В настоящее время весь мир постепенно переходит в цифровую среду, это находит свое отражение на всех уровнях коммуникации – от межличностного до межгосударственного. Мы видим, что большая часть предприятий компьютеризированы, что означает, что все операции и важная информация хранятся в компьютерах. Хотя рост подключенного мира впечатляет, его подверженность вредоносным кибератакам также резко возрастает, что ставит под угрозу стабильность нашего общества. Атаки становятся все масштабнее и наносят все больший ущерб. Без доверия к цифровизации люди и промышленные пользователи не смогут принять цифровую трансформацию и полноценно использовать информационные технологии. Поэтому усовершенствование кибербезопасности является одним из важнейших приоритетов развития. Согласно исследованию Positive Technologies количество кибератак в 2021 году увеличилось на 6,5% по сравнению с 2020 годом. Как и в 2020 году, 86% всех атак были направлены на организации. В тройку наиболее часто атакуемых отраслей вошли госучреждения (16%), медучреждения (11%) и промышленные компании (10%). Согласно статистике о взломе инфраструктуры среднего уровня в 2021 году 60% взломов идет через Фишинг. При этом если фишинговая атака не была вовремя обнаружена службами информационной безопасности, то вероятность компрометации инфраструктуры близка к 100%. Основными целями киберпреступников являются: персональные данные (33%), информация, содержащая коммерческую тайну (21%) и учетные данные пользователей (19%). Атаки на объекты критической информационной инфраструктуры (далее КИИ) происходят все чаще. Особенность современных кибератак состоит в их целенаправленности и ориентированности на конкретную сферу хозяйственных отношений или отдельное предприятие. Наибольшей популярностью среди злоумышленников пользуются следующие методы атак: использование вредоносного программного обеспечения, применение методов социальной инженерии и хакинг. В каждой второй атаке на организации были использованы методы социальной инженерии.
В России 1 мая 2022 года выпущен указ Президента Российской Федерации от № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» по которому в каждом российском ведомстве необходимо создать структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение. Кроме того, согласно исследованию PWC 85% потребителей не будут иметь дела с компанией, если они сомневаются в надежности ее системы безопасности. Говорить про киберриски сложно без упоминаний реализовавшихся кибератак, чтобы оценить возможный ущерб компании:
● 2020 год взлом Facebook — самая громкая утечка данных из соцсети
В марте 2020 года британская компания Comparitech сообщила об утечке данных более 267 млн пользователей Facebook. В августе 2020 года эксперты из компании Darknet Data Leakage & Breach Intelligence (DLBI) обнаружили в Сети персональные данные 150 млн пользователей Facebook, Instagram и LinkedIn. После первых утечек Федеральная торговая комиссия США обязала Facebook выплатить рекордные $5 млрд штрафа. Это в 20 раз выше самых крупных санкций, которые применялись за утечки данных. Репутация самой компании на фоне регулярных утечек сильно пошатнулась — как и позиции на фондовой бирже, которые упали примерно на 7%.
● 2017 год атака на одно из крупнейших кредитных бюро США Equifax
В 2017 году атака привела к утечке данных почти 148 млн пользователей, сообщает The Washington Post. Хакеры похитили персональные данные, в числе которых — данные как минимум 209 тысяч банковских карт, а также документы, которые использовались в кредитных спорах. В 2017 году Time писал, что капитализация Equifax упала на $4 млрд. Но точные убытки компании пока неизвестны. В 2018 году USA Today сообщали о 96 судебных исках против Equifax. Все это — судебные издержки и компенсации. Вернуться к значению стоимости акций 2017 года, компания смогла спустя 2 года только к 2019 году.
● 2015 год кибератаки на один из крупнейших операторов связи в Великобритании TalkTalk, в результате которой акции телекоммуникационного провайдера упали на 12%.
● Исторический взлом Yahoo! — $4,8 млрд
В 2013 году произошла масштабная атака на Yahoo! Компания долго замалчивала проблему. Информация вскрылась только в 2016 году, во время подготовки сделки по слиянию с Verizon Communications Inc. Тогда в Yahoo! признали факт взлома 1 млрд аккаунтов. В 2017 выяснилось, что злоумышленники атаковали все 3 млрд аккаунтов Yahoo!, пишет Reuters. Кроме этого взлома, была еще атака 2014 года, тогда пострадало по меньшей мере 500 млн пользователей. В результате Verizon снизила первоначальное предложение на $350 млн. The Wall Street Journal оценила общие убытки Yahoo! в $4,7 млрд. Позже к этой цифре прибавились еще $80 млн компенсации по решению суда и расходы на судебный процесс. Исследование самых масштабных кибератак позволяет сделать следующие выводы:
1. Кибербезопасность не обязательно связана с высокими технологиями или сложными компьютерными науками. Злоумышленники используют “социальную инженерию” – нетехнические методы, чтобы заставить людей переходить по зараженным ссылкам или веб-сайтам или передавать конфиденциальную информацию. В каждой второй атаке на организацию в 2021 году была использована социальная инженерия.
2. Влияние кибератак на стоимость компании очень существенно. Реализовавшаяся кибератака очень сильно влияет на снижение стоимости акций.
3. 85% потребителей не будут иметь дела с компанией, если они сомневаются в надежности ее системы безопасности.
Таким образом, важность управления киберрисками в компаниях возрастает и становится уже сферой ответственности не менеджмента, а членов совета директоров из-за того, что кибератаки могут существенно повлиять на стоимость компании. Защититься от кибератаки на 100% нельзя. Однако создав хорошую защитную среду, можно усложнить кибератаку злоумышленникам и тем самым, они могут атаковать другую компанию, двигаясь по пути наименьшего сопротивления. Существует 3 уровня кибербезопасности:
1. Физическая безопасность – отвечает за физическую безопасность и доступ. Это двери, замки, окна, методы доступа к источникам информации, сотрудники охраны.
2. Человеческая безопасность – отвечает за человеческий фактор. Это уровень бдительности и осведомленности персонала. Это то насколько дисциплинирована охрана. Человеческий фактор является одним из самых уязвимых уровней, ведь именно через человека очень часто утекало и утекает хорошо защищаемая информация зарубежным спецслужбам и именно этому фактору, во многих компаниях уделяется очень мало внимания.
3. Цифровая безопасность — отвечает за целостность и доступность информации от вирусных атак и несанкционированного вмешательства через сеть.
Одно из важных направлений деятельности по поддержанию кибербезопасности в компании — это развитие «цифровой гигиены» как часть корпоративной культуры. «Цифровая гигиена» — это формирование полезных привычек, следуя которым, человек обеспечивает себе информационную безопасность в сети Интернет. «Цифровая гигиена» включает в себя:
● Культуру работы с корпоративными документами: электронная почта, «облачные» хранилища, мессенджеры.
● Культуру работы с паролями и данными организациями.
● Информирование и знание о популярных типах угроз: социальная инженерия, трояны, шифровальщики, фишинг.
Благодаря внедрению «Цифровой гигиены» как части корпоративной культуры, можно уберечь компанию от кибератаки. Однако «Цифровая гигиена» — это не разовое мероприятие, а постоянная работа и выработка привычек. Таким образом, цифровая гигиена сотрудников — одно из ключевых направлений предотвращение угроз в компаниях, которое сможет позволить снизить риски кибератаки, а также, обойдется компании дешевле, чем внедрение программных решений. Важно отметить, что внедрение принципов «Цифровой гигиены» и тщательная забота о кибербезопасности компании находится в зоне ответственности Совета Директоров, поскольку создание кибербезопасной среды напрямую влияет на стоимость компании, а также, касается жизнеспособности не только какого-то конкретного отдела, а всех стейтхолдеров. Кроме того, ответственность за кибератаки и их последствия в большой степени несет именно Совет Директоров, так как именно он устанавливает правила поведения и последовательность действий при реализовавшейся киберугрозе или при успешном отражении кибератаки. В современном цифровом мире, конечно, невозможно установить стопроцентную защиту от всех потенциальных угроз, однако планомерная работа на высоком уровне позволяет уменьшить вероятность кибератак, тем самым защищая активы компании.