За 2013 г. число DDoS-атак на госсектор и коммерческий сектор выросло на 178%, подсчитал управляющий директор Optima Infosecurity Неманья Никитович. По его оценке, в 2011 г. число хакерских атак стало больше на 81%, в 2012 – на 96%, так что эксперт уверен, что бизнес и государство имеют дело с ощутимыми вызовами.

Ситуация касается не только России – это мировой тренд. По данным различных исследований, суммарные мировые убытки от утечек в 2013 г. составили от $20 до 25 млрд. Примерно 5–7% от этой суммы приходится на Россию. Это на треть больше, чем год назад.

Репутационные потери также огромны. В 2012 г. правительственные ресурсы США подвергались кибератакам 12 млн раз, Ирана – 28 млн раз, Израиля – 44 млн раз, напоминает Неманья Никитович. Между тем, по его же данным, во время последних президентских выборов в России компьютеры правительственных структур подвергались атакам 1,2 млн раз. Есть еще потери информации в силу человеческого фактора, это примерно 15% от всех потерь.

Причина роста – безответственность и онлайн-сервисы

Как утверждает эксперт, 81% утечек в госсекторе происходят по причине обычной халатности сотрудников – так, например, секретные документы, касающиеся деятельности Аль-Каеды в Ираке, были забыты в пригородном поезде. В коммерческом секторе такое тоже случается – широко известен случай с одним из подмосковных отделений одного из крупнейших отечественных банков, когда конфиденциальные документы были просто выброшены уборщицей в мусорный бак, и ветер разбросал их.

Черный рынок данных полон сведениями, которые получены в результате случайных утечек, безалаберности сотрудников. Информация эта, как правило, стоит недорого – в большинстве случаев ее владельцы не знают, как ее использовать, и поэтому флэшку с данными, которая способна нанести ущерб на миллиарды, можно приобрести за $100, подчеркивает Неманья Никитович.

Темпы роста из года в год только увеличиваются, подтверждает ведущий менеджер по работе с финансовым сектором Check Point Software Technologies Дмитрий Титков. Эксперт сожалеет, что в российской практике не принято открыто публиковать данные о взломах и тем более оценивать их в денежном выражении, но даже если лишь ссылаться на оценки специалистов либо на непроверенные данные, то речь идет о десятках, а может быть, даже и сотнях миллионов долларов.

Количество киберугроз ежегодно увеличивается и ввиду развития онлайн-сервисов. В результате атак прямые финансовые потери из-за вынужденных простоев информационных систем несут торговые площадки, интернет-магазины. Ущерб от инцидента в крупной российской компании может составить до $700 тыс.

Хакеры доведут до банкротства

Ущерб бизнеса в целом колеблется от десятков тысяч долларов до сотен и миллионов, считает Неманья Никитович. Скажем, отток клиентов крупной компании на рынке B2C вследствие утечки информации о личных данных клиентов может стоить ей годового оборота, а не только прибыли, и вообще привести к банкротству, говорит он.

Если у банка (или его клиентов) мошенники воруют деньги, то помимо финансовых банк несет репутационные потери, что, естественно, приводит к уменьшению клиентской базы, предупреждает Дмитрий Титков. Кроме прямых финансовых потерь, любые организации несут косвенные потери, связанные с простоем систем, потерей важной информации и затратами на расследование инцидентов в области информационной безопасности, подчеркивает он.

По мнению Неманьи Никитовича, если в системе информационной безопасности небольшой компании обнаружена брешь и этот факт предан гласности, но серьезных утечек не произошло, цена ущерба будет равна паре десятков тысяч долларов – стоимость ремонта по заделыванию бреши. Репутационные риски придется оценивать постфактум, которые будут тем больше, чем крупнее компания.

Что делать?

Банки и государственные структуры стараются снизить не только финансовые, но и репутационные риски, которые возникают при успешном проведении направленных кибератак (класс Advanced Persistent Threat (APT)). Они проводятся с целью подделки финансовых документов или кражи конфиденциальной информации. Это неизбежно приводит к упущенным для бизнеса возможностям и снижению лояльности клиентов. В итоге совокупный урон для компании из крупного корпоративного сегмента может составить более $2 млн.

Иногда самым эффективным методом борьбы с человеческим фактором является контроль уровня доступа, полагает Неманья Никитович. Он может быть как физическим, так и техническим – скажем, доступ к компьютерам и файлам с определенной информацией можно фильтровать системной многофакторной аутентификации, предлагает эксперт. Такая практика есть на Западе, и она вполне может быть эффективной и в России.