По материалам: CFO
Кибератаки на корпоративные системы с применением программ-вымогателей, к сожалению, становятся все более обыкновенным делом в наши дни. В этой небольшой статье – несколько советов относительно минимизации этого типа риска.
Довольно часто компании-жертвы, уже пострадав от атаки, фокусируются на самой очевидной финансовой стороне ущерба в результате каждого такого инцидента – на самом штрафе, требуемого программой-вымогателем. Однако с точки зрения финансового директора то, что не учитывается при этом никаким более-менее разумным образом – это потеря производительности, потерянные прибыли, ущерб деловой репутации, расходы на восстановление данных и т.д. и т.п.
Федеральное и муниципального законодательство еще может заставить компании отчитываться о взломе персональных данных, но если речь идет рассматриваемом здесь виде кибератак, очень значительное их число остается вне публичной отчетности, поэтому реальный масштаб ущерба – тайна за семью печатями. В отдельных случаях индивидуальная атака может представлять собой лишь звено в целой системе атак на инфраструктуру организации, что делает практически невозможным даже для самой компании-жертвы оценить специфический ущерб в ее случае.
Резюмируя, можно констатировать, что финансовые директоры сегодня прилагают значительные усилия для того, чтобы осознать финансовые последствия этих атак. А чтобы помочь им с пониманием этого – следовательно, и с нейтрализацией последствий – в статье обсуждаются типы возможного ущерба и приводятся рекомендации по совершенствованию систем контроля рисков информационной безопасности, в том числе и страхование от кибератак, проведенных с применением программ-вымогателей.
Обычно киберпреступники выбирают своей целью наиболее ценную информацию, хотя в действительности могут получить доступ к любой – скажем, маркетинговым материалам, платежным данным, интеллектуальной собственности, финансовым транзакциям, медицинским данным сотрудников и т.д.
Привлечение стороннего эксперта, способного произвести дешифровку информации – часто более дорогостоящее дело, чем простая уплата требуемой суммы за восстановление потерянных данных. При этом иногда восстановленные данные оказываются неполными, а полное восстановление все равно требует дешифровки, но к тому времени, когда организация понимает, что восстановление неполное, киберпреступник уже может уничтожить ключи шифрования и скрыться, что сделает полное восстановление вообще невозможным.
Если кибератака поражает определенные серверы, вредоносная программа способна распространиться по всей организации, проникнуть на компьютеры всех пользователей и, теоретически, даже на компьютеры третьих лиц, связанных с зараженным сервером или компьютером зараженного пользователя. Иногда программа распространяется и на резервные серверы, что для компании-жертвы означает, что даже “бэк-ап” в ее случае приведет лишь к повторному инфицированию систем и данных.
Эти программы-террористы способны брать конфиденциальные данные в “заложники”, угрожая их раскрытием широкой публике или продажей покупателю, предложившему наибольшую цену. Страх компаний перед такой возможностью служит очень сильным эмоциональным фактором и почти не оставляет времени сесть и рационально взвесить все возможности.
Общий подход к нейтрализации угрозы кибератак с использованием программ-вымогателей включает в себя следующие распространенные меры:
В случае если атака уже состоялась:
Финансовые директоры традиционно рассматривали страхование в качестве ключевого способа минимизации рисков. В контексте кибербезопасности сегодня на рынке предлагается уже довольно широкий спектр видов страхования “киберответственности”.
Страховая политика для CFO становится важным инструментом управления последствиями кибератак и прочих инцидентов, связанных с компрометацией коммерческих данных. Некоторые политики предполагают фактическую уплату вымогаемой суммы, прочие – прямо указывают на неприменимость такого подхода с точки зрения “moral hazard” – “морального риска”. Но в любом случае, если такие политики где и существуют, надо присматриваться к ним внимательнее по причине многочисленных ограничений и исключений в плане страхового покрытия, которые они включают.
Если компания решает заняться этим, критическое значение для нее будет иметь понимание всех тонкостей и процедур обращения за страховым возмещением. Довольно часто политики в области кибербезопасности формулируются настолько жестко, что от держателя полиса требуется соответствие дополнительным условиям – в частности, проведение образовательных работ среди своих сотрудников по теме кибербезопасности, внедрение планов восстановления и обеспечения непрерывности деятельности.
К сожалению, случаи кибератак с использованием программ-вымогателей становятся день ото дня все более частыми, и конца им не видно. С каждой выплатой вымогателям компании лишь стимулируют их продолжать вести свою вредоносную деятельность, а других – присоединяться к киберпреступникам. На данный момент панацеи против этого не существует, и никто не обладает иммунитетом.
С учетом всех сложностей с предотвращением случаев заражения компании должны сосредоточиться на обучении персонала – это, пожалуй, самые лучшие “инвестиции” в предотвращение атак. Следом идет обучение для повышения эффективности внедрения планов восстановления и обеспечения непрерывности деятельности на случай атаки.
Об авторах
Майкл Оверли (Michael Overly) и Аарон Тантлефф (Aaron Tantleff) – партнеры информационно-технологической и аутсорсинговой группы в юридической фирме Foley & Lardner LLP. И тот, и другой специализируются на консультациях в области информационной защиты, сохранности персональных данных и технологических транзакциях.