Финансист и мультимиллиардер Уоррен Баффет назвал хакеров более серьезной угрозой, чем атомное оружие. А старейший мировой страховой рынок Lloyd’s сравнил потенциальный ущерб от киберпреступлений с потерями от самого разрушительного урагана в истории США «Катрина»: порядка $120 млрд. Сколько же реально денег теряет ваш бизнес прямо сейчас?
Глобальный ущерб от кибератак
$5,2 трлн может потерять бизнес по всему миру в следующие пять лет, если не усилит меры защиты (Accenture).
$200 тыс. — средняя сумма убытков малого и среднего бизнеса от утечек данных в 2019 году.
$3,92 млн теряла в среднем крупная корпорация из-за утечек данных в 2019 году.
Ежегодный отчет IBM называет факторы, увеличивающие потери крупных компаний от утечек данных:
- $370 тыс. — утечка у третьей стороны;
- $350 тыс. — ошибки совместимости;
- $300 тыс. — миграция в облако;
- $240 тыс. — активное внедрение мобильных платформ;
- $180 тыс. — потеря или кража устройств;
- $160 тыс. — использование незащищенных IoT-устройств.
На $1,2 млн возрастает ущерб от утечки, которая остается необнаруженной дольше 200 дней.
Потери от проникновения растягиваются на годы:
- 67% издержек приходится на первый год после атаки;
- 22% — на второй;
- 11% — на последующие годы.
Потери малого бизнеса
43% кибератак нацелены на малый бизнес.
60% небольших компаний закрываются после атаки.
Больше всего малый и средний бизнес страдает от фишинга и веб-атак.
72% респондентов заявили, что пережили минимум одну кибератаку:
- 53% атак использовали фишинг и социальный инжиниринг;
- 50% — веб-атаки;
- 39% — столкнулись с вредоносным ПО.
Непропорционально высоки потери малого и среднего бизнеса в расчете на одного сотрудника:
- $204 на человека теряют за атаку большие компании (больше 25 тыс. сотрудников);
- $3533 на человека — компании от 500 до 1000 человек.
Расходы на защиту
Крупный бизнес из-за роста киберугроз повышает зарплаты технических специалистов, расширяет их штат и тратится на специальные тренинги.
$90 тыс. — средняя зарплата специалиста по кибербезопасности в США.
От 250 до 400 тыс. рублей в месяц хотят получать соискатели на позицию руководителя отдела информационной безопасности в российских компаниях.
2 млн человек — прогнозируемый недостаток квалифицированных кадров к 2022 году.
Средний и малый бизнес не может себе позволить серьезное увеличение штата специалистов и чаще практикует аутсорсинг. Но и здесь расходы растут.
25% компаний, опрошенных AT&T, планируют в наступающем году увеличить бюджет на внештатных специалистов по кибербезопасности.
$10 млрд — прогнозируемый объем рынка тренингов по кибербезопасности к 2027 году.
Экономика «червей»
Вирусы-вымогатели («черви») продолжают масштабное наступление, начатое в 2017 году.
$5 млрд — суммарный ущерб от программ-вымогателей в мире. Количество инцидентов с такими программами увеличилось втрое.
От 4 до 8 млрд долл. составил ущерб от «червя» WannaCry, атаковавшего от 200 до 500 тыс. компьютеров (по разным оценкам) в 150 странах мира. Спустя два года миллионы компьютеров остаются под угрозой, и зараженные компании продолжают платить вымогателям.
$850 млн «червь» этого типа, NotPetya, в том же 2017 году (Cyence).
$28,7 млрд убытков могут принести атаки с использованием программного обеспечения, парализующего операционную систему, в случае глобального распространения «червя».
В 2019 году интерес киберпреступников привлекли промышленные предприятия. В марте 2019-го норвежский производитель алюминия Norsk Hydro был атакован «червем»-вымогателем LockerGoga. Компания фактически потеряла контроль над оборудованием и вынуждена была остановить работу нескольких заводов. Позднее инцидент повторился на других предприятиях в Европе.
Подобные деструктивные атаки могут приводить к серьезным последствиям, в том числе авариям на производстве, считает «Лаборатория Касперского». В 2018 году с разного рода киберугрозами столкнулась почти половина АСУ (автоматизированная система управления) на российских предприятиях. По прогнозам аналитиков компании, в 2019 году их количество увеличится.
Российская специфика
Основной целью кибератак в 2019 году остаются российские банки и их клиенты, но потери от угроз по сравнению с прошлым годом заметно сократились, поскольку российские хакерские группы переключились на зарубежные банки, поясняет проводившая исследование Group-IB.
510 млн руб. — суммарные потери от действий киберпреступников в отношении российских банков и их клиентов с середины 2018-го по середину 2019-го. В прошлом году за тот же период было украдено 3,2 млрд рублей.
800 руб. — средняя сумма одного хищения при помощи финансового фишинга.
На фоне падения ущерба от фишинга и троянов растет статистика атак с использованием социальной инженерии (например, телефонного мошенничества). Прогнозируется рост утечек данных корпораций в результате целевых атак на их сотрудников.
30% сотрудников компаний в России готовы открыть фишинговое письмо.
6 раз в час в среднем подвергались атакам российские компании в 2019 году, это в 1,6 раза чаще, чем в среднем по миру (данные Check Point Software Technologies).
14,3 млн руб. — средний размер ущерба от одной кибератаки на крупные российские компании, по данным «Лаборатории Касперского» за 2018 год.
4,3 млн руб. — во столько, по данным «Лаборатории Касперского», обходилась в 2018 году одна кибератака малому и среднему бизнесу.
На 33% вырос ущерб от кардинга — разновидности мошенничества с использованием реквизитов банковской карты без подтверждения владельца.
43,8 млн скомпрометированных карт выложено на подпольные форумы, их стало больше на 38%.
Эксперты Positive Technologies указывают на проблему низких бюджетов российских компаний на информационную безопасность (ИБ). В 2018 году 50% российских компаний не увеличивали бюджет на ИБ, 16% компаний сократили его и лишь 26% увеличили инвестиции в ИБ.
Что дальше
Всё будет только хуже. И в этом сходятся все ведущие аналитики, от независимых экспертов до компании Microsoft.
$15 млрд — открытая часть американского бюджета на борьбу с угрозами кибербезопасности в 2019 году.
$8 трлн могут составить к 2022 году общие потери мировой экономики от деятельности хакеров. Наибольший урон будут наносить утечки конфиденциальной информации, технологических секретов, патентов и готовых медиапродуктов до даты релиза.
$1 трлн будут составлять совокупные расходы компаний на кибербезопасность к 2021 году.
До 100 дней составляет сейчас среднее время обнаружения проникновения в корпоративные информационные системы с момента взлома, утверждают инженеры Microsoft. При этом лишь:
- 25% жертв хакеров-злоумышленников предпринимали какие-либо меры безопасности;
- 75% даже не обновляли операционную систему и не ставили апдейты с «лечением» потенциальных уязвимостей.
Словом, с каждым годом киберпреступления обходятся мировой экономике дороже и дороже. Значит ли это, что бизнес должен больше и больше тратить на киберзащиту? На первый взгляд, да — так и происходит. Но если бизнес умеет что-то лучше всех, так это оптимизировать расходы. Регулярные и бесплатные обновления современных операционных систем — это фундамент вашего здания информационной безопасности, именно с этого необходимо начать строить защитные сооружения.
