Размеры ущерба национальным экономикам от хакеров потрясают. Непривычно читать новость в серьёзных бизнес-СМИ о кибер-инциденте и не увидеть каких-нибудь цифр. Проценты, рубли или доллары, хотя бы количество жертв - без этого сюжет рискует просто-напросто не выйти.
"Ущерб... Пиши про сто миллионов. Хотя нет, сто как-то маловато. Пятьсот? Нет, много. Пиши триста!" - примерно так порой возникают цифры ущерба в пресс-релизах правоохранительных органов. Есть вариант попроще. Скажем, примерное количество украденных банковских карт умножается на среднее количество денег на средней карте в сферическом вакууме. Попробуем понять, чему можно верить всерьёз, а чему - из вежливости.
Группы риска
В исследовании НАФИ за 2017 год есть данные: "Выяснилось также, что в 2017 году с киберугрозами сталкивалась половина респондентов. В первую очередь — крупный бизнес (62% против 46–47% в малых и средних предприятиях)".
Опыт с WannaCry, в свою очередь, показывает, что массовые атаки, имеющие характер эпидемии, не очень хорошо действуют против больших компаний. Нет, они, конечно же, уязвимы. Вот только платить кибер-вымогателям они не очень хотят. Обычно имеются бэкапы и всё прочее, нужно только время на изоляцию угрозы и восстановление инфраструктуры.
В свою очередь, малый и средний бизнес - вот для них нападение может оказаться катастрофой. Людей меньше, средств на защиту и резервы - меньше, а "подушки безопасности" на время простоя может вообще не быть.
Любой сервер, "торчащий" наружу, в интернет, будет постоянно получать автоматические сканирования, переборы паролей и проверки на уязвимости. Это нормально даже для гудящего из-под стола в квартире сервера сайта-визитки, чего уж говорить о гигантских компаниях с миллионными и миллиардными оборотами. Если считать за атаку это всё, то процент смело поднимается до 100% и остаётся таким навсегда. Разве что отключение от сети поможет.
Сколько вешать в граммах?
Повертев в руках статистику, можно лишь подтвердить известное утверждение, что есть ложь, большая ложь и статистика - при желании из одного набора данных можно получить практически любые результаты.
Компании, в зависимости от ситуации, будут считать хакерской атакой любое сканирование портов, а потом рапортовать отражение тысячи хакерских атак в секунду.
В общем, так или иначе, под угрозой - все. Но что стоит эта угроза? В том же исследовании есть "средняя температура по больнице" - 299,9 тыс. руб. Сумма, с одной стороны, немаленькая. С другой - гораздо большие суммы компания может потерять за год благодаря неэффективному использованию канцпринадлежностей, и никто не обратит на это внимание. Да и вообще, как деньги-то считать?
Финансовая эквилибристика
Скажем, 10% компаний за 2017 год встречались с DDoS-атаками, делающими недоступными их интернет-ресурсы для посетителей. Такая атака может успешно идти десять минут, а может - десять дней. На её отражение может уйти уйма денег и сверхурочных часов сотрудников. А может использоваться давно и на всякий случай подключённая система а-ля Cloudflare. Компания может заниматься b2b-бизнесом, где все крупные движения всё равно идут не через сайт, а может быть крупным онлайн-магазином, где минута простоя - это настоящие убытки, а не какая-то там виртуальная упущенная выгода.
В свою очередь, 20% компаний сталкивались с заражением рабочих компьютеров, в том числе с последующим вымогательством денег. Очень удивляет это "в том числе" - в одну кучу собраны все заражения, включая рекламные вирусы и какие-нибудь майнеры.
Даже если "вымогательство денег" вынести в отдельный пункт, всё равно лучше не станет. Можно смело игнорировать количество биткоинов, выплаченных (или не выплаченных) вымогателям, потому что основной ущерб зависит от того, были ли какие-то важные данные потеряны навсегда, были ли простои в работе у всей компании, было ли поражено "тяжёлое" оборудование, вроде томографов...
Точность - вежливость бизнес-аналитиков
Ещё немного цифр в общий котёл. Из того же опроса НАФИ: Финансовые потери несли 22% из тех, кто сталкивался с кибератаками. В крупных компаниях этот показатель доходил до 39%. Средняя сумма потерь от киберугроз для таких предприятий составила 866,7 тыс. руб., для микропредприятий — 30 тыс. руб..
Конечно, очень приятно оперировать цифрами, ведь эти цифры можно использовать для оправдания затрат на кибер-безопасность. И это можно понять - ведь без цифр бизнесмен вам всё равно не поверит, он не понимает тонкостей всех современных киберугроз, а электронную почту ему распечатывает и приносит прочитать секретарша. Но стоит вам один раз его не убедить - и придётся объяснять, почему вместо хвалебных отзывов о компании в СМИ пишут разгромные статьи о том, как бизнес не умеет защищать себя от кибер-угроз.
Увы! Других цифр у меня для вас нет. И ни у кого нет.
Вместо постскриптума
Из новостей: "Эксперт Трой Мюрш, обнаруживший злонамеренные кампании, изначально сообщал о наличии вредоносного файла на 100 000 доменах, потом Мюрш снизил количество до 80 000 доменов, после чего, в качестве окончательной цифры, специалист назвал 348 сайта, на которых выполнялась нелегальная операция по добыче цифровой валюты".
И поверьте, это не сарказм. Все давно привыкли.
Кирилл Кожевников Автор АйТи Блога
Вам понравилось? Поставьте лайк и подпишитесь на новые статьи!