"В IT-безопасность необходимо вкладывать 10% от оборота компании", — Артур Филатов, Tet
По данным McAfee и Центра стратегических и международных исследований (CSIS), в 2020 году мировая экономика потеряла более триллиона долларов из-за хакерских атак — на 50% больше, чем два года назад. Также участились случаи использования так называемых программ-"вымогателей", с помощью которых хакеры блокируют доступ к данным на компьютерах жертв и позволяют возобновить работу только после выкупа.
Ущерб, нанесенный хакерами в этом году, еще не подсчитали, но даже по самым приблизительным оценкам количество кибератак возрасло, а с ними увеличились расходы бизнеса на ликвидацию последствий.
Подписывайся на самые важные новости в Telegram
Корреспондент free-ipad.ru поговорила с руководителем бизнеса кибербезопасности латвийской компании Tet Артуром Филатовым о том, как защитить бизнес от атак хакеров, сколько это стоит и почему правоохранительным органам в Украине расследовать мошеннические действия киберпреступников сложно.
Артур, давайте простыми словами объясним читателю, что такое кибератака? Какие последствия могут быть?
- Кибератаку я бы сравнил с любой другой атакой, например, террористической или бандитским нападением. И первое, и втрое, и третье — спланированные действия на вас, вашу собственность или бизнес. Но цель и масштабы могут быть разными. Например, чтобы создать хаос в компании, затруднить работу бизнеса, выкрасть данные ради выкупа или перепродажи.
Механизмы кибератак в разных странах между собой не отличаются, но происходят по разным причинам. Например, если причина геополитическая, в сети поднимаются острые вопросы для обсуждения в адрес другой страны. Если цель — человек, в сети активизируется обсуждение острых вопросов, которые могут навредить ему или его окружению. А в отношении бизнеса кибератаки происходят, конечно же, с целью наживы.
Читайте также: СБУ отразила за месяц 65 кибератак на органы государственной власти
Киберпреступность корректно называть системным теневым бизнесом?
- Если 20 лет назад на киберпреступников смотрели как на "спасителей", которые публиковали документы NASA или какие-то секретные файлы, благодаря которым общественность могла узнать скрытую информацию, то сейчас все изменилось. Киберпреступники стали кибербизнесменами и их основная цель — зарабатывание денег. Еще их называют черными хакерами.
Зарабатывание денег тоже делится на несколько уровней. Хакеры могут совершать несколько циклов атак: внедрять коды в инфраструктуру, зашифровывать данные. Дальше преступник решает — похищать данные или требовать деньги за их расшифровку. Но цель у него одна — заработок.
Такие хакеры не атакуют, например, больницы, государственные структуры, спецслужбы и прочие структуры, где существует значительный риск разоблачения. Ведь у государства, как правило, есть ресурсы, чтобы найти злоумышленников. Плюс государство не будет платить деньги киберпреступникам. Например, власти США никогда не будут вести переговоры с террористами, а ставят задачу найти их и привлечь к ответственности.
Также есть киберпреступники, которые пытаются получить коды доступа через смартфоны или фишинговые сайты. И есть хакеры, которые создают фейковые сайты той или иной компании и общаются от ее имени, чтобы заполучить от доверчивых потенциальных клиентов предоплату. Допустим, привлекают внимание при помощи несуществующих скидок или подарков. Еще один вариант этой схемы — под видом сотрудников банка выманить данные банковской карты.
Еще есть так называемые белые хакеры, которые занимаются поиском вероятности утечки данных. К ним обращается сам бизнес, чтобы выявить в компании уязвимые места и заранее себя обезопасить.
Какие отрасли больше всего страдают от кибератак?
- Преступники сейчас фокусируются на бизнесе с большими оборотами — ритейл и тяжелая промышленность. Их выбирают потому, что поскольку они активнее всего внедряют диджитализацию и, следовательно, становятся доступнее — и для клиентов, и для атак.
В основном хакеры охотятся за данными о новых проектах, стройках, новых разработках — чтобы узнать коммерческие тайны, которые можно зашифровать или продать конкурирующим компаниям. Также в поле их зрения данные о закупках, складах, запланированных акциях, стоимости товаров и информация о том, откуда они поступают. Потеряв доступ ко всей этой информации, бизнес теряет большие деньги, поэтому готов платить выкуп за возобновление доступа к ней.
Читайте также: Украинские агропредприятия атакуют хакеры — СНБО
Можете привести пример, в каких случаях кибератаки заказывают конкурирующие компании?
- Был случай с туристическим агентством. В туристический сезон крупные туроператоры соревнуются между собой в том, кто сформирует и предложит клиенту лучший туристический пакет. Один оператор посчитал, в какую сумму ему обойдутся спецакции, маркетинг, трансфер и налаживание контактов в других странах, чтобы создать интересный маршрут для туристов. Также он посчитал, сколько нужно потратить на DDoS-атаку (нападение на компьютерную систему с целью сделать компьютерные ресурсы недоступными пользователям — free-ipad.ru) на агентство конкурента. В итоге, по деньгам выгодней оказалась DDoS-атака.
Поэтому турагентство заплатило киберпреступникам и они месяц атаковали сайт конкурента, который в пиковое для туризма время года "лежал" или плохо работал. Соответственно, компания не смогла ничего продать, а ее потенциальные клиенты ушли к турагенту — заказчику DDoS-атаки, на сайте которого услугу в это время можно было купить без проблем.
Были ли случаи в Латвии, Украине или другой стране, когда из-за кибератак бизнесу пришлось закрыться? Расскажите о них.
- В 2011 году в Латвии был случай, когда у одного из ритейлеров из-за кибератак практически рухнули продажи. После у компании полностью сменилось руководство, но восстановить работу бизнеса удалось только через 4-5 месяцев. И ее убыток за этот период составил 20-30% от прогнозируемой прибыли.
Если говорить об Украине, то у Tet есть клиенты, которые на зашифровку данных жалуются ежегодно. Из-за этого даже приходится на пару месяцев выходить из бизнеса. Однако закрывают его они не полностью, а лишь некоторые отделы компании.
Самое интересное, что это представители крупного и среднего бизнеса, которые знают о своих уязвимых местах, но заранее ничего не делают по нескольким причинам. Во-первых потому, что устранить ошибку будет стоить, условно, 100 тысяч гривен, а при атаке они могут потерять 50 тысяч. Поэтому компания готова нести финансовые потери, чтобы не заморачиваться наперед. Во-вторых, в Украине еще не развита культура защиты данных, поэтому даже крупные компании не привыкли к этому.
Если смотреть по миру, мы видим, что большим компаниям сложней реагировать на атаки, чем маленьким, так как у первых выстроено намного больше сложных процессов. Но кибербезопасность в любой компании должна быть в приоритете.
Руководитель бизнеса кибербезопастности компании Тет Артур Филатов. Фото: пресс-служба Тет
Вы уже изучили рынок Украины и его проблемы в плане кибербезопасности. Можете оценить уровень кибербезопасности у нас? С какими проблемами в этом плане чаще всего сталкивается украинский бизнес?
- Я считаю, что украинский бизнес защищен очень слабо. Общаясь с крупными компаниями, ритейлерами, производителями мы видим, что у тех, кто смог нанять себе хороших IT-специалистов, все более-менее хорошо. Но это заслуга людей, которые смогли донести до собственников, что защита данных не просто должна быть, а должна быть на высоком уровне. И которые отвечают за кибербезопасность таких компаний.
Компании, руководство которых не торопится инвестировать в IT, а больше думает о вложениях в другие направления, уязвимы. В IT-защиту нужно вкладывать любой компании, но это всегда часть затрат, которые в итоге не принесут прямых денег. Руководство часто смотрит на них как на минус, а не плюс. Украинские компании не проводят ежегодную оценку рисков, не проверяют уровень безопасности, не создают ее стратегию. Был случай, когда у крупной украинской компании, работающей в сфере химической промышленности, мы запросили стратегию кибербезопасности, но они сказали, что у них ее попросту нет.
В общем, создается впечатление, что украинским компаниям киберзащита не нужна. В других европейских странах мы видим совершенно иную тенденцию.
Ориентировочно, в какую сумму компании может обойтись ее кибербезопасность?
- В идеале на IT-безопасность нужно выделять бюджет до 10% оборота компании. Сегодня в среднем в странах Европы выделяют 3%, а в США — до 5%, но эта цифра постоянно растет.
Читайте также: Сделка на $500 млн: Microsoft покупает разработчика систем кибербезопасности RiskIQ
Что нужно учитывать и делать бизнесу, чтобы защитить свои данные? Существует ли инструкция?
- Универсальной инструкции нет, ведь киберзащита каждого бизнеса очень индивидуальна. Но однозначно всем нужно проводить оценку IT-безопасности и того, насколько существующая IT-стратегия соответствует этой компании. И делать это важно во всей компании, а не только в центральном офисе. Сравнить это можно с походом к врачу, который проведет комплексное медицинское обследование, а не сделает, допустим, только УЗИ одного органа.
Второе — это образовательная работа с сотрудниками. Важно повышать уровень знаний о кибербезопасности даже у работников складов. Например, проводить тренировки, тимбилдинги, обучать людей, чтобы они умели распознавать необычные и потенциально вредоносные действия на сайте, при звонках и имейлах.
Если, к примеру, на складе работает пожилой сотрудник, который не умеет полноценно пользоваться компьютерной техникой, как до него донести важность кибербезопасности?
- Однозначно — не увольнять. А составить понятную технологическую карту и обучать на постоянной основе. Тестовые задания в этом случае не особо эффективны, ведь сотрудники могут автоматически ставить галочки, не вчитываясь в вопросы. Поэтому обучать нужно в формате тимбилдинга с участием руководства компании - чтобы показать важность такого обучения и знаний о кибербезопасности.
А если, к примеру, речь идет об обучении персонала из IT-департамента, можно подключать тренировки между собой — проводить имитацию атак, чтобы сотрудники учились их распознавать и правильно реагировать. Если "всплывают" слабые места, тренировки продолжаем. Или подключаем компанию, которая на аутсорсе исключит все уязвимости.
И последняя из рекомендаций — всегда держать руку на пульсе. Компании стоит усилить охранный отдел, установить камеры, чтобы любую смену обстановки можно было заметить. И предотвратить, таким образом, утечку данных. Действия сотрудников важно мониторить — чтобы была возможность оценить ситуацию и принять упреждающие решения до того, как что-то случится.
Что в плане кибербезопасности может сделать МСБ, который не располагает финасовыми ресурсами для найма отдельной компании или даже просто соответствующего IT — специалиста?
- Малому бизнесу, конечно же, в этом плане сложнее. Но пока он маленький, риски невелики. При этом стоит учитывать, что малый бизнес может когда-то стать большим, но без IT-решений из-за кибератак вырасти в нынешних реалиях будет сложно. Поэтому служба безопасности должна расти вместе с компанией.
Если посмотреть на рейтинг Fortune 500 (рейтинг 500 крупнейших корпораций во всем мире по размеру дохода — прим. free-ipad.ru) и сравнить 2020 год с 2021-м, видим, что в лидерах сегодня технологические компании, такие как Microsoft, Google, а не производители, такие как Coca-Cola. Первые стали лидерами из-за технологических решений и высочайшего уровня безопасности в компании. К такому нужно стремиться любому бизнесу и в каждой стране.
В Украине достаточное количество специалистов и ресурсов для того, чтобы бизнес нанимал таких людей в штат на зарплату. Также эту услугу можно отдать на аутсорс — количество компаний, которые могут полностью взять на себя вопросы кибербезопасности, растет с каждым днем. К примеру, если в этом году емкость глобального рынка этих услуг оценивается в $2 млрд, то к 2025-му году он по прогнозам увеличится до $8 млрд. Также существуют компании, которые проводят мониторинг IT — инфраструктуры. Емкость этого рынка в мире оценивается сегодня в $400-700 млн, при том, что через год-два он может вырасти до $1,5 млн.
Почему, на Ваш взгляд, растет количество DDoS-атак в Украине?
- Растет потому, что люди и компании готовы платить и платят за эту услугу. Однажды тот, кто решил организовать кибератаку на другую компанию, заплатил преступникам. Потом другие компании поняли, что так можно, нашли исполнителей и заплатили им, чтобы нанести ущерб конкурентам. Кроме того, рынок растят сами преступники, когда осуществляют атаки с целью заработать.
Читайте также: Кибератака на крупнейшего в мире производителя мяса: JBS заплатил хакерам $11 млн выкупа
Кибератаки — проблема не только бизнеса, но и государства. Почему, на Ваш взгляд, в Украине сложно раскрывать такие преступления? Кто должен этим заниматься и какие скилы должны быть у этих людей?
- Киберполиции сложно раскрывать такие дела, поскольку к тому моменту, когда они приступают к расследованию, становится уже слишком поздно. Киберпреступники могут вывезти сервера или даже уничтожить их — хакеры знают, как замести следы. На подобные преступления должна быть мгновенная реакция, а наши следователи не обучены и не подкованы расследовать их с такого ракурса.
В идеале, киберполиция должна состоять на 60% из IT — специалистов и на 40% из специалистов с юридическим образованием. Киберполицейский должен понимать, как думает и какие шаги совершает хакер, как работает черный рынок данных и как выйти на след преступника.
По такому пути идет, например, Скотленд-Ярд, в котором есть целый департамент, занимающийся киберпреступлениями. Там работают люди, которые фокусируются только на расследовании преступлений кибермошенников. В Украине таких специалистов пока нет, поэтому часть преступлений остается нераскрытой.
Беседовала Наталья Лошакова, специально для free-ipad.ru