Какие последствия для бизнеса несут киберриски и как их можно минимизировать? Взгляд страховщика

Человеческий фактор — самый непредсказуемый и неконтролируемый. Именно люди создают любое ПО, технологии. Те, кто их взламывает, мыслят нестандартно, находят уязвимости и лазейки для того, чтобы либо поломать системы, либо вытащить данные, либо запустить какой-нибудь процесс или действие.

Предусмотреть все сценарии просто невозможно, но ответить на некоторые вопросы можно:

  • Кто виноват во взломе системы?
  • В чем особенности киберпреступлений в сравнении с обычными?
  • Какие цели преследуют киберпреступники?
  • Какие последствия для бизнеса несут киберугрозы?
  • Что можно им противопоставить?

Кто чаще всего виноват во взломе системы?

Возьмем недавний кейс, который коснулся арбитражного суда. Злоумышленники, узнав каким-то образом логин и пароли одного из бывших сотрудников, через удаленный доступ входили в систему управления судопроизводством и вносили изменения в акты и решения. Судебный приказ позволяет в безакцептном порядке списать денежные средства с компании без передачи в службу судебных приставов. Это и было целью злоумышленников. Сами судьи заметили, что в системе происходит что-то нетипичное, но мошенничество могло остаться необнаруженным, если бы не внимательность одних и оплошность, жадность других. Фиктивные решения обнаружили сами судьи, по обращению которых было возбуждено уголовное дело об особо крупном мошенничестве.

Люди, конечно, самое слабое звено, но причиной сбоя может стать совокупность факторов — к человеческому добавляется недостаточно продуманная система и несовершенная технология (новая или, наоборот, слишком старая).

В декабре 2017 года возник перерыв в деятельности большого количества ритейлеров, потому что перестали работать виртуальные кассы. Новые технологии должны были разгрузить систему, внедрив автоматическую отправку информации по всем операциям в налоговое ведомство, но они еще не были отработаны и в результате остановили работу ритейла. Расследование еще продолжается, но судя по первым данным, причиной сбоя стало ручное отключение автоматического обновления на некоторых кассах. Те кассовые аппараты, на которых программное обеспечение обновилось, продолжили свою работу.

В одной и той же сети одна часть магазинов принимала платежи, а другая не могла этого делать.

Обновления в ручном режиме часто работают лучше, так как позволяют следить, чтобы они друг другу не противоречили. Вопрос настолько серьезный, что предусмотрено страховое покрытие потери производительности из-за неудачных обновлений. Во многих компаниях есть глобальные системы, которые в принципе не подлежат обновлению.

В компании AIG у всех сотрудников есть корпоративные IPhone, и, когда выходит новое обновление, мы должны подождать, пока наш отдел IT-безопасности все протестирует и даст команду всем сразу обновиться. В каждой ситуации есть нюансы, заранее сложно сказать, как поступать правильно. В случае с ритейлом мы не знаем до конца, положительную или отрицательную роль для системы сыграло обновление. Это как в авиации: зачастую сложно сказать, кто виноват — пилот или техника.

В чем особенности киберпреступлений в сравнении с обычными?

IT позволяют сделать киберпреступления масштабными. Yahoo в 2013–2014 годах стала жертвой кибератаки, когда были скомпрометированы миллиарды учетных записей. Несмотря на то, что это IT-компания, она до конца не может разобраться, что произошло. Технологии развиваются, и злоумышленники тоже идут вперед.

Американская компания Yahoo заявила, что в 2013 году хакеры взломали 3 млрд аккаунтов пользователей. По словам юристов, новое раскрытие информации может увеличить количество исков от акционеров и пользователей. Всего было подано 41 исковое заявление к компании после массивной кибератаки. В 2013 году хакеры получили данные пользователей поисковой системы, в том числе электронные почты, пароли и даты рождения. Факт атаки Yahoo признала в декабре 2016 года.

Когда в реальном мире у банка или у человека крадут деньги, то убыток виден сразу. Когда киберпреступники воруют деньги, то часто они воруют понемногу, с разных счетов. Их сети раскинуты по всему миру, убытки и ущерб каждого пострадавшего могут быть не очень велики, но на выходе хакеры получают огромные преступные доходы. Часто преступники совершают действия, которые напрямую никакого ущерба не наносят: они внедряются в систему и выжидают. Сложно отследить причинно-следственную связь между их действиями и последующими убытками.

Какие цели преследуют киберпреступники?

Иногда злоумышленники просто внедряются в систему и наблюдают, но в основном их цель — хищение средств. В последний год активизировались кибермошенники в отношении финансовых институтов: их привлекают большие средства, большое количество транзакций и последовательностей в действиях, в которые можно внедриться. Специалисты по безопасности подозревают, что преступная группировка, которая осуществляла недавние хищения из банков, на самом деле давно внедрилась в системы многих организаций и выжидает удобный момент для масштабного хищения. Они тестируют свою гипотезу на маленьких транзакциях, проверяют, сработает или нет, мониторят систему, чтобы найти уязвимости.

От кибервымогательства пострадал один из крупнейших цифровых банков. Злоумышленник, его бывший сотрудник, нашел уязвимость в системе, сообщил об этом в банк и поставил условие о выплате определенной суммы. Это тоже поиск выгоды, просто другим способом. Нельзя исключать и политические цели. Кибертерроризм вызывает нарушения в работе систем всей страны, что произошло, например, в Эстонии в 2007 году.

В конце апреля – начале мая 2007 г. сайты государственных организаций Эстонии подверглись кибератаке, что стало причиной международного скандала. Был блокирован доступ на сайты президента Эстонии, парламента страны и эстонского МИД. Наблюдатели связали атаки с решением властей страны начать работы по эксгумации и идентификации останков советских воинов, захороненных у монумента Воину-освободителю. Представители правительства Эстонии обвинили в их организации Россию и российские спецслужбы. Однако, по словам экспертов, хакерские атаки были глобальными и не исходили из одной страны.

Бывший сотрудник банка «Яхав» взломал базу личных данных клиентов и угрожал руководству банка ее опубликовать. За молчание он просил ни много, ни мало – миллион шекелей в криптовалюте. Но маскировался непрофессионально: управление кибербезопасности полиции его вычислило.

Часто целью киберпреступлений становится поиск информации: промышленный, электронный шпионаж. Ищут персональную информацию (о сотрудниках, о клиентской базе), компрометирующие данные. Не всегда злоумышленники наносят ущерб системам, они могут просто внедриться, наблюдать, собирать необходимую информацию и оставлять себе лазейки, чтобы навредить, если появится заказчик.

С развитием IoT появляется угроза как нанесения ущерба самому средству, подключенному к сети, так и реального терроризма, когда преступники получают управление механизмами. Современный автомобиль, например, напичкан многими системами, которые обновляются через wi-fi, что позволяет их взламывать и внедряться
в систему.

Кража персональных данных в одних случаях позволяет притвориться этим человеком, в других дает возможности шантажа. Можно под вымышленным именем взять кредит, совершить покупку, акт политического терроризма и т.д.

Очень громкий скандал в США был связан с веб-сайтом, предлагавшим людям, которые состоят в браке, найти альтернативного партнера. Сайт очень успешно развивался, готовился к IPO, но произошла утечка данных пользователей, что нанесло им огромный вред — некоторые пары развелись, были даже случаи суицида.

Еще один интересный кейс связан с Uber. Во Франции мужчина регулярно пользовался этой компанией, чтобы ездить к любовнице. Техническая недоработка позволила его супруге получить отчет об этих поездках.

Взлом сайта супружеских измен AshleyMadison привел к утечке данных 37 млн пользователей и серьезно напугал владельцев других сайтов знакомств и порносайтов. Они опасаются, что люди в интернете потеряют возможность свободно выражать свои сексуальные желания. О взломе AshleyMadison, канадского сайта знакомств для людей, состоящих в браке или постоянных отношениях, стало известно 18 августа 2015 года. Группа хакеров The Impact Team, ранее угрожавшая опубликовать похищенные в результате атаки данные пользователей, выложила в даркнете архив размером около 10 Гб с информацией о 37 млн клиентов ресурса. Около 15 тыс. аккаунтов оказались зарегистрированы с адресов электронной почты государственных доменов. Часть из них принадлежит правительственным чиновникам США, госслужащим Великобритании и сотрудникам европейских и североамериканских корпораций.

Французский бизнесмен подал в суд на компанию Uber после того, как его жена обнаружила, что он регулярно пользуется приложением по вызову такси, чтобы ездить к любовнице. Некоторое время мужчина, имя которого не называется, регулярно посещал подругу, жившую в том же городе на юге Франции, не сталкиваясь ни с какими проблемами. Все продолжалось до тех пор, пока мужчина не вызвал Uber с телефона жены. Он открыл приложение под своим аккаунтом, а после вышел из него, однако из-за бага на телефон жены продолжили приходить уведомления о поездках мужа.

Какие последствия для бизнеса несут киберугрозы? Что можно им противопоставить?

Если компания потеряла информацию, репутационный риск может быть фатальным — клиенты не будут доверять ей свои персональные данные. Проблема в том, что невозможно знать заранее, с какой стороны будут предъявляться претензии. Одно дело, если утечка нанесла репутационный ущерб, и другое дело, если ими воспользовались
в корыстных целях. Репутационному риску подвержены все организации, которые собирают персональные данные.

Перерыв в деятельности — еще одно серьезное последствие кибермошенничества. Аналитики утверждают, что в 2018 году внимание кибермошенников будет сконцентрировано на криптовалютах. Уже известны кейсы, связанные с кражей криптовалюты и приостановкой деятельности криптовалютных бирж.

В январе 2018 года крупнейшая в мире криптовалютная биржа Binance на сутки приостановила свою деятельность — тысячи пользователей не могли зайти в свои аккаунты и проводить торговые операции. По словам официальных представителей компании, сбой произошел не в результате хакерской атаки, а по причине затянувшегося обновления системы. В последнее время биржа испытывает сильные перегрузки из-за значительного увеличения количества пользователей и торговой активности. Несмотря на долгий простой в работе, все технические проблемы были решены, а клиентские данные сохранены.

В конце января 2018 года крупнейшая в Азии криптобиржа Coincheck подверглась хакерскому взлому — в результате атаки было похищено $534 миллиона в криптовалюте, пострадало около 260 тыс. клиентов. Украденные средства хранились на «горячих» кошельках — электронных хранилищах, имеющих постоянное подключение к интернету, средства с которых можно списать в любой момент. Такие кошельки считаются более уязвимыми по сравнению с «холодными», которые не имеют подключения к сети и безопасны в режиме оффлайн. Ранее крупнейший случай кражи криптовалют был зарегистрирован в 2014 году, когда с криптобиржи Mt.Gox украли около $400 млн.

По мере проникновения IoT и автоматизации производства, появляются риски техногенной катастрофы, когда злоумышленник проникает в систему управления заводом, электростанцией. Невозможно проникнуть извне в операционную систему завода, но можно заразить домашний компьютер кого-нибудь из сотрудников и через флешку — всю систему.

Датский логистический гигант Moller-Maersk оценил ущерб от вируса-шифровальщика NotPetya — недополученная выручка от кибератаки обошлась компании в сумму от $200 млн до $300 млн, говорится в квартальном отчете Moller-Maersk. Эпидемия компьютерного вируса-шифровальщика NotPetya началась 27 июня. В основном он поразил работу российских и украинских компаний. Вирус предупреждает пользователей, что все их файлы зашифрованы, а попытки самостоятельного восстановления бесполезны. Вирус требует перевести $300 в криптовалюте биткоин в обмен на разблокировку доступа. Но большой выручкой вирус похвастаться не может: судя по его биткоин-кошельку, он собрал выкуп лишь на $18 тыс.

Очень серьезный риск, который многие недооценивают, — регуляторный, когда в связи с киберинцедентом компания перестает соответствовать требованиям законодательства.

Последствия атаки всегда серьезно нарушают работу бизнеса и требуют больших средств на ее восстановление, на снятие угроз уязвимости и последствий перерыва
в операционной деятельности или физической остановки производства, на восстановление репутации. Все это меняет систему риск-менеджмента. Киберриск требует глубокой проработки, понимания его природы. Нужно постоянно анализировать, такие элементы экосистемы и бизнесы компании могут быть подвержены этому риску.

За последний год во многих организациях вырос запрос на членов совета директоров, у которых есть IT-компетенции. Специалисты по безопасности и IT-специалисты работают совместно, часто подчиняются одному руководителю. Компании ведут постоянный операционный мониторинг своих систем и систем партнеров по экосистеме бизнеса.

Источник: Sberknowledge