По материалам: CFO
Кибератаки на корпоративные системы с применением программ-вымогателей, к сожалению, становятся все более обыкновенным делом в наши дни. В этой небольшой статье – несколько советов относительно минимизации этого типа риска.
Довольно часто компании-жертвы, уже пострадав от атаки, фокусируются на самой очевидной финансовой стороне ущерба в результате каждого такого инцидента – на самом штрафе, требуемого программой-вымогателем. Однако с точки зрения финансового директора то, что не учитывается при этом никаким более-менее разумным образом – это потеря производительности, потерянные прибыли, ущерб деловой репутации, расходы на восстановление данных и т.д. и т.п.
Федеральное и муниципального законодательство еще может заставить компании отчитываться о взломе персональных данных, но если речь идет рассматриваемом здесь виде кибератак, очень значительное их число остается вне публичной отчетности, поэтому реальный масштаб ущерба – тайна за семью печатями. В отдельных случаях индивидуальная атака может представлять собой лишь звено в целой системе атак на инфраструктуру организации, что делает практически невозможным даже для самой компании-жертвы оценить специфический ущерб в ее случае.
Резюмируя, можно констатировать, что финансовые директоры сегодня прилагают значительные усилия для того, чтобы осознать финансовые последствия этих атак. А чтобы помочь им с пониманием этого – следовательно, и с нейтрализацией последствий – в статье обсуждаются типы возможного ущерба и приводятся рекомендации по совершенствованию систем контроля рисков информационной безопасности, в том числе и страхование от кибератак, проведенных с применением программ-вымогателей.
Типы ущерба
Обычно киберпреступники выбирают своей целью наиболее ценную информацию, хотя в действительности могут получить доступ к любой – скажем, маркетинговым материалам, платежным данным, интеллектуальной собственности, финансовым транзакциям, медицинским данным сотрудников и т.д.
Привлечение стороннего эксперта, способного произвести дешифровку информации – часто более дорогостоящее дело, чем простая уплата требуемой суммы за восстановление потерянных данных. При этом иногда восстановленные данные оказываются неполными, а полное восстановление все равно требует дешифровки, но к тому времени, когда организация понимает, что восстановление неполное, киберпреступник уже может уничтожить ключи шифрования и скрыться, что сделает полное восстановление вообще невозможным.
Если кибератака поражает определенные серверы, вредоносная программа способна распространиться по всей организации, проникнуть на компьютеры всех пользователей и, теоретически, даже на компьютеры третьих лиц, связанных с зараженным сервером или компьютером зараженного пользователя. Иногда программа распространяется и на резервные серверы, что для компании-жертвы означает, что даже “бэк-ап” в ее случае приведет лишь к повторному инфицированию систем и данных.
Эти программы-террористы способны брать конфиденциальные данные в “заложники”, угрожая их раскрытием широкой публике или продажей покупателю, предложившему наибольшую цену. Страх компаний перед такой возможностью служит очень сильным эмоциональным фактором и почти не оставляет времени сесть и рационально взвесить все возможности.
Контроль риска
Общий подход к нейтрализации угрозы кибератак с использованием программ-вымогателей включает в себя следующие распространенные меры:
- Постоянная тренировка и обучение персонала
- Разработка планов экстренного восстановления в случае кибератаки на бизнес и обеспечения непрерывности ведения бизнеса, периодическое тестирование этих планов
- Регулярное обновления всех антивирусных программ – казалось бы, очевидный шаг, но сколько вредоносных программ проникает в систему из-за такой халатности!
- Налаживание связей с внешним экспертом в области информационной безопасности, который может защитить системы и процессы в вашей организации
В случае если атака уже состоялась:
- Идентифицировать и изолировать инфицированные и потенциально инфицированные системы
- Отключить общие сетевые узлы, подключенные к инфицированным системам
- Рассмотреть возможность отключения стандартной процедуры восстановления этих систем для предотвращения дальнейшего распространения вируса
- Подключить внешнюю консалтинговую компанию со специализацией на обнаружении и нейтрализации атак этого типа
- Проинформировать персонал компании о киберугрозе, порекомендовав всем воздержаться от открытия подозрительных писем и приложений от неизвестных источников
Страхование как часть стратегии минимизации последствий
Финансовые директоры традиционно рассматривали страхование в качестве ключевого способа минимизации рисков. В контексте кибербезопасности сегодня на рынке предлагается уже довольно широкий спектр видов страхования “киберответственности”.
Страховая политика для CFO становится важным инструментом управления последствиями кибератак и прочих инцидентов, связанных с компрометацией коммерческих данных. Некоторые политики предполагают фактическую уплату вымогаемой суммы, прочие – прямо указывают на неприменимость такого подхода с точки зрения “moral hazard” – “морального риска”. Но в любом случае, если такие политики где и существуют, надо присматриваться к ним внимательнее по причине многочисленных ограничений и исключений в плане страхового покрытия, которые они включают.
Если компания решает заняться этим, критическое значение для нее будет иметь понимание всех тонкостей и процедур обращения за страховым возмещением. Довольно часто политики в области кибербезопасности формулируются настолько жестко, что от держателя полиса требуется соответствие дополнительным условиям – в частности, проведение образовательных работ среди своих сотрудников по теме кибербезопасности, внедрение планов восстановления и обеспечения непрерывности деятельности.
Заключение
К сожалению, случаи кибератак с использованием программ-вымогателей становятся день ото дня все более частыми, и конца им не видно. С каждой выплатой вымогателям компании лишь стимулируют их продолжать вести свою вредоносную деятельность, а других – присоединяться к киберпреступникам. На данный момент панацеи против этого не существует, и никто не обладает иммунитетом.
С учетом всех сложностей с предотвращением случаев заражения компании должны сосредоточиться на обучении персонала – это, пожалуй, самые лучшие “инвестиции” в предотвращение атак. Следом идет обучение для повышения эффективности внедрения планов восстановления и обеспечения непрерывности деятельности на случай атаки.
Об авторах
Майкл Оверли (Michael Overly) и Аарон Тантлефф (Aaron Tantleff) – партнеры информационно-технологической и аутсорсинговой группы в юридической фирме Foley & Lardner LLP. И тот, и другой специализируются на консультациях в области информационной защиты, сохранности персональных данных и технологических транзакциях.