Размеры ущерба национальным экономикам от хакеров потрясают. Непривычно читать новость в серьёзных бизнес-СМИ о кибер-инциденте и не увидеть каких-нибудь цифр. Проценты, рубли или доллары, хотя бы количество жертв - без этого сюжет рискует просто-напросто не выйти.

Но гораздо интереснее было бы узнать, сколько теряет при атаке конкретная организация или организация в некоем регионе или отрасли. Увы, таких данных не слишком много.

"Ущерб... Пиши про сто миллионов. Хотя нет, сто как-то маловато. Пятьсот? Нет, много. Пиши триста!" - примерно так порой возникают цифры ущерба в пресс-релизах правоохранительных органов. Есть вариант попроще. Скажем, примерное количество украденных банковских карт умножается на среднее количество денег на средней карте в сферическом вакууме. Попробуем понять, чему можно верить всерьёз, а чему - из вежливости.

Группы риска

В исследовании НАФИ за 2017 год есть данные: "Выяснилось также, что в 2017 году с киберугрозами сталкивалась половина респондентов. В первую очередь — крупный бизнес (62% против 46–47% в малых и средних предприятиях)".

Опыт с WannaCry, в свою очередь, показывает, что массовые атаки, имеющие характер эпидемии, не очень хорошо действуют против больших компаний. Нет, они, конечно же, уязвимы. Вот только платить кибер-вымогателям они не очень хотят. Обычно имеются бэкапы и всё прочее, нужно только время на изоляцию угрозы и восстановление инфраструктуры.

 В свою очередь, малый и средний бизнес - вот для них нападение может оказаться катастрофой. Людей меньше, средств на защиту и резервы - меньше, а "подушки безопасности" на время простоя может вообще не быть.

Атакой считают всё, что угодно, не только неудачные попытки нападения, но и просто сканирования портов. Любой сервер, "торчащий" наружу, в интернет, будет постоянно получать автоматические сканирования, переборы паролей и проверки на уязвимости. Это нормально даже для гудящего из-под стола в квартире сервера сайта-визитки, чего уж говорить о гигантских компаниях с миллионными и миллиардными оборотами. Если считать за атаку это всё, то процент смело поднимается до 100% и остаётся таким навсегда. Разве что отключение от сети поможет.

Сколько вешать в граммах?

Повертев в руках статистику, можно лишь подтвердить известное утверждение, что есть ложь, большая ложь и статистика - при желании из одного набора данных можно получить практически любые результаты.

Компании, в зависимости от ситуации, будут считать хакерской атакой любое сканирование портов, а потом рапортовать отражение тысячи хакерских атак в секунду. Или же они будут считать нападением исключительно прямую потерю денег со счетов на выкуп вымогателям или при краже с помощью банк-клиента, а значит, если всё идёт неплохо, всегда можно сказать, что "во вверенной зоне происшествий нет".

В общем, так или иначе, под угрозой - все. Но что стоит эта угроза? В том же исследовании есть "средняя температура по больнице" - 299,9 тыс. руб. Сумма, с одной стороны, немаленькая. С другой - гораздо большие суммы компания может потерять за год благодаря неэффективному использованию канцпринадлежностей, и никто не обратит на это внимание. Да и вообще, как деньги-то считать?

Финансовая эквилибристика

Скажем, 10% компаний за 2017 год встречались с DDoS-атаками, делающими недоступными их интернет-ресурсы для посетителей. Такая атака может успешно идти десять минут, а может - десять дней. На её отражение может уйти уйма денег и сверхурочных часов сотрудников. А может использоваться давно и на всякий случай подключённая система а-ля Cloudflare. Компания может заниматься b2b-бизнесом, где все крупные движения всё равно идут не через сайт, а может быть крупным онлайн-магазином, где минута простоя - это настоящие убытки, а не какая-то там виртуальная упущенная выгода.

В свою очередь, 20% компаний сталкивались с заражением рабочих компьютеров, в том числе с последующим вымогательством денег. Очень удивляет это "в том числе" - в одну кучу собраны все заражения, включая рекламные вирусы и какие-нибудь майнеры.

Даже если "вымогательство денег" вынести в отдельный пункт, всё равно лучше не станет. Можно смело игнорировать количество биткоинов, выплаченных (или не выплаченных) вымогателям, потому что основной ущерб зависит от того, были ли какие-то важные данные потеряны навсегда, были ли простои в работе у всей компании, было ли поражено "тяжёлое" оборудование, вроде томографов...

Точность - вежливость бизнес-аналитиков

Ещё немного цифр в общий котёл. Из того же опроса НАФИ: Финансовые потери несли 22% из тех, кто сталкивался с кибератаками. В крупных компаниях этот показатель доходил до 39%. Средняя сумма потерь от киберугроз для таких предприятий составила 866,7 тыс. руб., для микропредприятий — 30 тыс. руб.

Конечно, очень приятно оперировать цифрами, ведь эти цифры можно использовать для оправдания затрат на кибер-безопасность. И это можно понять - ведь без цифр бизнесмен вам всё равно не поверит, он не понимает тонкостей всех современных киберугроз, а электронную почту ему распечатывает и приносит прочитать секретарша. Но стоит вам один раз его не убедить - и придётся объяснять, почему вместо хвалебных отзывов о компании в СМИ пишут разгромные статьи о том, как бизнес не умеет защищать себя от кибер-угроз.

Увы! Других цифр у меня для вас нет. И ни у кого нет.

Вместо постскриптума

Из новостей: "Эксперт Трой Мюрш, обнаруживший злонамеренные кампании, изначально сообщал о наличии вредоносного файла на 100 000 доменах, потом Мюрш снизил количество до 80 000 доменов, после чего, в качестве окончательной цифры, специалист назвал 348 сайта, на которых выполнялась нелегальная операция по добыче цифровой валюты".

И поверьте, это не сарказм. Все давно привыкли.