Киберпреступность и кибербезопасность. Вечные инвестиции.

Решил собрать данные по теме кибербезопасности в одну более-менее целостную картину. Обзор будет очень большим и детальным, так что сразу к делу.

Краткая историческая сводка

2011:

• Киберпреступники в России заработали $2,3 млрд.

2012:

• $320 млрд - потери от краж интеллектуальной собственности в США.

2014:

• Объем убытков мировой экономики от киберпреступлений $445 млрд.
• Русскоговорящие #хакеры за год заработали $2,5 млрд.

2015:

• Потери экономики России от киберпреступников достигли 203,3 млрд руб (0,25% ВВП).
• Среднегодовой ущерб от кибератак $15 млн на организацию.

2016:

• $650 млрд - годовые потери мировой экономики от киберпреступности.

2017:

• Российские промышленные компании тратят на ИБ менее 50 млн рублей в год.
• Ущерб российских компаний от кибератак составил 116 млрд рублей.

2018:

• Убытки компаний от хакерских взломов составили $3 трлн.
• Потери от мошенничества с онлайн-платежами составили $22 млрд.

2019:

• Потери российской экономики от деятельности хакеров составили около 2,5 трлн рублей.
• Экономика мира теряет $1 трлн в год из-за хакеров.
• Кибератаки происходят каждые 14 секунд по всему миру.

2021:

• Сбои в цепочках поставок обходятся крупным компаниям в $184 млн в год.
• Рост расходов компаний на восстановление после атаки вирусов-вымогателей до $1,85 млн.
• Ущерб от экономических преступлений в России достиг 450 млрд рублей.

Такие данные собрал TAdviser.ru - портал по теме корпоративной информатизации. Я специально вытащил их, чтобы продемонстрировать динамику нарастания киберпреступности на широком временном отрезке.

А теперь более детально по минувшим годам.

В России есть две крупные компании, работающие в сфере кибербезопасности - это Group-IB и Positive Technologies. Вторая сейчас готовится к IPO (и это единственное публичное размещение компании, которое я действительно жду), но сейчас о другом - эти компании регулярно собирают статистику и публикуют аналитические обзоры по теме киберпреступлений.

Предлагаю рассмотреть по обзору от каждой, тем более, что они были сделаны в разные года, и опять же можно сопоставить данные.

Анализ за 2019 год от Group-IB

Последние три года четко показывают скорость эскалации угроз в киберпространстве, если 2017-й стал годом эпидемии вирусов-шифровальщиков WannaCry, NotPetya и BadRabbit, то 2018-й обнаружил слабую готовность к side-channel атакам и угрозам, связанным с уязвимостями в микропроцессорах. Но 2019-й год стал годом открытых военных киберопераций. Конфликт между государствами приобрел новые формы, и кибер-активность играет ведущую роль в этом противостоянии.

Дмитрий Волков - Технический директор, руководитель Threat Intelligence, сооснователь Group-IB

За вторую половину 2018 и первую половину 2019 года эксперты по кибербезопасности обнаружили большое количество ранее неизвестных групп, спонсируемых государствами. Компания выделяет 38 хакерских групп, из них 7 — новых, целью которых является шпионаж.

Любопытно, что данные группы имеют отраслевую специфику и атакуют компании и учреждения из разных сфер. Чем-то напоминает раздел города властными группировками, только тут масштаб побольше.

При этом, как и в случае с властными группировками, порой хакерские группы оказываются на "одном поле" и вступают в конкуренцию.

Телекоммуникационному сектору, например, угрожает 9 групп - APT10, APT33, MuddyWater, HEXANE, Thrip, Chafer, Winnti, Regin и Lazarus.

Как отмечает компания, распространение технологии 5G становится новым драйвером угроз в этой индустрии.

Архитектурные особенности 5G (в отличие от 1/2/3/4G) заключаются в том, что сверхскорости и другие преимущества новой технологии, реализуются в большей степени за счёт программных платформ, а не оборудования. Это означает, что все угрозы для серверных и программных решений становятся актуальными для операторов 5G.

В ближайшие годы на распределение долей рынка 5G между ключевыми игроками будет влиять, в том числе, уровень их кибербезопасности. А все недостатки и нарушения работоспособности будут использоваться в конкурентной борьбе.

Весьма серьёзной угрозой являются атаки хакеров на энергетический сектор.

Из выявленных, в этом секторе работают 7 группировок, ориентированных в основном на шпионаж, а в отдельных случаях - вывод из строя инфраструктуры или отдельных систем объектов энергетики в разных странах.

• В 2019 году группа Lazarus атаковала энергетическую ядерную корпорацию в Индии, что привело к отключению энергоблока.

Нетипичный выбор жертвы позволяет сделать вывод об интересе к таким атакам со стороны военных ведомств недружественных стран.

Но лакмусовой бумажкой во всей этой истории является банковский и финансовый сектор. Любопытно, что в этой сфере работают в основном русско-говорящие хакеры.

Учитывая высокую конкуренцию между группами, наблюдается внутреннее разделение на направление деятельности: через банкоматы атаковали только хакеры Silence, через карточный процессинг — Silence и SilentCards, через SWIFT — Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму 16 млн долларов).

Вопрос, который меня заинтересовал - это как они обналичивают деньги.

Для вывода денег эти группы по-прежнему будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп.

Ну и ещё немного визуализированной статистики от Group-IB из разных статей:

Какие выводы мы можем сделать из этой аналитики?

Возможно, ваше представление (равно как и моё) о хакерах не претерпело особого изменения начиная с 90-х - ну есть энтузиасты, за интерес взламывающие системы безопасности и иногда берущие контракты от конкурирующих компаний.

Но, как мы видим, энтузиасты объединились в полноценные группы - это раз. Данные группы разделили между собой сферы и отрасли - это два. Кроме работы за выплату вознаграждений (за возврат данных и т.д.), группы участвуют в рыночной конкуренции частных компаний и корпораций, а также участвуют в кибер-борьбе между государствами, то есть по гос.заказам, и часть групп изначально являются проправительственными - это три.

Более того, как отмечалось в начале этого обзора от Group-IB, каждый год ознаменован какими-то конкретными методами и направлениями атак, что говорит о своего рода трендах.

Подытоживая и обобщая, киберпреступность обрела свою структуру и по всем своим характеристикам стала полноценным бизнесом. У каждой группировки свои показатели выручки и прибыли, пусть и формальные. Свои клиенты и заказчики. А наименование группировки - как личный бренд.

Итоги 2020 в аналитике от Positive Technologies

Первое, что отмечает компания - рост киберпреступлений в связи с Covid-19 и удалённой работой. Многие сотрудники работали со своих устройств дома, что позволило преступникам опосредованно, через их устройства, получать доступ к важной корпоративной информации.

Также PT отмечает, что инсайдеры все ещё остаются актуальной проблемой для компаний. Речь идёт о преднамеренной передаче доступа злоумышленникам кем-то из сотрудников компании.

В качестве примера из 2020 приводится история с Tesla, а также массовый взлом аккаунтов знаменитостей и политиков в Twitter. Второе, к слову, удивительным образом использовали исключительно для мошенничества с криптовалютами, хотя по факту могли устроить как минимум массовую панику (публикуя какие-то громкие заявления от лица первых лиц государств).

Также, компания отмечает рост шифровальщиков - одну из главных проблем 2020 года: суммы выплат за расшифровку данных были колоссальны, а при отказе платить выкуп утёкшие данные публиковались в Сети. Некоторым компаниям пришлось приостановить свою деятельность на несколько дней.

Также, большой проблемой в 2020 году стали supply chain attacks - атаки на цепочки поставок. В качестве примеров, нашумевшая история с SolarWinds, а также атака на бензопровод Colonial Pipeline.

Пока не ушли далеко, отмечу, что наравне с ростом атак на корпорации, всё чаще компании стали выплачивать требования взломщиков: например, производитель мяса в США JBS заплатил 11 миллионов $, упомянутая Colonial Pipeline выплатила 5 миллионов $.

На протяжении всего года киберпреступные группировки, в том числе проправительственные, активно интересовались информацией о разработке и испытаниях вакцин от коронавируса, атакуя различные компании и исследовательские центры, работающие в этом направлении.

В результате взлома хакеры получили доступ к документам фармацевтических компаний Pfizer, BioNTech и Moderna. Также стало известно о крупной вредоносной кампании, нацеленной на организации, занимающиеся хранением и транспортировкой вакцин, и об организованной северокорейскими хакерами шпионской операции, направленной на производителей вакцин от COVID-19, включая британскую компанию AstraZeneca и американские фирмы Johnson & Johnson и Novavax.

Мы ожидаем, что в 2021 году будут совершенствоваться методы социальной инженерии, эксплуатирующие темы, связанные с обстановкой в мире, в частности, тему COVID-19. Можно также прогнозировать, что фишинг станет более индивидуальным, злоумышленники будут выходить на жертв через мессенджеры и социальные сети. Для преодоления корпоративных средств защиты взлом все чаще будет производиться через домашние компьютеры работников.

Что касается 2021 года и его сравнения с предыдущим поквартально, мы имеем следующие тенденции:

Количество инцидентов в 2020 и 2021 годах (по месяцам)

Наиболее популярным вредоносным ПО традиционно стали программы-вымогатели. Их доля среди прочего ВПО, применяемого в атаках на организации, увеличилась на семь процентных пунктов в сравнении с IV кварталом 2020 года и составляет 63%.

Типы вредоносного ПО (доля атак с использованием ВПО)

Распределение атак программ-вымогателей по отраслям

Количество атак на телекоммуникационные компании

Почти вдвое выросло количество атак, на телекоммуникационную отрасль. В 71% атак злоумышленники преследовали мотив получения данных.

Почти утроились атаки на госучреждения:

Доля атак шифровальщиков в атаках ВПО на госучреждения

Какие выводы можем сделать?

На фоне удалённой работы количество кибератак значительно выросло и продолжает увеличиваться. В зону риска попадают практически все компании, государственные учреждения и физические лица.

Даже когда мир излечится и большая часть сотрудников в различных компаниях вернутся на рабочие места, мы имеем другой долгосрочный тренд технологического развития, информатизации и цифровизации, который будет поддерживать деятельность киберпреступников.

При этом методы кибератак постоянно совершенствуются и развиваются.

Ну и ещё чуть-чуть статистики по США, собранной сервисом Statista:

Согласно аналитическим данным блокчейн-платформы Chainalysis, отслеживающей платежи в криптовалюте на известные адреса программ-вымогателей, в прошлом году жертвы кибератак заплатили суммарный выкуп на сумму более 400 миллионов долларов, что на 337% больше, чем в 2019 году.

2020 год навсегда будет известен как год Covid, но когда дело доходит до криптопреступности, это также год взлета вымогателей.

Как показано на следующей диаграмме, атаки программ-вымогателей не демонстрируют признаков ослабления в 2021 году. За первые пять месяцев года жертвы уже перевели киберпреступникам более 80 миллионов долларов, что почти соответствует сумме за весь 2019 год.

На диаграмме ниже показаны основные способы атак программ-вымогателей, о которых сообщили поставщики управляемых услуг в 2020 году:

Добро со злом

Не зря финансисты и инвестиционные аналитики обратили внимание на тему кибербезопасности в 2020 году. Мы имеем не какое-то временное явление, а стабильный и продолжительный тренд "борьбы добра со злом", который год к году только наращивает обороты.

Переходя на тему инвестиций, на мой взгляд, данная отрасль может занять достойное место в долгосрочном инвестиционном портфеле на ближайшие 5-10 лет.

Многие компании имеют свою службу безопасности и методы защиты от кибератак, включая собственное ПО, но дешевле и проще перестраховываться, прибегая к услугам корпоративной защиты профессиональных компаний.

Существует достаточно большое количество прогнозов относительно дальнейших перспектив рынка кибербеза, но все объединяет одно - большинство аналитиков делают ставку на рост тренда и расширение рынка.

Весьма консервативный прогноз от БКС

Во что инвестировать?

На рынке кибербеза присутствует достаточно большое количество компаний, многие из которых не являются публичными, то есть акции не торгуются на бирже. Некоторые, вроде российской Positive Technologies, готовятся к IPO.

Стоит отметить, что все компании из данной отрасли можно разделить на две группы:

• Крупные эмитенты с растущими потоками и положительной динамикой прибыли.
• Растущие компании с растущей выручкой, но отрицательной или около-нулевой прибылью.

Как мы понимаем, инвестиции в первую группу являются более надёжными, чем во вторую - когда растущая компания выйдет в прибыль (и выйдет ли в принципе) мы наверняка не знаем.

В целом, тут есть определённый простор для полёта инвестиционной мысли, касающейся отбора и компоновки доли кибербеза в портфеле.

Что касается прибыльных компаний, то в первую очередь стоит отметить следующих эмитентов:

• Check Point Software Technologies (CHKP)
• Fortinet (FTNT)
• Qualys (QLYS)
• NortonLifeLock (NLOK)

Фундаментальный обзор на Qualys я делал в этой заметке. NortonLifeLock вскользь упоминал здесь. А Check Point Software Technologies посвятил отдельный полноценный обзор. Fortinet планирую разобрать чуть позже.

Отмечу только один нюанс. После обзора по Check Point один человек написал мне, мол, компания хорошая, но каких-то новых продуктов давно не создавала.

Тут я хочу заострить внимание на том, что методы и способы кибератак постоянно совершенствуются. Хакеры ищут лазейки и возможности обойти защиту. И это то, что прежде, до изучения темы, я также не понимал: кибербезопасность не делает продуктов, как таковых. Даже софт, фактически, сырой продукт, который затем регулярно совершенствуется.

Задача кибербеза - обеспечить защиту (услуга), а не продать продукт. В виду этого, компании выполняют две задачи: первая - сами ищут лазейки и дыры; вторая - залатывают эти дыры.

Тот же Positiv создал экспериментальный полигон, в котором "хакеры" пытаются пробить защиту "безопасников". Group-IB занимается подобной деятельностью.

Какого-то конечного, абсолютно законченного продукта в этой среде быть не может. По-крайней мере пока.

Поэтому, кибербезопасность - это не столько продукт, сколько производственный процесс для компании и услуга для клиентов.

Говоря о перспективных и растущих, но убыточных (и потому более рисковых) компаниях, можно отметить следующие:

• CrowdStrike Holdings, Inc. (CRWD)
• Palo Alto Networks, Inc. (PANW)
• FireEye, Inc. (FEYE)
• Okta, Inc. (OKTA)
• Zscaler, Inc. (ZS)
• CloudFlare (NET)

Данные компании я рекомендую изучить самостоятельно. Фундаментально, сложно оценить компании с отрицательной прибылью, поэтому большее значение имеет не столько финансовая оценка потоков, сколько технологические решения и профессиональные качества сотрудников.

Лично мне кажется, что впереди нас ждёт череда поглощений, и крупные прибыльные компании будут поглощать более мелких и убыточных игроков на данном рынке.

Но есть и другая точка зрения, утверждающая, что рынок, компании и акции разделились на старую и новую экономики. Качества новой экономики приписывают растущим, но в большинстве своём убыточным компаниям. Качества старой экономики присущи надёжным компаниям стоимости.

Если отталкиваться от данной точки зрения, то "молодые" растущие кибербезы могут отвоевать свою долю рынка и стать крупными компаниями. И, в таком случае, имеет смысл разбавлять долю компаний стоимости растущими активами.

Благодарю, что читаете.

По традиции - будьте богаты, здоровы и любимы.