То, что киберриски должны войти в повестку советов директоров, стало ясно еще до начала пандемии – цифровизация подтвердила, что компании, посчитавшие эти риски стратегическими, поступили дальновидно. Недавний сбой у Facebook привел к миллиардным потерям капитализации компании, вирус в электронной почте, открытый сотрудником, стоил норвежской Norsk Hydro десятки миллионов долларов расходов, последствия нашествия вирусов шифровальщиков в 2017 году, сбои онлайн-касс… Это лишь некоторые примеры киберинцидентов, в результате которых компаниям грозят потери данных, расходы на IT, потери от перерыва деятельности, юридические расходы, а также репутационные потери. Как избежать киберрисков, разбирались участники онлайн-заседания Комитета Ассоциации профессиональных директоров (АНД) по новым технологиям, инновациям и кибербезопасности. Мероприятие состоялось в декабре 2021 года.
Халвор Молланд, старший вице-президент Norsk Hydro:
– Наша компания занимается производством алюминия в глобальных масштабах. По всему миру на нас работают практически 35 тысяч человек. 18 марта 2019 года мы объявили нового генерального директора – первого гендиректора-женщину с момента основания в 1905 году. В полночь того же дня заметили первые признаки кибератаки и приняли решение отключить все 23 тысячи компьютеров и 3 тысячи серверов, поскольку половина серверов и компьютеров были заражены, а 10 компьютеров и серверов зашифрованы шифровальщиком.
Нас часто спрашивают: каким образом мы смогли так быстро собрать весь совет директоров, чтобы оперативно принять решение об отключении оборудования. Ранее в рамках обучения мы отключали всю технику с задействованием минимального количества директоров. И хотя мы репетировали, тренировались, отрабатывали реагирование на такие ситуации, в действительности инцидент оказался более масштабным. Прежде всего, пришлось собрать группу быстрого реагирования нашей корпорации, которая бы решала возникшую проблему. Мы использовали различные средства информации, чтобы сообщить сотрудникам, что компания находится под кибератакой, и попросили их не подключать свои компьютеры к корпоративной сети до следующего уведомления.
Мы решили не платить шифровальщику, а искать другой выход, и открыто сообщили о случившемся – первое сообщение было опубликовано на бирже еще до ее открытия в 8.30 утра. В этот же день в 15 часов мы провели первый пресс-брифинг и аналитический брифинг и далее регулярно информировали о развитии ситуации либо в рамках пресс-конференции, либо в виде пресс-релизов и объявлений на бирже. Наши инвесторы отметили, что мы выбрали самый лучший план реагирования на чрезвычайные ситуации. Об этом же написали и Bloomberg: «Hydro запустила лучший план реагирования на инциденты, который мы когда-либо видели: у них был временный веб-сайт, они рассказали об инциденте прессе и своим сотрудникам, не скрывая никаких деталей посредством ежедневных веб-трансляций. Цена их акций выросла, несмотря на трудный торговый период за последние два года. На веб-сайте Hydro сообщается, что восстанавливать системы им помогают специалисты Microsoft и других компаний. Они также взаимодействовали с национальными органами по борьбе с киберпреступностью, отраслевыми группами и органами полиции. Инцидент сейчас расследуется полицией. Финансовый директор Hydro говорит, что у них есть резервные копии данных, которые они пытаются восстановить».
Вместе с тем, мы увидели, что наше производство сократилось практически на 50% – не потому, что мы не могли производить, а потому, что вся необходимая информация была на зашифрованных серверах. Это сильно сказалось на стоимости наших акций – они, как это ни удивительно, выросли. Думаю, это произошло потому, что люди доверяют нашей компании, и еще потому, что мы открыто сообщили о возникшей проблеме.
Данный инцидент стал для нас хорошим уроком. Мы трансформировали свой опыт и имеющиеся компетенции таким образом, чтобы они позволили отреагировать на кибератаку. Нам пришлось действовать иначе, чем при каких-либо физических и управленческих инцидентах. У нас были бэкапы (резервные копии), которыми мы смогли воспользоваться.
Полезной оказалась практика страхования от киберрисков, внедренная несколько лет назад. Это первое подобное страхование для нашей компании. Мы задокументировали убытки и потери на 75 миллионов евро, но, безусловно, были и дополнительные расходы, которые не удалось задокументировать.
Если говорить о долгосрочных улучшениях, реализованных в нашей компании после кибератаки, прежде всего, стоит упомянуть, что мы сфокусировали внимание на обучении конечных пользователей. Мы поняли: не стоит полагаться на то, что все сотрудники будут делать правильные вещи и всегда будут принимать правильные решения, поэтому необходимо обеспечить технические барьеры, использовать системы мониторинга. Была создана отдельная команда по реагированию на кибератаки. Мы усилили осведомленность сотрудников о таких рисках на всех уровнях для того, чтобы они были более осторожными. Кроме того, усилили сегрегацию между системами управления и общими ИТ-системами, поскольку данная атака главным образом была нацелена не на операционную сеть и не на операционную систему, а непосредственно на ИТ-инфраструктуру. Сегрегация позволяет оптимизировать управление рисками. Усиливая взаимодействие, мы усиливаем устойчивость системы.
Важный момент: совет директоров не был вовлечен на первом этапе реализации программы реагирования на кибератаку – все решения и управление ситуацией взял на себя оперативный отдел нашей компании и ее руководство. Получив информацию о случившемся, совет директоров подключился и вступил с нами в диалог. Наибольшую активность он проявил в вопросе усиления устойчивости компании к таким атакам.
Опираясь на свой опыт, рекомендуем компаниям обратить внимание на то, какой механизм у них задействован для гарантии устойчивости к кибератакам и минимизации киберррисков. Обязательно убедитесь, что сможете восстановиться после атаки, ведь в современном мире киберриски достаточно высоки, и никто не застрахован от подобных инцидентов.
Владимир Федин, независимый эксперт по IT, ex-CIO Инвитро:
– Летом 2017 года в техническую поддержку Инвитро стали поступать алерты и уведомления о том, что с компьютерами происходит что-то странное. Оказалось, мы подверглись атаке шифровальщика. Оперативно было принято решение об отключении устройств от сети. Одновременно мы уведомили об инциденте наших клиентов и сотрудников.
Начав оценивать ущерб, поняли, что практически вся наша инфраструктура была зашифрована. Мы решили не платить злоумышленникам и проводили восстановление из бэкапов. Плюсом для нас было то, что мы постоянно проверяли доступность и возможность восстановления из бэкапов, то есть гарантированно имели резервные копии для восстановления, которое заняло порядка двух недель – такой срок был обусловлен скоростью чтения данных и их записью, то есть передачей данных.
Когда мы отключили оборудование, фактически приостановилась работа всей компании. Она не могла оказывать услуги, так как весь процесс работы с биоматерилами управляется централизованной системой. Мы были вынуждены простаивать 10 дней.
Возвращаясь к киберинциденту. Он начался со вполне легитимного письма: взломав инфраструктуру налоговой службы Украины, злоумышленники направили в наше украинское представительство письмо якобы от налоговой, в котором говорилось, что нужно пройти по какой-то ссылке. Средства безопасности заблокировали это письмо, но бухгалтер, увидев, что мы не разрешаем ему отработать обращение, принял решение о том, что средства безопасности нужно отключить, и поставил соответствующую задачу инженеру. Тот, в свою очередь, послушался бухгалтера.
Не стоит возлагать функцию информационной безопасности на службу технической поддержки, поскольку она, а также любые ИТ-сотрудники без соответствующего опыта стараются сделать максимально удобной, прежде всего, свою работу.
После этого инцидента мы кардинально пересмотрели систему безопасности, максимально изолировав каждый сегмент сети от соседнего сегмента таким образом, что если бы мы в будущем подверглись какой-либо атаке, то могли бы восстановить только ту часть, которая пострадала от действий злоумышленников или была повреждена. Мы перестроили инфраструктуру так, что восстановление данных у нас стало занимать существенно меньше времени. На момент моего ухода из компании мы проводили опыты по восстановлению состояния 0, суммарное время занимало до четырех часов. Кроме того, при поддержке совета директоров удалось внедрить систему безопасности совсем другого класса.
Я бы рекомендовал коллегам обратить внимание на то, каким образом в их компаниях построено подразделение по безопасности. Не стоит возлагать функцию информационной безопасности на службу технической поддержки, поскольку она, а также любые ИТ-сотрудники без соответствующего опыта стараются сделать максимально удобной, прежде всего, свою работу. Не секрет, что средства безопасности зачастую блокируют работу различных сервисов и мешают работать, и их либо отключают, либо постоянно проводят с ними какие-то манипуляции. В подразделение информационной безопасности должны входить профессионалы с соответствующими компетенциями.
Влад Прикмета, директор отдела форензик-бухгалтерии Baker Tilly London:
– Наша компания специализируется на расчете убытков. В частности, наш отдел занимается расчетом убытков в результате кибератак и других инцидентов, которые застрахованы.
Еще 10 лет назад очень мало было известно про страхование киберрисков, для нас это была новая зона деятельности. В основном мы считали убытки в результате аварий, пожаров, но за последние годы убытки от кибер-атак значительно выросли.
Часто, когда говорится про киберстрахование, почему-то считается, что подобные инциденты происходят в других странах – США, Европе. Дело в том, что в России и постсоветских странах не много примеров, когда убытки были застрахованы. Нередко бизнес рассуждает так: даже если другие компании и сталкиваются с кибератаками, с нами этого не произойдет, потому что мы подготовились к этому риску. Но я могу привести пример кибератаки на ИТ-компанию, представляющую широкий спектр услуг – консалтинг, программное обеспечение, аутсорсинг. У нее есть представительства в Европе и США. Основная ИТ-работа происходила в Восточной Европе, а клиентура находилась по всему миру. Они работают с крупнейшими компаниями на разных проектах. В результате атаки вируса-вымогателя произошла блокировка систем, были потеряны данные, в основном личные данные сотрудников и немного кода. Большой плюс, что не были потеряны данные клиентуры и данные кода клиентов.
Компания хорошо подготовилась к инцидентам такого рода, что подтверждает скорость ее реагирования: в течение 10 часов было выявлено присутствие вируса, в течение 24 часов его удалось изолировать и предотвратить распространение по системам компании и клиентов. Для этого пришлось прервать контакт между своей системой и системой клиентов, компания не могла продолжать работу. К восстановлению они отнеслись серьезно, за 30 дней восстановили все бэкапы и соединения. На расследование инцидента потребовалось 45 дней, и в течение 90 дней были приняты меры по защите системы и предотвращению повторных заражений.
Большой плюс в том, что риск-менеджмент компании принял решение о необходимости приобретения страховки от кибератак – у них был договор страхования, покрывающий убытки по всему миру. Триггером, то есть когда срабатывает этот убыток, в договоре был прописан киберинцидент, влияющий на деятельность компании, что было определено как несанкционированные доступ/изменение системы и/или ограничение доступа к системе в результате действий третьих лиц или несанкционированных действий сотрудников с использованием любых электронных методов (вирус, хакерская или DDOS-атака). Определение достаточно широкое, произошедший инцидент попадал под него. Страховая компания быстро подтвердила, что убыток покрывается. Период покрытия составил шесть месяцев. Также была франшиза – период, когда убытки не покрываются, она составила всего восемь часов; таким образом, основная часть убытков была вне франшизы. Покрытие было довольно-таки широкое. Во-первых, была потеря прибыли, связанная с влиянием инцидента на деятельность. Во-вторых, дополнительные расходы: на восстановление цифровых данных, юридические расходы, на расследование причин, на управление в кризисных ситуациях, репутационные потери, ответственность перед третьими лицами, кибер-вымогательства и замена оборудования, если в результате кибератаки оно перестает работать. Компании удалось заявить о расходах, и возмещение составит основную часть понесенных расходов. Основное исключение было по улучшениям. Это стандартное исключение для договоров страхования как по имуществу, так и для киберстрахования.
90% киберугроз – это традиционная киберпреступность (cyber crime), еще 9,9% – целевые атаки на организации и 0,1% киберугроз – это кибероружие, а именно очень сложные и качественно сделанные вредоносы.
Давайте посмотрим, какие были убытки и почему они появились. Во-первых, это убытки, связанные с потерей прибыли. Так как был потерян доступ к системам клиентов, компания не могла продолжать работать на разных проектах. Ей пришлось приостановить деятельность в рамках 20 проектов, из-за этого снизилась выручка. Часто компания работала по контрактам, где была прописана сумма контракта на каждый месяц, но так как они не могли вести работу, клиенты обоснованно запросили снижение стоимости услуги в этот месяц. По некоторым клиентам они работали по часовой ставке и, соответственно, здесь тоже было уменьшение выручки.
Главное, что компании удалось избежать потери клиентов и проектов, так как они быстро отреагировали и вирус не распространился на других клиентов, они хорошо и продуманно минимизировали последствия с точки зрения перенаправления сотрудников и дедлайнов.
Обычно, когда мы считаем убытки прибыли, рассматриваем, какая была потеря выручки, но нужно посмотреть и на расходы. В этой ситуации снижение расходов было минимальное, в основном оно было связано со сверхурочными, которые платятся сотрудникам. Вторая часть убытков была связана с дополнительными расходами – такими, как PR, юридические услуги/консультации, замена документов сотрудников и оплата кредитного мониторинга, восстановление систем (этим занимались субподрядчики), мониторинг систем для защиты от повторного заражения, консультации по предотвращению, расследование инцидента.
Работа с претензией компании еще ведется, но уже сейчас можно отметить, что страховое возмещение составит порядка 90% убытка, за исключением улучшений и мер по предотвращению.
Алексей Шульмин, ведущий аналитик вредоносных программ АО «Лаборатория Касперского»:
– Каждый день мы в «Лаборатории Касперского» детектируем 360 тысяч уникальных вредоносных объектов. Речь идет о войне роботов, то есть роботы генерируют эти вредоносные объекты, они же их и детектируют. Примерно 99% от нашего входящего трафика обрабатывается автоматически, а общее количество образцов нашей вирусной коллекции уже превысило один миллиард.
Если посмотреть состав киберугроз на сегодняшний день, можно отметить, что 90% киберугроз – это традиционная киберпреступность (cyber crime). Инициаторы таких атак – финансово-мотивированные акторы, использующие вредоносное ПО, написанное с целью похищения денег. Еще 9,9% – целевые атаки на организации. Они тоже могут быть финансово мотивированными, но здесь атакующие знают, против кого работают. Это довольно длительные атаки – по нашим оценкам, с момента, когда атакующие прорвались в инфраструктуру, до того, как они причинили зло, проходит до полугода. Злоумышленники исследуют сеть, перемещаются, закрепляются и в конечном итоге делают так, чтобы бизнес был под угрозой. 0,1% киберугроз – это кибероружие, а именно очень сложные и качественно сделанные вредоносы. Мы видели кейсы, когда вредонос делался под конкретную жертву и содержал более 80 независимых модулей. За таким кибероружием стоят, как правило, разведки каких-либо государств, они не ограничены в средствах. Если мы имеем дело с кибероружием, то нужно говорить не о том, чтобы предотвратить заражение, а о том, чтобы вовремя выявить его и отреагировать.
В первом полугодии 2021 года организации из США заплатили вымогателям свыше 600 миллионов долларов, а совокупный объем средств, полученных наиболее успешными группами злоумышленников, за последние три года составил порядка 5,2 миллиарда долларов.
Остановлюсь на основных трендах 2021 года. Первый – это трояны-вымогатели и ransomware 2.0, которые причиняют вред бизнесу и ставят его дальнейшую деятельность под угрозу. Второй – сотрудничество APT-группировок (APT – advanced persistent threat, постоянная серьезная угроза) и киберпреступников, когда киберпреступники занимаются обеспечением начального доступа. Схема следующая: злоумышленники, имеющие серьезный арсенал вредоносных средств, нанимают на форумах в даркнете (DarkNet – скрытая сеть) киберпреступников, обеспечивающих начальный доступ в организацию, после чего этот начальный доступ продается или передается в руки злоумышленников, которые уже заходят, исследуют сеть и полностью шифруют ее. Третий тренд – продолжающаяся эксплуатация темы COVID-19. Четвертый – киберпреступные группы объединяют силы: создаются картели, которые взаимно занимаются разработкой доступа в инфраструктуру – кто-то пишет шифровальщик, кто-то его доставляет, кто-то – «раскатывает» его внутри организации, кто-то занимается отмывом денег. Кроме того, группировки открывают филиалы и занимаются подбором персонала. Например, известная группировка REvil (организованная группа киберпреступников, предоставляющая услуги программ-вымогателей (ransomware).– Прим.авт.) оставила залог на форуме, посвященном вредоносному ПО, в размере одного миллиона долларов, чтобы показать – она вполне обеспечена финансово и заинтересована в привлечении новых сотрудников. Пятый тренд – продолжается эксплуатация «темных пятен»: злоумышленникам интересно все, что у вас плохо проанализировано, их интересует любой быстрый, легкий доступ в сеть организации, где они намерены остаться и в дальнейшем совершить какое-то злодеяние.
По данным Сети по борьбе с финансовыми преступлениями Министерства финансов США (The Financial Crimes Enforcement Network, FinCEN), в первом полугодии 2021 года организации из США заплатили вымогателям свыше 600 миллионов долларов, а совокупный объем средств, полученных наиболее успешными группами злоумышленников, за последние три года составил порядка 5,2 миллиарда долларов.
Экосистема защиты должна включать такие аспекты, как киберграмотность, поиск угроз, отчеты об APT, профессиональные тренинги, оценка безопасности, защита от таргетированных атак, средства обеспечения безопасности для конечных устройств.
Одним из главных трендов 2019–2021 годов стал так называемый Ransomware 2.0 (шифровальщик-вымогатель). До 2019 года шифровальщики совершали автоматизированные массовые атаки на бизнес и обычных пользователей, после чего злоумышленники требовали выкуп за расшифровку файлов. Действенными контрмерами были антивирусная защита и регулярное резервное копирование. Сейчас, в эпоху Ransomware 2.0, бэкап вас не спасет: атаки стали более целевыми, они ведутся на крупный и сверхкрупный бизнес, в том числе с оборотом свыше 10 миллиардов долларов, с кражей конфиденциальных данных. То есть жертвами злоумышленников становятся те, у кого точно есть деньги на выкуп. Данные сегодня не только шифруются, но и похищаются, а киберпреступники требуют выкуп как за расшифровку, так и за то, что эти данные не окажутся в публичном доступе. Если организация не платит, злоумышленники начинают выкладывать данные в общий доступ: сначала в даркнете публикуют 10% от украденного, выкуп при этом возрастает, потом 20% и так до тех пор, пока у компании не сдадут нервы.
Подобные случаи болезненны для бизнеса, поскольку влекут репутационные потери, плюс среди украденного могут оказаться и персональные данные. В целом очень неприятно, когда контрагенты понимают, что вся ваша внутренняя и внешняя переписка сливается в дарк-нет. Здесь контрмерой должна быть комплексная защита организации от целевых атак. Простые методы защиты более не работают. Сегодня уже недостаточно просто соблюдать цифровую гигиену. Поскольку количество угроз выросло в 700 раз, нужно выстраивать экосистему защиты. Для этого есть различные пути, и разные по размеру организации могут выбрать те, которые подходят именно им. На наш взгляд, экосистема защиты должна включать такие аспекты, как киберграмотность, поиск угроз, отчеты об APT, профессиональные тренинги, оценка безопасности, защита от таргетированных атак, средства обеспечения безопасности для конечных устройств и другие.
Елена ВОСКАНЯН
