Цифровая трансформация для директоров и собственников. Часть 3. Кибербезопасность. Часть 3. Кибербезопасность
угрожают не только прямые финансовые и юридические риски, связанные со штрафными санкциями от поставщиков и государства и с уголовной ответственностью, но и репутационный ущерб. А если вы вышли на биржу, то это еще и риски падения капитализации.
Наиболее яркий пример этого – атака на компанию SolarWinds. Их клиентами были правительственные учреждения США и более 400 крупнейших американских компаний. Хакеры внедрили вирус в их решение и атаковали их клиентов. Результат – падение стоимости акций на 40% за несколько недель.
Если же посмотреть на абсолютные числа, то с начала 2017 по конец 2022 года количество зафиксированных атак увеличилось с 985 до 2921, то есть рост составил 196,5%. Тут, конечно, надо учитывать и то, что научились лучше выявлять атаки, но, забегая вперед, скажу, что даже сейчас в 70% исследованных компаний выявлены вирусы, о которых и не знали. При этом количество целевых атак увеличилось с 43% в 2017 году, до 67% в 2022. И несмотря на то, что в 2021 году целевых атак было 73%, вероятность целевой атаки высока. Ведь 2022 год – год войны в киберпространстве, настоящая и широкомасштабная.
Теперь про деньги. Средняя стоимость выкупа, которую компании платят хакерам, также растет. Если раньше ограничивались условными 1—2 тысячами долларов, то сейчас это 4,35 млн. То же самое касается и максимальной выплаты. В 2017 году она составляла 1 млн долларов, в 2022 – уже более 40 млн.
Прогнозы тоже пессимистичны. Так Cybersecurity Ventures ожидает, что глобальные издержки от информационных атак будут расти на 15% и к 2025 году достигнут по всему миру 10,5 трлн долларов США в год, при 6 трлн в 2021 году и 3 трлн в 2015.
Также приведу график от PT того, как изменяются атаки, на кого нападали чаще, и кто сейчас стал пользоваться спросом у хакеров.
Атаки на компании от общего числа
Тут я рекомендую обратить внимание на финансовые компании – они все менее интересны, поскольку становятся все более сложными для атак. В целом же рынок «гражданского» хакерства все больше подчиняется законам бизнеса: злоумышленники ищут, как снизить стоимость каждой атаки и увеличить ее доходность. То есть хакеры ищут маржинальность. Но это касается только тех хакеров, которые не занимаются политическими заказами или целенаправленными атаками, например, от конкурентов. В итоге, с учетом того, что идет рост в сторону от массовых атак к таргетированным, уповать на одну экономическую целесообразность атаки не стоит. Если вас закажут, то вы будете атакованы. Особенно если вы – российская компания. А если вы – первое лицо, то именно вы под прицелом в первую очередь.
Глава 2. Про ответственность
Сейчас ответственность за информационную безопасность несет руководитель организации, что отражено в указе президента Российской Федерации В. В. Путина от 01.05.2022 №250. Под его действие попадают федеральные органы исполнительной власти (федеральные министерства, службы