Экономика киберинцидента — штука сложная и неоднозначная. Тем не менее, поскольку для любого бизнеса важно считать деньги, попробуем соотнести затраты на информационную безопасность (ИБ) с возможными киберрисками.
Ущерб от кибератаки сразу после нее оценить невозможно — его окончательный размер становится понятен лишь по завершении отчетного периода, то есть как минимум финансового года.
Более репрезентативный результат будет при сравнении показателей двух пятилетних периодов, ведь финансовые последствия кибератаки растягиваются в среднем на три-четыре года. При прогнозировании размер возможного ущерба в результате киберинцидента определяется с учетом ожидаемого дохода компании.
Все более популярными становятся атаки через промежуточное звено — например, через поставщика телеком-, ИТ-, облачных и прочих услуг, в результате которых киберпреступники могут получить доступ ко всей информации, которую они хотят украсть.
В 2020 году наш центр противодействия кибератакам Solar JSOC фиксировал двукратный рост таких атак. Этот тренд сохраняется и в 2021-м, что вполне объяснимо: наносить удары по крупным компаниям со зрелой информационной безопасностью, преимущественно из финансового и промышленного секторов, куда проще через слабо защищенных партнеров-поставщиков. Банки входят в топ-3 атакуемых объектов, при этом они традиционно являются наиболее защищенным сегментом бизнеса. По этой причине злоумышленники зачастую нападают на финансовые организации через их ИТ-подрядчиков.
Ущерб зависит от того, поставщик каких именно услуг был атакован. Согласно данным IronNet Cybersecurity (2021 Cybersecurity Impact Report), в среднем годовая прибыль компании, пострадавшей в результате крупной кибератаки типа supply-chain (через промежуточное звено), снижается на 11%. Для примера: чистая годовая прибыль «Сбера», крупнейшего российского банка, по ситуации на декабрь 2020 года была 719,1 млрд руб., то есть возможный ущерб составил бы 79,1 млрд руб. Показатели для Тинькофф Банка (замыкает топ-5 отечественных банков) — 30, 5 млрд руб. и 3,4 млрд руб. соответственно.
Репрезентативности ради возьмем менее крупные банки, занимающие в рейтинге по чистой прибыли позиции ниже 200-й. «Юнистрим» (249-й в рейтинге) — чистая прибыль 2,4 млрд руб., возможный ущерб — 329 млн руб. Тамбовкредитпромбанк (272-й) — 2,4 млрд руб. и 262, 8 млн руб. соответственно
Получается, для тамбовского банка ущерб в 11% — это выплата почти 22 млн руб. каждый месяц. Для небольшого регионального банка сумма весьма ощутимая. На горизонте даже одного года такой убыток может повлиять на дальнейшую деятельность организации.
Теперь от прикидок перейдем к описанию и анализу реальной атаки. В конце 2018 — начале 2019 года злоумышленники осуществили массовую фишинговую рассылку на адреса различных российских банков. Письмо содержало файл в формате.doc, при открытии которого запускался планировщик Windows, а вслед за ним — приложение MSHTA.EXE. Эта кампания получила название Silence. Применяемая злоумышленниками социальная инженерия была заточена под отрасль в целом: рассылки, например, касались открытия корсчетов для организаций, участия в грядущем финансовом форуме и других злободневных тем.
В одном из региональных банков, входящих в российский топ-300 по объему активов, фишинг сработал. Инфраструктура организации была выведена из строя. Злоумышленникам удалось украсть 25 млн руб. К этим похищенным деньгам прибавились дополнительные убытки, вызванные инцидентом, — вспомним про те самые отсроченные на несколько лет последствия.
Разумеется, нельзя однозначно утверждать, что только киберинцидент так негативно отразился на финансовом состоянии банка, — есть и другие факторы: санкции США, снижение Банком России размера ключевой ставки по кредитам, ужесточение обязательных нормативов для банков с базовой лицензией. Однако очевидно, что кибератака не могла не оказать существенного влияния на показатели некрупного банка. Согласно отчету банка за 2020 год, если в 2018 году финансовая организация получила рост прибыли на 6 млн руб. (чистая прибыль составила 3,16 млрд руб.), то в 2019-м убыток составил 164 млн руб., в 2020-м — 33 млн руб. Упал объем вкладов физических и юридических лиц — 2 млрд руб., 1,8 млрд руб., 1,5 млрд руб. в соответствующие годы. В годовом отчете банка за 2020 год наблюдается положительная динамика по сравнению с 2019 годом, но показатели так и не вышли на уровень 2018-го и, вероятно, он будет достигнут лишь к 2022–2023 годам.
Если от атаки через подрядчика компания теряет в среднем 11% годового дохода, то в случае прямой атаки этот показатель, согласно отчету «Ростелеком-Солар», может дойти практически до 16%. Это, безусловно, ощутимый удар по финансовым показателям и развитию компании в целом.
Напомню, что атака Silence затронула многие банки. Тот же Сбербанк за один день получил 1500 фишинговых писем. Но Сбербанк их просто заблокировал, а в описываемом региональном банке сотрудники эту рассылку получили, после чего кто-то открыл вложение или перешел по ссылке. Почему это стало возможно на их рабочих местах?
В отчетности на сайте ЦБ РФ имеется информация, что в 2018 году банк, подвергшийся атаке, выделил 2 млн руб. на обеспечение связи и поддержание работы информационных систем — то есть не на информационную безопасность, а на все информационные технологии и телеком-инфраструктуру в целом. Смею предположить, что на долю кибербезопасности из них пришлось в лучшем случае 0,7 млн руб. Очевидно, что этого оказалось недостаточно для обеспечения необходимого уровня защиты.
Возникает вопрос: оправданна ли была экономия на информационной безопасности и технологиях? Ежегодное выделение на обеспечение ИБ до 5 млн руб. в итоге обошлось бы банку гораздо дешевле, чем восстановление после киберинцидента. Поддерживать защищенность внутренней инфраструктуры всегда намного проще, чем реабилитироваться после атаки.
И эта проблема — системная. Успешная атака на небольшой региональный банк может открыть злоумышленникам двери и к более крупным игрокам — по той же самой популярной ныне схеме атаки через промежуточное звено. Либо же локальная победа даст им опыт и возможность, усовершенствовав инструментарий, атаковать более крупную жертву.
Важно понимать, что многие требования кибербезопасности, предъявляемые к финсектору, порой не под силу выполнить небольшим региональным банкам. У них просто нет для этого ни финансовых, ни кадровых ресурсов. Региональный банк, о котором мы говорим, — яркая иллюстрация такого положения дел. Очевидно, что проблема должна решаться коллективно: самими банками, регулирующими органами, в том числе ЦБ РФ, а также ИБ-провайдерами. Задача последних — сформировать гибкие конкурентоспособные предложения, ориентированные не только на крупный, но и на средний бизнес.
Чем известна «Ростелеком-Солар»
«Ростелеком-Солар» — компания группы ПАО «Ростелеком». Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью. Под защитой компании находится более 750 организаций, в штате «Ростелеком-Солар» — свыше 1,1 тыс. специалистов.
