/ IT

Моя IT-оборона

Почему растет ущерб от кибератак и как с этим бороться?

Один из главных трендов в сегменте кибербезопасности сегодня – рост числа успешных атак на IT-системы и увеличение масштабов ущерба от таких инцидентов. Роль человеческого фактора в этой динамике усиливается. Об основных принципах выстраивания IT-защиты RSpectr рассказал менеджер по информационной безопасности (ИБ) Accenture Russia Андрей Тимошенко.


ЯЗЫКОМ СТАТИСТИКИ

В прошлом году зафиксировано 145 масштабных инцидентов информационной безопасности, повлекших значительный ущерб или скомпрометировавших IT-системы частных и государственных компаний. В 2017 году таких случаев было 130. Общая стоимость последствий для пострадавших выросла за этот период на 12% – с 11,7 млн до 13 млн долларов. Если оценивать динамику за последние пять лет, то число успешных кибератак увеличилось на 65, а ущерб – на 72 процента.

Дороже всего нападения хакеров обходятся банковскому сектору и сфере ЖКХ (ущерб увеличился на 11 и 16%). Существенный рост также отмечен в разработке софта, автомобилестроении и страховании. Киберпроблемы туристического сектора выросли почти в два раза. Единственной сферой экономики, где зафиксирован спад активности хакеров, стало здравоохранение – сокращение на 8 процентов.

Среди лидеров по странам по росту количества кибератак в год и объему ущерба (за все время):

  • США – 29% и 27,4 млн долларов;
  • Великобритания – 31% и 11,5 млн долларов;
  • Япония – 30% и 13,6 млн долларов.

Анализ около 1 тыс. успешных кибератак показал, что

вредоносное ПО (malware) остается самым распространенным способом нападения, а также самым дорогим в плане преодоления последствий

Серьезный рост продемонстрировали ИБ-инциденты, организованные с помощью социальной инженерии и программ-шифрователей (ransomware). Их стало больше на 15% за год.

В целом с разными видами фишинга и социальной инженерии сталкивались 85% всех компаний и организаций в мире. Общие риски в области ИБ в следующие пять лет для глобальной экономики можно оценить примерно на уровне $5,2 трлн потенциального ущерба.


ЦЕПОЧКИ ПОСТАВОК

Во многом такой высокий уровень потенциального ущерба объясняется сближением бизнес-процессов участников производственных цепочек современных товаров и услуг. Это приводит к тому, что нарушение целостности ИБ-периметра у одной компании автоматически ставит под удар всех остальных.

Атаки на цепочки поставок могут стать причиной роста потенциального ущерба как минимум на 23% в следующие пять лет. Особенно велики такие риски для сферы высоких технологий. В этой сфере уровень потенциального ущерба оценивается в 753 млрд долларов. Сегмент Life Sciences («науки о жизни», к ним относятся многочисленные области медицины, фармации, биотехнологий, генетики и т. д.) может потерять 642 млрд, а автомобилестроение – 505 миллиардов.

Для средней компании стоимость рисков можно оценить в 2,8% от годовой выручки. Для крупнейших мировых игроков в своих сферах в перспективе пяти лет убытки могут быть гораздо выше. Например,

для компании рейтинга Global 2000 со средней годовой выручкой в $20 млрд «оплата» таких рисков будет составлять $580 млн в год

Это слишком дорого даже для мировых гигантов.


ПРОФЕССИОНАЛЬНЫЙ ПОДХОД К IT-ВЗЛОМУ

Следует признать, что в последние годы сформировалась полноценная индустрия цифрового криминала со сравнительно низкими затратами и высокой премией за риск. Появились настоящие профессиональные киберпреступники.

Если раньше компьютерные атаки можно было сравнить с хаотичными набегами индейцев на фермы Дикого Запада, то сейчас эта деятельность все больше напоминает работу профессиональных грабителей: с поминутным планом, совершенным инструментарием и четким пониманием – что, сколько, как и откуда нужно похитить.

С учетом повышения уровня технической защищенности IT-систем вектор атак стал смещаться в сторону социальной инженерии. Это связано с наличием большого объема цифровых следов персонала компаний в информационном пространстве. Услуги по сбору таких «отпечатков» в интернете и в мобильной среде развиваются быстрыми темпами, что способствует адаптированному подходу в социальной инженерии.

Эксплуатация человека как уязвимости ИБ-системы популярна еще и потому, что это эффективно и недорого. Рассылка десятков фишинговых писем существенно дешевле и быстрее, чем прощупывание периметра и внешних сервисов компании. Отсюда вывод – проблема должна решаться комплексно. Необходимы:

  • обучение, тренировка и тестирование сотрудников;
  • ужесточение законодательства;
  • совершенствование существующих технологий защиты.

Нужно понимать, что универсальная технология, которая сможет решить эту проблему, скорее всего, не появится.


ВЗВЕШЕННЫЙ ПОДХОД И РЕТРОТЕХНОЛОГИИ

Еще одна причина роста ущерба от атак в сфере ИБ сегодня – это использование cloud-технологий. Существенная часть бизнес-сообщества и госсектор активно переводят свои IT-ресурсы в облачные сервисы и на арендные модели поддержания инфраструктуры. Массовое появление на рынке провайдеров, которые на волне возросшего спроса не уделяют должного внимания вопросам безопасности, также сказывается на возрастающем ущербе в случае успешных реализаций атак.

Сам по себе рост потенциальных уязвимостей из-за проникновения «цифры» в компанию не является проблемой. Для этого требуется всего лишь задумываться о безопасности на этапе формирования IT-системы и проектирования систем автоматизации в рамках digital-трансформации бизнеса. Стоит изучать пользовательский опыт и работать «проактивно», а не «реактивно», как зачастую, к сожалению, происходит.

В данный момент многие ИБ-специалисты применяют шаблонные решения: ставят межсетевой экран, антивирус, сканируют уязвимости, раз в полгода обновляют подписи работников в журнале ознакомления с политикой безопасности – и на этом все, и так сойдет. Но сходить с рук такая беззаботность будет недолго.

При проработке стратегии компании в области ИБ нужно четко понимать: что, как и зачем мы защищаем, кто нам противостоит, какова «поверхность» атаки, какие у компании ограничения и преимущества. Только принимая во внимание все эти аспекты, можно выстроить относительно надежную ИБ-оборону.
При оценке средств и ресурсов для обеспечения должного уровня информационной безопасности следует взвешивать репутационные издержки, регуляторные риски и другие последствия успешной атаки.

Сейчас наблюдается новый тренд – некоторые компании решаются на «децифровизацию». К примеру,

в США есть случаи возврата к защите электросетей при помощи «ретротехнологий», требующих физического доступа к оборудованию

Это можно воспринимать как шаг назад, но если это помогает достичь необходимого уровня безопасности, то такую предусмотрительность можно только приветствовать.

Тем не менее можно сохранять текущие темпы цифровизации, применяя необходимые меры. И один из главных постулатов информационной безопасности – средства, затраченные на обеспечение ИБ, не должны превышать стоимость активов, которые защищаются.


6 ШАГОВ К ИБ-ЭФФЕКТИВНОСТИ

  1. Вовлечение экспертов ИБ на всех этапах проектирования и производства продукта.
  2. Регулярный анализ и мониторинг ИБ-рисков деятельности компании и ее продуктов/сервисов.
  3. Проактивное реагирование на угрозы: привлекать квалифицированных специалистов с самого начала, а не звать на «тушение пожара».
  4. Понимание важности реальных мер безопасности, а не «бумажного» соответствия требованиям ИБ.
  5. Постоянное совершенствование экспертов и технологий ИБ.
  6. Учет требований «бизнес-пользователей» IT-систем при работе и готовность вводить ограничения для них в части ненужного функционала.

Изображение: RSpectr, freepik.com


ЕЩЕ ПО ТЕМЕ:
Какими утечками данных запомнился ушедший 2018 год?
Самые важные инциденты, связанные с разглашением персональной информации