Бiзнес
10 Грудня 2019
2 776

7 історій про кібербезпеку та бізнес: Як уникнути збитків та скандалів

Показові кейси про те, що захищати компанії потрібно не лише від рейдерів та конкурентів

Фото: Depositphotos

Міжнародні експерти компанії Cybersecurity Ventures підрахували, що цього року в світі кожні 14 секунд стається одна кібератака. А от 2017 р. у МВФ зазначали, що економічні втрати лише від атаки сумнозвісного вірусу NotPetya склали $850 млн, а загалом глобальні кібератаки обійшлися у $53 млрд.

Проте ці цифри виглядають доволі оптимістичними, просто тому, що локальних атак у світі стається дедалі більше й збитки від них досягають вже трильйонів доларів.

За різними оцінками, того ж 2017 р. Україна через самий лише вірус Petya втратила 0,4-0,5% ВВП. І хоча відтоді тема захисту від кіберзагроз стала актуальною для вітчизняного бізнес-середовища, дослідження свідчать, що українські компанії все ще менш стурбовані, ніж європейські.

Investory News за підтримки компаній “ІТ-Інтегратор” та Cisco підготували добірку історій, які демонструють, що кіберзахист – це вже мейнстрім для сучасного бізнесу.

#1: Хакери стають дедалі винахідливішими

У регулярному дослідженні компанії Cisco за 2018 р. експерти з кібербезпеки відзначають, що шкідливе програмне забезпечення стабільно вдосконалюється. Тепер зловмисники користуються хмарними сервісами та маскують свою активність за допомогою шифрування. А за словами директора з інформаційної безпеки Cisco Джона Стюарта, хакери дедалі винахідливіше стали використовувати “дірки” у системах захисту.

Наприклад, минулого року в ІТ-колах жваво обговорювали історію про злам казино у Лас-Вегасі через “розумний” акваріум, яку на конференції WSJ CEO Council Conference розказала виконавчий директор компанії Darktrace Ніколь Іган. Тоді зловмисники проникли в локальну мережу грального закладу через бездротовий термостат, встановлений в акваріумі. Після цього хакери знайшли та привласнили базу VIP-гравців, що зазвичай роблять великі ставки. За деякими припущеннями, цю цінну інформацію могли вкрасти на замовлення конкурентів. Проте, так чи інакше, злам був успішним, а безпекова “дірка” неочевидною.

#2: Чутливі дані дуже приваблюють хакерів

За даними компанії Ponemon Institute, що робила дослідження на замовлення IBM Security, на американському ринку один виток даних коштує бізнесу в середньому $3,92 млн. Причому впродовж останніх п’яти років ця цифра збільшилась на 12%, а реальна вартість втрати даних стає зрозумілою протягом наступних кількох років. Є у дослідженні ще одна цікава цифра: найбільші збитки від крадіжок інформації фіксують компанії у галузі охорони здоров’я, що часто зберігають доволі чутливі персональні дані. Так, в середньому один злам коштує такому бізнесу $6,5 млн.

Протягом останніх 10 років лише у США сталося 2,5 тис. витоків медичних даних. Один з нещодавніх інцидентів трапився на початку жовтня в Алабамі, де через дії хакерів припинили роботу одразу три лікарні з групи DCH Health System. Через атаку медичні заклади фактично не працювали кілька днів, надаючи допомогу лише в найбільш екстрених випадках. За словами представника організації, заклади були вимушені заплатити зловмисникам викуп за ключ розшифровки, щоб якнайскоріше відновити повноцінний прийом пацієнтів.

#3: Штрафи лише збільшують збитки

Минулого року через дії хакерів та витоки персональних даних компанії по всьому світу втратили $3 трлн. Як вважають автори дослідження з компанії Juniper Research, до 2024 р. ця цифра зросте на 70% – до $5 трлн. Аналітики також підкреслюють, що кіберзлочинці дедалі частіше використовують “креативні” підходи та штучний інтелект для своїх атак, але здебільшого збитки бізнесу зростатимуть через підвищення штрафів за втрату персональних даних та жорстке законодавче регулювання захисту такої інформації.

Хоча й зараз закони та штрафи вже важко назвати м’якими. Так, у липні цього року у Великій Британії одну з найбільших готельних мереж світу Marriott оштрафували на $123 млн за витік клієнтських даних. Раніше компанія придбала систему бронювання Starwood, яку начебто й атакували кіберзлочинці. Цікаво, що ця атака сталася ще 2014 р., але відомо про неї стало лише чотири роки по тому. У ході розслідування стало відомо, що Marriott не провела достатньо прискіпливу юридичну перевірку перед поглинанням Starwood. А в результаті до рук зловмисників потрапили дані про, як мінімум, 5 млн паспортів та 8 млн кредитних карт клієнтів, що зупинялися в готелях мережі.

#4: Банки теж страждають

У 2018 році збитки від шахрайства з онлайн-платіжками склали $22 млрд, а до 2023 р., за прогнозами, ця сума зросте більш ніж удвічі – до $48 млрд.

Водночас фінансовий сектор отримує збитки не лише від махінацій з онлайн-оплатою найрізноманітніших товарів і послуг, банківськими сервісами та грошовими переказами. В один з найгучніших кіберскандалів за останній час потрапила американська банківська корпорація Capital One. Вона втратила мільйони доларів знову ж таки через витік даних понад 100 млн клієнтів. Через що отримала збитки в $100-150 млн, в які входять у тому числі й видатки на юридичні послуги, повідомлення постраждалих клієнтів та кредитний моніторинг. І не виключено, що витрати на ліквідацію наслідків витоку з часом стануть ще суттєвішими.

#5: Майже всіх атак можна було уникнути

За підсумками 2018 р. лише у США збитки внаслідок 2 млн кібератак досягли $45 млрд. Причому ця цифра виявилася вищою, ніж будь-коли. Наприклад, лише збитки від компрометації електронної пошти подвоїлися. Найчастіше під атаки потрапляли хмарні сервіси та облікові записи, також частими були маніпуляції з електронною поштою, ланцюгами поставок, криптовалютними операціями тощо.

Але, як стверджують в організації Online Trust Alliance, що здійснила підрахунки, 95% цих інцидентів можна було уникнути, в тому числі й за допомогою елементарних заходів безпеки, наприклад навчивши працівників захищати конфіденційні дані.

Хоча, загалом, зберігання та охорона персональної інформації шкодить компаніям будь-якого розміру та з будь-якої галузі. Так, цього року соціальна мережа Facebook була вимушена виплатити рекордний штраф у $5 млрд та переглянути підхід до програми охорони даних через масштабний інцидент з даними користувачів, що потрапили у розпорядження компанії Cambridge Analytica. Це найбільша санкція з усіх, що коли-небудь накладалися за порушення захисту даних. Внаслідок витоку було втрачено дані 87 млн користувачів. Втім, вже у березні цього року у Facebook визнали ще одну проблему з кібербезпекою, підтвердивши, що зберігали у відкритому вигляді паролі до сотень мільйонів облікових записів по всьому світу.


•••

За прогнозами компанії Cybersecurity Ventures, до 2021 р. кіберзлочини коштуватимуть світові $6 трлн, тоді як 2015 р. ця сума оцінювалася лише у $3 трлн

•••


#6: Витрати на кіберзахист зростатимуть

За прогнозами компанії Cybersecurity Ventures, до 2021 р. кіберзлочини коштуватимуть світові $6 трлн, тоді як 2015 р. ця сума оцінювалася лише у $3 трлн. На думку аналітиків, разом із загрозами зростатимуть й інвестиції у захист від них. Зокрема, глобальні витати на продукти та сервіси з кіберзахисту до 2021 р. збільшуватимуться на 12-15% щороку. На цьому тлі збільшиться й кількість відкритих вакансій у напрямку кіберзахисту – до 3,5 млн 2021 р.

І, так чи інакше, бізнесу доведеться підлаштовуватися до нових викликів і вдосконалювати захист. Як, наприклад, норвезькому алюмінієвому гіганту Norsk Hydro, що втратив майже $35 млн через “дірку” в системі безпеки. Компанія, присутня на ринках 40 країн, отримала схвальні відгуки від експертів через “відкритість та прозорість” під час реагування на інцидент. Проте обсяги виробництва у підрозділі, що зазнав вірусної атаки, зменшились на 20-30%, а комп’ютеризоване обладнання на кількох заводах довелося перевести на ручне управління.

#7: Загроза економіці

Цьогоріч видання “The Economist” включило завдання серйозної шкоди великим сегментам інтернету внаслідок кібератак до Топ-10 ризиків для світової економіки поряд із торговою війною між США та Китаєм. У дослідженні міжнародної фінансової корпорації Allianz кіберризики посіли друге місце у списку найнебезпечніших загроз для бізнесу. А в дослідженні KPMG ці ризики увійшли до п’ятірки найбільших загроз для зростання компаній. Але незалежно від позицій у списках та рейтингах загроза не зменшується, і керівники бізнесу поступово починають це розуміти.

Так, у тому ж опитуванні KPMG цього року 68% керівників компаній у світі стверджували, що їхня організація готова до будь-якої майбутньої кібератаки. Торік таких було лише 51%. А от в Україні це твердження цьогоріч підтримали лише 39% респондентів.

Наразі найпоказовішою для українського ринку стала атака вірусу Petya, що спаралізувала роботу державних установ та приватних компаній. Зокрема, лише державна “Укрпошта” відзвітувала, що через вірус мала серйозні збитки, недоотримавши 100 млн грн.


Думка експерта

Андрій Верба, голова наглядової ради компанії “IT-Інтегратор”


Фото: IT-Інтегратор

Кіберзахист великого бізнесу та стратегічних держпідприємств можна вважати одним з критичних для розвитку вітчизняної економіки питань. Керівникам підприємств, які вже усвідомили необхідність вкладень в цю сферу, ми даємо кілька основних рекомендацій.

По-перше, завжди треба пам’ятати, що до питання забезпечення інформаційної безпеки бізнесу варто підходити комплексно. Часто ми радимо своїм клієнтам починати з проведення глобального аудиту того, що вже зроблено в компанії для захисту, аналізувати ефективність використання всіх корпоративних пристроїв і програм. Тут важливо визначити, хто буде “головним з кібербезпеки”: підрозділ всередині компанії або зовнішній підрядник, у якого є експертиза та досвід роботи в цій сфері.

По-друге, має сенс розробити план дій на кілька років наперед: які процеси потребують захисту в першу чергу, завдяки яким ресурсам та інструментам їх можна убезпечити. Так, наші фахівці з кібербезпеки нещодавно розробили план забезпечення інформаційної безпеки однієї з великих енергетичних корпорацій на 5 років. Після проведення аудиту для розуміння стану ІТ-інфраструктури ми виявили її слабкі місця і загрози, звернули на них увагу ІТ-департаменту та служби безпеки замовника. Після затвердження плану ми приступили до його спільної реалізації.

Затвердження подібної концепції забезпечення ІБ не означає, що компанії доведеться одразу інвестувати десятки мільйонів на захист. Для початку завжди можна оптимізувати обладнання та софт, які вже працюють. А вже після цього можна доповнювати інфраструктуру більш інтелектуальними рішеннями, які дозволяють розв’язати конкретні завдання.

Як резюме, можна сказати, що керівникам всіх наших клієнтів ми пояснюємо, що зараз інформаційна безпека – це можливість уникнути багатомільйонних втрат і ризиків для роботи їхніх компаній. Тішить, що багато хто з них вже поділяє цю точку зору і готовий інвестувати в кіберзахист.

Більше новин та актуальних матеріалів Investory News у нашому каналі в Telegram

Контекст

Ми у соцмережах

Слідкуйте за нами у Facebook або ж читайте усе найцікавіше у нашому каналі в Telegram