Кибербезопасность: проблемы и пути решения
Кибербезопасность - это непрерывный цикл попыток устранить недостатки и выдумать атакующего. В настоящее время лучшее, что могут предпринять защитники, - это сделать хакерские атаки дорогостоящими для злоумышленников с точки зрения денег, времени, ресурсов и исследований.
/ Мартин Либицки, старший научный сотрудник RAND Corporation/
Информационные риски - настоящий бич современного бизнеса. Но полностью изолировать компанию от рисков такого рода в наше время просто невозможно: отсутствие официального сайта у компании отрицательно сказывается на рейтинге и доверии к ней, большинство платежей осуществляются через интернет-банкинг (что позволяет значительно сэкономить время), налоговая и иные формы отчетности также преимущественно представляются в органы регулирования и надзора в электронной форме.
Все это приводит к тому, что расходы на информационную безопасность за последние десять лет вошли едва ли не в десятку самых крупных статей расходов большинства средних и крупных компаний по всему миру.
Согласно исследованиям RAND Corporation (некоммерческая исследовательская организация), компании тратят все больше средств на инструменты кибербезопасности, - эти расходы уже превысили 100 млрд. долларов США в год и ежегодно растут на 10-15%, - но при этом не убеждены, что их базы данных действительно защищены.
Большинство руководителей служб информационной безопасности считают, что хакеры только выигрывают от использования компаниями защитных систем и опережают их в развитии как минимум на 5 лет.
Предсказывать будущее кибербезопасности сложно, потому что многие сведения содержатся в тайне, и никто полностью не уверен в методах, используемых злоумышленниками для проникновения в системы, а сами компании не хотят раскрывать принимаемые ими меры безопасности. Уровень технического обеспечения и навыки хакеров постоянно растут, побуждая компании к непрерывной разработке и внедрению более сильных и инновационных механизмов защиты.
Статистика крупнейших кибер-взломов с 2013 по 2020 годы показывает, что наиболее частыми объектами хакерских атак являются персональные данные физических лиц, использование и / или угроза использования которых могут принести злоумышленникам финансовую выгоду.
Год | Наиболее крупные хакерские атаки |
---|---|
2013 | Взломаны 3 миллиарда учетных записей Yahoo, что стало одним из крупнейших взломов за всю историю. |
2014-2018 | Информация 500 миллионов потребителей, начиная с 2014 года, была скомпрометирована в результате утечки данных Marriott-Starwood, обнародованной в 2018 году. |
2016 | Uber сообщил, что хакеры украли информацию более 57 миллионов его пассажиров и водителей. Uber попытался расплатиться с хакерами, чтобы они удалили украденные данные и замолчали. |
2017 | 1. Вирусом Wannacry было заражено 100 тасяч групп по крайней мере в 150 странах и более 400 тысяч машин на общую сумму около 4 миллиардов долларов. 2. С сайтов Friendfinder было украдено 412 миллионов учетных записей пользователей. Данные использовались для шантажа. 3. 147,9 миллиона потребителей пострадали от взлома Equifax. Этот взлом в общей сложности обошелся компании более чем в 4 миллиарда долларов, которые она выплачивает до сих пор. 4. Вирусом Petya были заражены компьютеры и компьютерные системы различных компаний во Франции, Германии, Италии, Польше, США, Великобритании, России и Украине. Большая часть заражений пришлась на Россию и Украину, где было атаковано более 80 компаний, в том числе Национальный банк Украины. |
2018 | Under Armour сообщил, что его «My Fitness Pal» был взломан, что затронуло 150 миллионов пользователей. |
2019 | В результате утечки данных MGM хакеры украли записи о 142 миллионах гостей отелей. |
2020 | 1. Взлом Twitter был нацелен на 130 учетных записей, в том числе – аккаунты прошлых президентов США и Илона Маска, в результате чего злоумышленники обманули пользователей на 121 тысячу долларов в биткойнах с помощью почти 300 транзакций. 2. Компания Marriott обнаружила утечку информации, затронувшую персональные данные более 5,2 миллионов гостей отеля. |
Переломным в отношении кибербезопасности стал 2017 год. Именно после хакерских атак с применением вирусов WannaCry и Petya, практически парализовавших работу крупных компаний по всему миру, интерес руководства компаний к информационной безопасности перестал быть поверхностным, а пессимизм в отношении эффективности принимаемых мер защиты возрос в геометрической прогрессии. Все дружно заговорили о необходимости проведения соответствующей работы. Но пошло ли дело далее разговоров?
Проведенный в 2017 году компанией Netwrix Corporation опрос 723 ИТ-специалистов из разных отраслей и стран мира об угрозах информационной безопасности, с которыми они сталкиваются каждый день, дал весьма неутешительные результаты, свидетельствующие о том, что отношение к информационной безопасности со стороны руководства большинства компаний был весьма далек от серьезного.
Так, в 2017 году 65% организаций не имели специального лица или отдела, ответственного за кибербезопасность. Из оставшихся 35 % только 13% использовали передовые технологии для управления информационной безопасностью и рисками. Более 30% ИТ-специалистов не знали, что происходит с данными, хранящимися в сторонних центрах обработки данных, и только 25% опрошенных ИТ была доступна полная видимость процессов, происходящих в их собственной сети. Таким образом, контроль систем информационных баз данных фактически отсутствовал.
По мнению участников опроса 2017 года, наибольшая угроза кибербезопасности исходила от тех, кто имеет законный доступ к внутренним системам: сотрудники (66%), поставщики, подрядчики, партнеры и другие третьи стороны (9%). Только 25% опрошенных ИТ-специалистов указали, что хакеры являются основной угрозой.
Основными причинами инцидентов безопасности 2016 и 2017 годов были вредоносное ПО и человеческие ошибки. Однако только около 8% компаний заявили, что испытывают внешние вторжения или несанкционированный доступ.
Изменилось ли что-нибудь за последние 3 года?
На протяжении последних 3 лет количество и серьезность нарушений информационной безопасности постоянно росли.
Согласно оценкам экспертов, кибер-риски вошли в топ-5 основных финансовых рисков компаний. Средняя стоимость утечки данных в 2019–2020 гг. составила около 4 миллионов долларов США.
Неутешительным является тот факт, что компании не в состоянии своевременно обнаружить и ликвидировать утечку информации. Так, согласно данным исследований IBM, среднее время выявления нарушения безопасности данных в 2019 году составляло 7 месяцев, а средний цикл нарушения с момента проникновения до локализации длился 11 месяцев.
По оценкам данных за 2020 год только около 5% общего объема баз данных компаний оказались защищены должным образом.
На сегодняшний день хакеры атакуют компании примерно 1 раз в 39 секунд или 2244 раза в день. В результате утечки данных раскрывается конфиденциальная информация, пользователи подвергаются риску кражи личных данных, разрушается репутация компаний.
Большинство компаний, которые должны соблюдать правила информационной безопасности (ИБ) сталкиваются с проблемами при проведении проверок.
Согласно опросу IDG Research Services, проведенному по заказу Insight в 2021 году, только 57% компаний провели оценку рисков безопасности данных в 2020 году.
Около 80% руководителей подразделений ИТ-безопасности считают, что, несмотря на увеличение инвестиций в ИТ-безопасность в 2020 году, их организации недостаточно защищены от кибератак, 91% компаний увеличили планируемые расходы на безопасность на 2021 год.
На фоне пандемии в 2020 году по сравнению 2019 вдвое возросло количество взломов и краж личных данных. В результате перехода на удаленную работу значительно расширилась поверхность кибератак и добавилось множество уязвимостей домашних офисов, которые хакеры успешно используют. Кроме того, автоматические атаки хакеров и возможность конвертировать криптовалюты с помощью программ-вымогателей увеличивают стоимость киберпреступности. Более 90 процентов успешных взломов и утечек данных происходят из-за фишинга.
В соответствии с оценками экспертов, ущерб от программ-вымогателей в 2021 году будет в 57 раз больше, чем в 2015 году, а к 2025 году киберпреступность будет обходиться миру примерно в 10,5 триллионов долларов США в год.
Основные препятствия на пути к информационной безопасности не изменились. Ими по-прежнему являются нехватка бюджета и времени и недостаточная подготовка персонала департаментов ИТ-безопасности.
Создание эффективной системы информационной безопасности остается сложным и трудоемким процессом, требующим осуществления значительных финансовых затрат и проведения организационных и обучающих мероприятий.
Тенденции кибербезопасности – 2021
2020 год принес множество изменений, повлекших за собой значительный рост киберрисков.
COVID-19 вынудил компании использовать удаленную рабочую силу и работать с облачными платформами. В результате, удаленные офисы и сотрудники немедленно стали мишенью для киберпреступников, увеличилось количество утечек данных в облачные сервисы.
Внедрение 5G повысило пропускную способность интернет – устройств в несколько раз, однако это сделало их более уязвимыми для кибератак.
Ожидается, что количество подключенных к Интернету устройств увеличится с 31 миллиарда в 2020 году до 35 миллиардов в 2021 году и 75 миллиардов в 2025 году. Логично предположить, что пропорционально росту количества интернет-устройств вырастут и попытки несанкционированного доступа к этим устройствам.
Нехватка навыков кибербезопасности как на уровне пользователя, так и на уровне администраторов системы, остается бичом компаний и индивидуалов.
Опираясь на вышеизложенное, можно выделить следующие основные тенденции развития кибербезопасности компаний на 2021 год:
- Использование альтернативного подхода к анализу и предупреждению рисков безопасности в связи с наличием удаленных домашних офисов, фактически размывших географические контуры и зоны доступа систем безопасности информационных баз данных.
- Увеличение расходов на кибербезопасность и обучение персонала (от пользователя до администратора системы).
- Разработка и внедрение автоматических систем отслеживания и поведенческого анализа изменения данных, доступа в систему, автоматических процессов основной программы и активности пользователей системы на предмет нетипичного поведения.
- Разработка, освоение и внедрение новых информационных технологий, обеспечивающих ограничение доступа и защиту целостности информационных баз данных.
Что же организации планируют делать дальше?
Большинство компаний построили более или менее успешную защиту периметра и понимают, что люди с чрезмерными привилегиями и полномочиями могут нанести больший вред конфиденциальным данным и/или непрерывности бизнеса, чем противник извне.
Специалисты по ИБ ставят защиту данных в перечень своих самых важных целей в повестке дня. Растет понимание того факта, что создание эффективной кибер-устойчивости должно иметь свои корни внутри организации и ее сотрудников.
Кроме того, существует понимание, что предотвращение абсолютно всех угроз не является возможным даже при неограниченных ресурсах. И, безусловно, компаниям придется адаптировать свою деятельность к постоянно меняющейся природе киберугроз.
В целом, тенденции 2017-2020 гг. позитивны, и можно отметить много улучшений в том, как организации готовятся к решению проблем, применяя более комплексный подход к минимизации кибер-рисков и защите ценных активов.
На фоне перечисленных тенденций сохраняется желание владельцев бизнеса нивелировать свои финансовые потери и потери деловой репутации на случай, если взлом системы и утечка данных все-таки произойдут, используя для этого страховые механизмы. Рынок страхования киберрисков растет и развивается параллельно этой отрасли.
Согласно статистическим данным, в 2015 году рынок страхования киберрисков составлял примерно 1,5 млрд. долларов США, к 2018 году его объем вырос до 4,85 млрд. долларов США, а к 2020 году – до 7,8 млрд. долларов. В соответствии с оценками экспертов, при сохранении существующих тенденций роста, прогнозная стоимость страхования киберрисков к 2025 году составит 20,4 млрд. долларов США.
С моделью полиса страхования киберрисков, предлагаемой нашей компании вы можете ознакомиться по ссылке: https://www.pitsasinsurances.com/ru/products/cyber/
В настоящей статье Pitsas Insurances использованы данные, полученные из нижеследующих источников:
- Исследование «Дилемма защитника: определение курса к кибербезопасности», которое можно найти на сайте RAND Corporation.
- 2017 Cyber Risk Survey Report (сайт www.willistowerswatson.com).
- 2017 IT Risks Report (www.netwrix.com).
- Материалы, опубликованные на вебсайте Statista.
- Материалы, опубликованные на сайте Allianz Global Corporate & Specialty (AGCS).
- Материалы сайта RAND Corporation.
- Материалы журнала Cybercrime Magazine.
- Материалы сайта RISKIQ.
- Материалы сайта Security Intelligence.
- Материалы сайта Ponemon Institute.
- Материалы и данные сайта CompariTech.
- Материалы и информация, опубликованные на сайте компании Varonis.
- Материалы и исследования компании IBM.
- Материалы и исследования компании IDG Incorporation.
- Материалы сайта Security Today.
Компания Pitsas Insurances,
Инна Иванова
23 марта 2021 года
Лимасол, Кипр