2012 году были оценены в $70 млрд, а ущерб от «Катрины» 2005 года — в $108 млрд.
Министерство внутренней безопасности США выявило 60 объектов, на которых даже единственный инцидент в сфере кибербезопасности способен привести к 2500 смертям, убыткам $50 млрд или значительному снижению обороноспособности страны. Главным бизнес-риском в Америке признано «воздействие вредоносных программ, несущих убытки, геополитическую напряженность или вызывающие повсеместную потерю доверия к интернету».
Однако, по оценке экспертов ВЭФ, инфраструктура США до сих пор остается уязвимой.
Около 60% опрошенных в 2017 году американским Pew Research Center экспертов в области ИТ-безопасности уверены: в ближайшие два года именно США столкнутся с кибератаками на объекты инфраструктуры, и эти атаки окажутся успешными.
В 2016 году убытки российских компаний от кибератак, по данным исследования Фонда развития интернет-инициатив (ФРИИ), Microsoft и Group-IB, превысили 200 млрд руб. и достигли 0,25% российского ВВП.
Важная в масштабах страны инфраструктура должна быть защищена государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), напоминает руководитель направления информационной безопасности компании КРОК Андрей Заикин. Закон о безопасности критической информационной инфраструктуры РФ, предусматривающий подключение «транспортной, промышленной, финансовой отрасли, телекома и компаний в области здравоохранения» к этой системе, был принят в прошлом году. Бизнесу предстоит пересмотреть свое отношение к возможным последствиям информационных угроз.
Человеческий фактор
Прошлогодние инциденты показали, что далеко не все компании готовы к отражению даже довольно простых киберугроз, говорит Андрей Заикин: «Проблема чаще всего кроется в человеческом факторе — несоблюдении людьми регламентов эксплуатации и обслуживания систем».
Пока бизнес довольно безалаберно относится к новым рискам или как минимум недооценивает их.
Больше 50% топ-менеджеров компаний — участников опроса PwC, проведенного совместно с журналами CIO и CSO (участвовали 9,5 тыс. руководителей в 122 странах), признались, что у них нет внятной политики реагирования на чрезвычайные ситуации в области ИТ. Почти половина руководителей сообщили, что на предприятиях нет программ обучения сотрудников навыкам защиты информации. Лишь 19% российских респондентов сообщили PwC, что сумеют в случае атак определить их источник.
При этом 40% респондентов понимают, что киберугрозы способны нарушить операционную деятельность бизнеса, а 39% опасаются утечки конфиденциальной информации. Примерно треть понимают, что сбои или действия хакеров способны нанести ущерб качеству их продукции, а пятая часть респондентов осознают возможную угрозу жизни сотрудников.
Российские участники исследования PwC, CIO и CSO главной опасностью кибератак считают не нарушение деятельности компании, а утечку данных — так ответили почти половина опрошенных менеджеров.
«Предприятиям необходимо провести переоценку цифровых рисков, сфокусировавшись на повышении устойчивости к угрозам», — говорит глава практики PwC в области кибербезопасности в США Шон Джойс.
Прямая угроза
Интернет-магазинам больше всего стоит опасаться DDoS-атак, приводящих к отказу обслуживающих покупателей сайтов, говорит Андрей Заикин. Для промпредприятий, по его мнению, наиболее опасны кибератаки, приводящие к изменениям в конфигурации автоматизированных систем управления: «Это может привести к серьезным авариям с человеческими жертвами».
С развитием интернета вещей растет и количество потенциальных целей киберпреступников. По прогнозам американской Strategy Analytics, к 2020 году к Всемирной сети будет подключено до 30 млрд различных приборов — смартфонов, холодильников и других устройств «умного» дома.
Специалисты международного форума по безопасности Threat Horizon 2019 прогнозируют, что именно эти устройства станут основной мишенью модернизированных вирусов-вымогателей, причем зачастую с риском для жизни их владельцев — если речь идет, скажем, о датчиках и термостатах в «умных» домах. Растет вероятность умышленных отключений интернета с целью уничтожить корпорации (жертвами могут стать, например, банки или операторы связи), а также атаки и шантаж сотрудников компаний, владеющих ценными данными о бизнесе, отмечают аналитики Threat Horizon 2019.
Банки сегодня наиболее подготовлены к сбоям структуры, считает руководитель направления «Защита данных и непрерывность ИТ-сервисов» компании КРОК Александр Дубский. «Создание резервных мощностей для защиты данных на случай сбоев в секторе — это уже рыночный стандарт», — говорит эксперт.
Новая информационная политика
В этой ситуации исследователи из PwC, CIO и CSO советуют топ-менеджерам взять на себя ответственность за обеспечение кибербезопасности и убеждать в необходимости этой работы советы директоров. Сейчас лишь в 44% компаний советы директоров участвуют в выработке стратегии безопасности.
В крупных компаниях меняется роль главы по информационной безопасности, считает основатель IronNet Cybersecurity, экс-глава киберкомандования США Кейт Александер: именно этот топ-менеджер должен докладывать совету обо всех кибератаках «с акцентом на недостатки в обучении, оборудовании и инструментарии» и помочь совету директоров определиться со стратегией защиты.
Разрозненный набор систем защиты — файрволы, антивирусы, системы защиты от DDoS-атак, которые в настоящее время используют компании, — исчерпал себя, говорит Андрей Заикин: «Такая тактика не позволяет выстроить единую сеть защиты и выявлять уязвимости». Это привело к развитию Security Operation Center (SOC), располагающих технологиями защиты, а также штатом сотрудников, отвечающих за информационную безопасность и регламенты, правила реагирования на атаки.
Устойчивость к кибератакам и сбоям должна рассматриваться владельцами бизнеса как необходимое условие получения прибыли, а не только как способ предотвращения рисков, считают в PwC. Инициатива должна исходить от первых лиц организаций.
Компаниям необходимо разработать стресс-тесты, которые учитывали бы и зависимость бизнеса от других предприятий, считает директор по информационной безопасности компании In-Q-Tel Ден Гир. Он призвал менеджеров в таких тестах получить прямой ответ на вопрос: смогу ли я выдержать сбой в работе тех, от кого я завишу?
Одной из стратегий может стать переход к управляемым услугам по непрерывности бизнеса, которые способны защитить данные от потери и застраховать ИТ-инфраструктуру от сбоев, говорит Александр Дубский. В пример эксперт приводит «разработку устойчивой к катастрофам платформы» для одного из банков, где КРОК «обеспечил высокую доступность клиентских сервисов и ключевых приложений».
«Такие платформы позволяют подготовиться к пиковым нагрузкам и другим непрогнозируемым факторам», — говорит Александр Дубский. Эксперт также призывает бизнес не стесняться «привлекать внешнюю экспертизу, а затем на ее основе формировать актуальные планы на случай аварийного восстановления ИТ-инфраструктуры».
Аналитики PwC стараются убедить руководство крупнейших компаний и даже государств противодействовать новым рискам сообща, «невзирая на организационные, секторальные и национальные границы».