Автор оригинальной статьи: Джим Парис (Jim Parise), президент технологической консалтинговой компании Kelser Corporation, оказывающей свои услуги как представителям Fortune 500, так и игрокам калибром поменьше
По материалам: CFO
Любой элемент, на страхование или покрытие которого коммерческая организация направляет ресурсы, обязан иметь определенную ценность. Для того чтобы внедрить у себя работающую стратегию противодействия киберпреступлениям, важно понимать, как много стоят данные у вас в наличии – и для вас лично, и для других сторон.
Определенные типы данных могут иметь ценность только на черном рынке и нигде больше. Для примера, номера социального страхования в США практически ничего не стоят сами по себе (около $1), однако в сочетании с датой рождения, домашним адресом и именем владельца возрастают в цене в разы - $50-100. А медицинские записи позволяют киберпреступникам совершать мошеннические действия и ценятся особенно высоко – от $20 до $50, в зависимости от предложения медицинских записей на черном рынке в данный момент. В этой связи не удивляет, почему так часто медицинские организации становятся лакомым куском для киберпреступников: в результате успешно проведенного взлома в их лапы утекают десятки и даже сотни тысяч данных. Если удастся украсть 100 тысяч записей и продать по $20 каждую, навар уже составит $2 млн.
Помимо устоявшегося черного рынка для данных вашей компании подумайте также об их ценности для прямых конкурентов (часто именно они могут выступать в роли “заказчика”). Для оценки стоимости ваших данных в глазах конкурентов можно даже разыграть гипотетический сценарий, при котором коммерческие секреты или списки клиентов становятся достоянием публики – как это сказалось бы на вашей организации в долгосрочном периоде?
И последнее, но не менее важное: необходимо провести реалистичную оценку того, сколько данные стоят для вас лично. Очень распространенный вид кибератаки – это взлом с последующим кодированием данных, так чтобы только после уплаты выкупа компании-жертве открыли к ним доступ (обычно все же не открывают). Идеальный вариант здесь – иметь резервную систему, с которой получится в течение дня восстановить заблокированные данные. Худший вариант – не имея другой возможности, заплатить выкуп хакерам, которые в большинстве случаев все равно не разблокируют данные, так что их можно считать потерянным. Каковы будут последствия каждого из этих вариантов для вашей организации?
Самая большая опасность для киберпреступников – это по-прежнему риск быть пойманными. Если они к тому же находятся в США, то здесь их шансы на это еще выше (что объясняет, почему большая часть предпочитает находиться за рубежом, когда проводятся атаки).
Для легального бизнеса риск кибератаки можно оценить по следующей формуле:
РИСК = Вероятность инцидента х Влияние на бизнес
Частично второй множитель (влияние на бизнес) мы уже оговорили. К потерям в результате отсутствия доступа к заблокированным данным стоит также добавить репутационный ущерб, в случае если вести об этом станут достоянием общественности (или, как вариант, необходимо будет проинформировать об этом клиентов в соответствии с требованиями того же регламента GDPR).
Составляющую вероятности инцидента оценить сложнее. Более половины всех опрошенных организаций заявляют, что так или иначе подвергались взлому – и их число лишь растет. В принципе, доля бизнеса, который становится жертвой кибератак в течение каждого годового периода, близка к 100% - как раз потому что эти атаки столь систематичны и повсеместны. А если уж хакеры с каких-то причин решат, что у вас могут иметься в распоряжении данные, представляющие ценность для них, то ваша организация начнет подвергаться атакам еще чаще.
Есть простое правило “большого пальца”: любой бизнес должен инвестировать как минимум 3% своих общих капитальных расходов на IT-департамент в кибербезопасность. Но отрасли, представители которых владеют более ценными данными персональными данными (финансы, здравоохранения, производство), требуют существенно больших инвестиций.
Все эти расходы обычно идут на сочетание новых технологических инструментов противодействия взлому и обучения персонала, поскольку довольно часто удача улыбается киберпреступникам именно из-за ошибки ваших сотрудников, а не из-за технической уязвимости самой по себе. Тот же самый случай Capital One имел место из-за неправильно настроенного “фаервола” – ничего необычного, если подумать.
Поскольку сама угроза кибератак может считаться достаточно новой, определить оптимальный набор действий поначалу кажется непростым делом. Начинать лучше с осознания того простого факта, что кибератаки на бизнес, которые растут год от года все последнее десятилетие – это не просто какой-то новомодный тренд, “преступная волна”, которая нахлынула и уйдет. Это новая мафия – и наша новая реальность. Поэтому полезным будет иногда взглянуть на свой бизнес “с той стороны” и постараться оценить его с той же степенью отстраненности - а возможно и цинизма, с каким на него смотрят потенциальные хакеры.