Масштаб и экономика кибер-угрозы: можно ли верить цифрам

Размеры ущерба национальным экономикам от хакеров потрясают. Непривычно читать новость в серьёзных бизнес-СМИ о кибер-инциденте и не увидеть каких-нибудь цифр. Проценты, рубли или доллары, хотя бы количество жертв - без этого сюжет рискует просто-напросто не выйти.

Но гораздо интереснее было бы узнать, сколько теряет при атаке конкретная организация или организация в некоем регионе или отрасли. Увы, таких данных не слишком много.

"Ущерб... Пиши про сто миллионов. Хотя нет, сто как-то маловато. Пятьсот? Нет, много. Пиши триста!" - примерно так порой возникают цифры ущерба в пресс-релизах правоохранительных органов. Есть вариант попроще. Скажем, примерное количество украденных банковских карт умножается на среднее количество денег на средней карте в сферическом вакууме. Попробуем понять, чему можно верить всерьёз, а чему - из вежливости.

Группы риска

В исследовании НАФИ за 2017 год есть данные: "Выяснилось также, что в 2017 году с киберугрозами сталкивалась половина респондентов. В первую очередь — крупный бизнес (62% против 46–47% в малых и средних предприятиях)".

Опыт с WannaCry, в свою очередь, показывает, что массовые атаки, имеющие характер эпидемии, не очень хорошо действуют против больших компаний. Нет, они, конечно же, уязвимы. Вот только платить кибер-вымогателям они не очень хотят. Обычно имеются бэкапы и всё прочее, нужно только время на изоляцию угрозы и восстановление инфраструктуры.

 В свою очередь, малый и средний бизнес - вот для них нападение может оказаться катастрофой. Людей меньше, средств на защиту и резервы - меньше, а "подушки безопасности" на время простоя может вообще не быть.

Атакой считают всё, что угодно, не только неудачные попытки нападения, но и просто сканирования портов. Любой сервер, "торчащий" наружу, в интернет, будет постоянно получать автоматические сканирования, переборы паролей и проверки на уязвимости. Это нормально даже для гудящего из-под стола в квартире сервера сайта-визитки, чего уж говорить о гигантских компаниях с миллионными и миллиардными оборотами. Если считать за атаку это всё, то процент смело поднимается до 100% и остаётся таким навсегда. Разве что отключение от сети поможет.

Сколько вешать в граммах?

Повертев в руках статистику, можно лишь подтвердить известное утверждение, что есть ложь, большая ложь и статистика - при желании из одного набора данных можно получить практически любые результаты.

Компании, в зависимости от ситуации, будут считать хакерской атакой любое сканирование портов, а потом рапортовать отражение тысячи хакерских атак в секунду. Или же они будут считать нападением исключительно прямую потерю денег со счетов на выкуп вымогателям или при краже с помощью банк-клиента, а значит, если всё идёт неплохо, всегда можно сказать, что "во вверенной зоне происшествий нет".

 

В общем, так или иначе, под угрозой - все. Но что стоит эта угроза? В том же исследовании есть "средняя температура по больнице" - 299,9 тыс. руб. Сумма, с одной стороны, немаленькая. С другой - гораздо большие суммы компания может потерять за год благодаря неэффективному использованию канцпринадлежностей, и никто не обратит на это внимание. Да и вообще, как деньги-то считать?

Финансовая эквилибристика

Скажем, 10% компаний за 2017 год встречались с DDoS-атаками, делающими недоступными их интернет-ресурсы для посетителей. Такая атака может успешно идти десять минут, а может - десять дней. На её отражение может уйти уйма денег и сверхурочных часов сотрудников. А может использоваться давно и на всякий случай подключённая система а-ля Cloudflare. Компания может заниматься b2b-бизнесом, где все крупные движения всё равно идут не через сайт, а может быть крупным онлайн-магазином, где минута простоя - это настоящие убытки, а не какая-то там виртуальная упущенная выгода.

В свою очередь, 20% компаний сталкивались с заражением рабочих компьютеров, в том числе с последующим вымогательством денег. Очень удивляет это "в том числе" - в одну кучу собраны все заражения, включая рекламные вирусы и какие-нибудь майнеры.

Даже если "вымогательство денег" вынести в отдельный пункт, всё равно лучше не станет. Можно смело игнорировать количество биткоинов, выплаченных (или не выплаченных) вымогателям, потому что основной ущерб зависит от того, были ли какие-то важные данные потеряны навсегда, были ли простои в работе у всей компании, было ли поражено "тяжёлое" оборудование, вроде томографов...

Точность - вежливость бизнес-аналитиков

Ещё немного цифр в общий котёл. Из того же опроса НАФИ: Финансовые потери несли 22% из тех, кто сталкивался с кибератаками. В крупных компаниях этот показатель доходил до 39%. Средняя сумма потерь от киберугроз для таких предприятий составила 866,7 тыс. руб., для микропредприятий — 30 тыс. руб.

Конечно, очень приятно оперировать цифрами, ведь эти цифры можно использовать для оправдания затрат на кибер-безопасность. И это можно понять - ведь без цифр бизнесмен вам всё равно не поверит, он не понимает тонкостей всех современных киберугроз, а электронную почту ему распечатывает и приносит прочитать секретарша. Но стоит вам один раз его не убедить - и придётся объяснять, почему вместо хвалебных отзывов о компании в СМИ пишут разгромные статьи о том, как бизнес не умеет защищать себя от кибер-угроз.

Увы! Других цифр у меня для вас нет. И ни у кого нет.

Вместо постскриптума

Из новостей: "Эксперт Трой Мюрш, обнаруживший злонамеренные кампании, изначально сообщал о наличии вредоносного файла на 100 000 доменах, потом Мюрш снизил количество до 80 000 доменов, после чего, в качестве окончательной цифры, специалист назвал 348 сайта, на которых выполнялась нелегальная операция по добыче цифровой валюты".

И поверьте, это не сарказм. Все давно привыкли.

 


23 августа 2018г. / Индустрия 4.0
189 | Обсудить в   
Кирилл Кожевников
Автор блога Айти
Кибер-шериф в цифровой Америке: DMCA
Верить нельзя никому. Мне - можно.
Электронная, цифровая, прогрессивная
Инфобезопасность в компании: виновные и ответственные
Кибервор должен сидеть в кибертюрьме
пРи|||лиТЕ БNТкоиh NЛN МbI БYDЕМ пРиCbIлАТb пО 1 БайТу Ва|||иХ ДАННЫХ
Электронные архивы: рукописи не горят, не теряются и экономят время
Где хранить электронный архив: в облаках или под подушкой?
Банкоматы ломают не только кувалдой
Киберподкоп
Интернет чужих вещей
Где самое слабое звено?
Кирку в руки и полезай в шахту: вредоносный майнинг криптовалют
Главный вирус - между стулом и клавиатурой
Свободное плавание СЭД
И дела вести, и бобра спасти
Блокчейн - цепь неслучайностей
Телефоннер, сканертрон и роутербот против офисных сотрудников
Чем свободное ПО лучше, чем проприетарное?
Всевидящее складское око
Вкалывают роботы, счастливы банкиры
Еще по теме
Экспоненциальный рост. Движущие силы цифровой трансформации бизнеса.

Экспоненциальный рост. Движущие силы цифровой трансформации бизнеса.

Интернет-компании развиваются и растут очень быстро. Их рост зависит не от числа нанятых сотрудников, а от распространения информации.

131
Продукты и услуги с низкими предельными издержками. Движущие силы цифровой трансформации бизнеса.

Продукты и услуги с низкими предельными издержками. Движущие силы цифровой трансформации бизнеса.

Все больше продуктов и услуг в настоящее время можно производить и предоставлять почти без затрат. Об этом в своей книге «Общество нулевых предельных издержек» пишет Джереми Рифкин.

89
Автоматическое управление. Движущие силы цифровой трансформации бизнеса.

Автоматическое управление. Движущие силы цифровой трансформации бизнеса.

Цифровую трансформацию бизнеса невозможно представить без частичного, а зачем, и полностью автоматического управления объектами. Это определенная саморазвивающаяся система: предполагается, что объекты сами будут управлять своим развитием. Уже существуют «умные дома», которые в каждом конкретном случае выбирают разные алгоритмы, зная, какие технологические операции им нужны в данный момент.

96