Автор оригинальной статьи: Джим Парис (Jim Parise), президент технологической консалтинговой компании Kelser Corporation, оказывающей свои услуги как представителям Fortune 500, так и игрокам калибром поменьше
По материалам: CFO
Фото: www.kelsercorp.com Осознание бизнес-модели, лежащей в основе криберпреступлений, может оказаться полезным интеллектуальным занятием для любого финансового директора, который в результате получит представление о более эффективном распределении ресурсов для защиты от взлома
Как выяснилось со временем, хакер, стоявший за памятным взломом банковского холдинга Capital One в марте этого года (в результате чего была нарушена конфиденциальность персональных данных практически 106 миллионов клиентов) вполне соответствовал всем стереотипным представлениям о представителях этой криминальной среды. Пейдж Томпсон (Paige Thompson) – девушку из Сиэтла со страстью к эксцентричному поведению, что и стало ее погибелью - взяли в ходе полицейского рейда несколько месяцев спустя. По словам представителей ФБР, она подозревается в краже десятков миллионов обращений за кредитными картами с 2005 года - обращений, содержащих персональные данные клиентов Capital One. По самым примерным оценкам, это 140 тысяч данных соцстрахования и примерно 80 тысяч данных по банковским счетам.
Однако Пейдж Томпсон, сколь бы она ни соответствовала шаблонным представлениям – все же исключение из правил, потому что большая часть киберпреступников работает в организованных группах, выбирая для атаки зарубежные цели, и их подход к своей работе очень напоминает подход в любом легальном бизнесе. За тем исключением, что потоки выручки представляют собой украденные данные. Осознание этой “бизнес-модели” и стоимости, которую ваша компания представляет для киберпреступников, может оказаться для руководителей финансовых департаментов очень полезным занятием. Возможно, мы давно уже не живем уже в те времена, когда компаниям приходилось платить за “крышевание”, однако вместо прежних вымогателей появился новый вид организованной преступности, а сами преступники – не менее безжалостны в плане своих требований, чем их предшественники.
Основы любой киберпреступной организации
Современные кибератаки вроде продвинутых фишинговых техник с использованием подставных электронных писем, которые выглядят очень аутентично, могут оказаться прибыльными даже с кажущейся смешной вероятностью успеха менее чем в 1%. Дело в том, что затраты на запуск этих атаки невелики, а одно-единственное попадание может принести тысячи, а иногда и миллионы долларов навара.
Основная “формула” чем-то похожа на онлайновую маркетинговую кампанию. Если реклама себя окупает, любая умная организация будет продолжать за нее платить, пока возможности на рынке не истощатся. Так и здесь: устойчивая бизнес-модель позволяет киберпреступникам привлекать партнеров, с которыми они делятся частью украденных данных или уже прибылью от их продажи. “Монетизация” успешной атаки обычно осуществляется либо через продажу украденных данных на черном рынке, либо через выкуп этих данных, удерживаемых в роли своеобразного “заложника”.
Второй вариант особенно привлекателен для хакеров, поскольку даже не требует покупателя. Выкуп, как правило, осуществляется в биткоинах, которые у большинства компаний пока что отсутствуют сегодня. Многие киберпреступные организации даже додумались организовать что-то вроде “служб клиентской поддержки” (сколь бы цинично это ни звучало), которые помогают компаниям-жертвам с выплатой выкупа.
Арестованная в июле этого года Пейдж Томпсон могла иметь психические отклонения – если судить хотя бы по ее бахвальству своим поступком в одном из постов Tweeter, где она признается в совершении преступления. Собственно, так на нее, скорее всего, и вышли. Но, как говорилось выше, она скорее исключение из правил, потому что у большинства хакеров мозг работает очень ясно и рационально. И организация у них не хуже, чем у вашей компании или ваших конкурентов. Но это и большой плюс: прогнозируемость означает, что этой угрозой можно очень рационально и с холодной головой управлять.
Сколько стоят данные вашей компании?
Любой элемент, на страхование или покрытие которого коммерческая организация направляет ресурсы, обязан иметь определенную ценность. Для того чтобы внедрить у себя работающую стратегию противодействия киберпреступлениям, важно понимать, как много стоят данные у вас в наличии – и для вас лично, и для других сторон.
Определенные типы данных могут иметь ценность только на черном рынке и нигде больше. Для примера, номера социального страхования в США практически ничего не стоят сами по себе (около $1), однако в сочетании с датой рождения, домашним адресом и именем владельца возрастают в цене в разы - $50-100. А медицинские записи позволяют киберпреступникам совершать мошеннические действия и ценятся особенно высоко – от $20 до $50, в зависимости от предложения медицинских записей на черном рынке в данный момент. В этой связи не удивляет, почему так часто медицинские организации становятся лакомым куском для киберпреступников: в результате успешно проведенного взлома в их лапы утекают десятки и даже сотни тысяч данных. Если удастся украсть 100 тысяч записей и продать по $20 каждую, навар уже составит $2 млн.
Помимо устоявшегося черного рынка для данных вашей компании подумайте также об их ценности для прямых конкурентов (часто именно они могут выступать в роли “заказчика”). Для оценки стоимости ваших данных в глазах конкурентов можно даже разыграть гипотетический сценарий, при котором коммерческие секреты или списки клиентов становятся достоянием публики – как это сказалось бы на вашей организации в долгосрочном периоде?
И последнее, но не менее важное: необходимо провести реалистичную оценку того, сколько данные стоят для вас лично. Очень распространенный вид кибератаки – это взлом с последующим кодированием данных, так чтобы только после уплаты выкупа компании-жертве открыли к ним доступ (обычно все же не открывают). Идеальный вариант здесь – иметь резервную систему, с которой получится в течение дня восстановить заблокированные данные. Худший вариант – не имея другой возможности, заплатить выкуп хакерам, которые в большинстве случаев все равно не разблокируют данные, так что их можно считать потерянным. Каковы будут последствия каждого из этих вариантов для вашей организации?
Оценка риска и предотвращение потер
Самая большая опасность для киберпреступников – это по-прежнему риск быть пойманными. Если они к тому же находятся в США, то здесь их шансы на это еще выше (что объясняет, почему большая часть предпочитает находиться за рубежом, когда проводятся атаки).
Для легального бизнеса риск кибератаки можно оценить по следующей формуле:
РИСК = Вероятность инцидента х Влияние на бизнес
Частично второй множитель (влияние на бизнес) мы уже оговорили. К потерям в результате отсутствия доступа к заблокированным данным стоит также добавить репутационный ущерб, в случае если вести об этом станут достоянием общественности (или, как вариант, необходимо будет проинформировать об этом клиентов в соответствии с требованиями того же регламента GDPR).
Составляющую вероятности инцидента оценить сложнее. Более половины всех опрошенных организаций заявляют, что так или иначе подвергались взлому – и их число лишь растет. В принципе, доля бизнеса, который становится жертвой кибератак в течение каждого годового периода, близка к 100% - как раз потому что эти атаки столь систематичны и повсеместны. А если уж хакеры с каких-то причин решат, что у вас могут иметься в распоряжении данные, представляющие ценность для них, то ваша организация начнет подвергаться атакам еще чаще.
Есть простое правило “большого пальца”: любой бизнес должен инвестировать как минимум 3% своих общих капитальных расходов на IT-департамент в кибербезопасность. Но отрасли, представители которых владеют более ценными данными персональными данными (финансы, здравоохранения, производство), требуют существенно больших инвестиций.
Все эти расходы обычно идут на сочетание новых технологических инструментов противодействия взлому и обучения персонала, поскольку довольно часто удача улыбается киберпреступникам именно из-за ошибки ваших сотрудников, а не из-за технической уязвимости самой по себе. Тот же самый случай Capital One имел место из-за неправильно настроенного “фаервола” – ничего необычного, если подумать.
Заключение
Поскольку сама угроза кибератак может считаться достаточно новой, определить оптимальный набор действий поначалу кажется непростым делом. Начинать лучше с осознания того простого факта, что кибератаки на бизнес, которые растут год от года все последнее десятилетие – это не просто какой-то новомодный тренд, “преступная волна”, которая нахлынула и уйдет. Это новая мафия – и наша новая реальность. Поэтому полезным будет иногда взглянуть на свой бизнес “с той стороны” и постараться оценить его с той же степенью отстраненности - а возможно и цинизма, с каким на него смотрят потенциальные хакеры.