Средний размер убытка, причиненного крупной компании в результате кибератаки, в мире составляет около $ 650 тыс. К такому заключению пришли специалисты аналитической компании B2B International в ходе исследования глобальных киберугроз для бизнеса, проведенного совместно с «Лабораторией Касперского» в 2013 году.
Украинские компании также находятся под постоянным прицелом кибермошенников. Хотя у них нет счетов с заоблачными суммами, но защищены они куда слабее. Согласно информации Управления по борьбе с киберпреступностью при МВД Украины, в прошлом году зафиксировано более 250 попыток незаконного списания денежных средств со счетов коммерческих организаций на общую сумму свыше 100 млн грн.
Благодаря взаимодействию МВД, Госслужбы финансового мониторинга, коммерческих банков и межбанковских организаций 70 % украденных сумм удалось заблокировать, но 30 % осели на фиктивных счетах злоумышленников.
Проверка на прочность
В Украине отделы по борьбе с киберпреступностью действуют в каждом региональном управлении внутренних дел с декабря 2011 г., и в целом в стране работают около 300 специалистов. Сегодня практически каждая крупная украинская компания в той или иной мере уделяет внимание вопросу информационной безопасности (ИБ).
Для определения надежности защиты компании проводят аудит безопасности. Один из способов — нанять команду пентестеров (penetration test — тест на проникновение, метод оценки безопасности компьютерных систем) или, как их еще называют, этичных хакеров. Они имитируют возможные атаки, исследуя стрессоустойчивость системы к реальным действиям злоумышленников.
По мнению Владимира Безмалого, обладателя статуса Microsoft STA, доверенного советника по вопросам безопасности (звание присваивается по представлению локального офиса Microsoft одному человеку в стране за его работу в области информационной безопасности.— «Капитал»), взломать можно абсолютно любую систему. Это лишь вопрос цены и времени.
При этом узнать, что бизнес находится под прицелом, до того как деньги похищены, как правило, невозможно. «Противодействие киберпреступности — долгий и сложный путь, здесь нужны собственные специалисты по информационной безопасности. Но в Украине собственников бизнеса она не слишком волнует, главная задача для них — просто выжить», — заключает эксперт.
Цена защиты
Тем, кто впервые озаботился созданием собственной системы ИБ, необходимо пройти анализ рисков бизнес-процессов. Например, если предприятие принадлежит к пищевой отрасли, исследуются его логистика, графики поставки сырья, системы управления и автоматизации, складские и учетные схемы и т. п. Затем отыскиваются уязвимые места — слабости критических звеньев, над которыми теоретически злоумышленник может получить контроль и нанести ущерб.
«Мы оцениваем безопасность систем, интерфейсов к ним, людей, которые пользуются системами, и т. д.», — рассказывает Владимир Стыран, заместитель директора департамента консалтинга в области ИБ «БМС Консалтинг».
$ 650 тыс. составляет средний размер убытка, причиненного крупной компании в результате кибератаки
Базовый уровень безопасности включает в себя сегментацию сети (изолируются важные участки, где устанавливается более крепкая защита), систему обнаружения вторжений, фаервол (защита компьютерных сетей от несанкционированного доступа), антивирус, систему журналирования (логирования) событий (аналог «черного ящика»).
Предложение продуктов на рынке есть на любой кошелек, вплоть до бесплатных, которые, впрочем, потребуют больше времени и человеческих ресурсов в процессе эксплуатации.
Согласно международным стандартам, на защиту целесообразно выделять 5‑10 % от суммы возможного урона. Владимир Стыран предлагает рассчитать эту сумму на примере веб-магазина. Допустим, накануне больших праздников система выведена из строя. Из-за инцидента компания теряет около 10 % от годовой прибыли, что эквивалентно $ 100 000. Значит, тратить на ИБ целесообразно от $ 5 тыс. до $ 10 тыс. в год.
По мнению экспертов, обладателями одних из лучших систем ИБ являются банковские учреждения, поскольку их регулятор, НБУ, обязывает их следовать международным стандартам.
В ПриватБанке ИБ была организована практически с момента основания финучреждения в 1992 г. Сегодня в спецдепартаменте работает около 10 человек, а в каждом отделе разработки есть специалисты ИБ. На кибербезопасность здесь ежегодно выделяется несколько десятков миллионов долларов.
Украсть по‑тихому
Атаки различной сложности приходится отбивать ежедневно. Одна из самых громких произошла летом 2011 г. Сервис ПриватБанка «Приват24» был взломан злоумышленниками, которые перенаправили 1,5 млн грн на счета несуществующей кременчугской компании ООО «Газоил систем». Оттуда деньги ушли в неизвестном направлении. В ходе следствия выяснилось, что в течение двух дней преступники подбирали пароль через систему банка «Приват24», а заход на ресурс осуществили с одесского IP-адреса.
«В Украине и России о таких утечках зачастую не сообщают, опасаясь за репутацию компании», — рассказывает Александр Суязов, технический консультант компании Symantec, производителя ПО в области ИБ и антивирусов. В Европе и некоторых штатах Америки в случае взлома системы компания, согласно законодательству, обязана известить каждого своего клиента о том, что, возможно, конфиденциальность его данных нарушена и ему необходимо изменить пароль. В Украине таких законов нет.
На нарах
С 2011 г. в нашей стране более 20 человек решением суда привлечены к ответственности за совершение киберпреступлений. Среди наказаний — штрафные санкции, испытательные и реальные сроки, которые достигают пяти и более лет.
Однако какой бы существенной ни была защита, самая большая опасность, по мнению экспертов, — это беспечность конечного пользователя: хранение паролей на рабочем столе, использование нелицензионных программ. Все это облегчает проникновение в систему.
А промедление с реакцией на списание денежных средств и с оповещением банка дает преступникам дополнительные минуты и даже часы для обналичивания украденных средств и ухода незамеченными.
Леонид Тимченко,
заместитель начальника Управления по борьбе с киберпреступностью МВД Украины
Кибергигиена
Меры, которые помогут не стать жертвой мошенников:
1 Один из компьютеров в компании следует использовать только для связи с банковской системой.
2 Переводы необходимо делать только после предварительного согласования с менеджером банка, который обслуживает счет. Если в финучреждении такая работа автоматизирована, дополнительным средством аутентификации могут быть sms-оповещения либо получение пароля посредством sms, который нужно ввести, чтобы подтвердить платеж.
3 Использовать лицензионное ПО и не открывать сомнительные вложения, приходящие по электронной почте.
Выход из строя компьютеров — первый сигнал кибератаки. Необходимо сразу связаться с банком, блокировать возможность проведения операций и переводить управление счетом в ручной режим. Если деньги уже списаны, срочно блокировать средства на транзитном счете или счете, куда они были переведены, и требовать, чтобы финструктура оповестила организацию, на счет которой ушли банковские средства. И делать это немедленно.
Нужно написать заявление в правоохранительные органы, указать дату, сумму украденных средств и попросить провести расследование. Заявление зарегистрировать по месту жительства собственника либо регистрации предприятия. Подать заявление в отделение по борьбе с киберпреступностью в регионе нахождения предприятия (контакты есть на сайте МВД).