"В IT-безопасность необходимо вкладывать до 10% от оборота компании", — Артур Филатов, Tet

По данным McAfee и Центра стратегических и международных исследований (CSIS), в 2020 году мировая экономика потеряла более триллиона долларов из-за хакерских атак — на 50% больше, чем два года назад. Также участились случаи использования так называемых программ-"вымогателей", с помощью которых хакеры блокируют доступ к данным на компьютерах жертв и позволяют возобновить работу только после выкупа.

Ущерб, нанесенный хакерами в этом году, еще не подсчитали, но даже по самым приблизительным оценкам количество кибератак возросло, а с ними увеличились расходы бизнеса на ликвидацию последствий.

Корреспондент Delo.ua поговорила с руководителем бизнеса кибербезопасности латвийской компании Tet Артуром Филатовым о том, как защитить бизнес от атак хакеров, сколько это стоит и почему правоохранительным органам в Украине расследовать мошеннические действия киберпреступников сложно.

Артур, давайте простыми словами объясним читателю, что такое кибератака? Какие последствия могут быть? 

— Кибератаку я бы сравнил с любой другой атакой, например, террористической, или бандитским нападением. И первое, и втрое, и третье — спланированные действия на вас, вашу собственность или бизнес. Но цель и масштабы могут быть разными. Например, чтобы создать хаос в компании, затруднить работу бизнеса, выкрасть данные ради выкупа или перепродажи.

Механизмы кибератак в разных странах не отличаются, но происходят по разным причинам. Например, если причина геополитическая, в сети поднимаются острые вопросы для обсуждения в адрес другой страны. Если цель — человек, в сети активизируется обсуждение острых вопросов, которые могут навредить ему или его окружению. А в отношении бизнеса кибератаки происходят, конечно же, с целью наживы. 

Киберпреступность корректно называть системным теневым бизнесом? 

— Если 20 лет назад на киберпреступников смотрели, как на "спасителей", которые публиковали документы NASA или какие-то секретные файлы, благодаря которым общественность могла узнать скрытую информацию, то сейчас все изменилось. Киберпреступники стали кибербизнесменами, и их основная цель — зарабатывание денег. Еще их называют черными хакерами. 

Зарабатывание денег тоже делится на несколько уровней. Хакеры могут совершать несколько циклов атак: внедрять коды в инфраструктуру, зашифровывать данные. Дальше преступник решает — похищать данные или требовать деньги за их расшифровку. Но цель у него одна — заработок. 

Такие хакеры не атакуют, например, больницы, государственные структуры, спецслужбы и прочие структуры, где существует значительный риск разоблачения. Ведь у государства, как правило, есть ресурсы, чтобы найти злоумышленников. Плюс государство не будет платить деньги киберпреступникам. Например, власти США никогда не будут вести переговоры с террористами, а ставят задачу найти их и привлечь к ответственности.

Также есть киберпреступники, которые пытаются получить коды доступа через смартфоны или фишинговые сайты. И есть хакеры, которые создают фейковые сайты той или иной компании и общаются от ее имени, чтобы заполучить от доверчивых потенциальных клиентов предоплату. Допустим, привлекают внимание при помощи несуществующих скидок или подарков. Еще один вариант этой схемы — под видом сотрудников банка выманить данные банковской карты.

Еще есть так называемые белые хакеры, которые занимаются поиском вероятности утечки данных. К ним обращается сам бизнес, чтобы выявить в компании уязвимые места и заранее себя обезопасить.

Какие отрасли больше всего страдают от кибератак? 

— Преступники сейчас фокусируются на бизнесе с большими оборотами — ритейл и тяжелая промышленность. Их выбирают потому, что они активнее всего внедряют диджитализацию и, следовательно, становятся доступнее и для клиентов, и для атак.

В основном хакеры охотятся за данными о новых проектах, стройках, разработках, чтобы узнать коммерческие тайны, которые можно зашифровать или продать конкурирующим компаниям. Также в поле их зрения данные о закупках, складах, запланированных акциях, стоимости товаров и о том, откуда они поступают. Потеряв доступ ко всей этой информации, бизнес теряет большие деньги, поэтому готов платить выкуп за возобновление доступа к ней. 

Можете привести пример, в каких случаях кибератаки заказывают конкурирующие компании?

— Был случай с туристическим агентством. В туристический сезон крупные туроператоры соревнуются между собой в том, кто сформирует и предложит клиенту лучший туристический пакет. Один оператор посчитал, в какую сумму ему обойдутся спецакции, маркетинг, трансфер и налаживание контактов в других странах, чтобы создать интересный маршрут для туристов. Также он подсчитал, сколько нужно потратить на DDoS-атаку (нападение на компьютерную систему с целью сделать компьютерные ресурсы недоступными пользователям. — Delo.ua) на агентство конкурента. В итоге по деньгам выгоднее оказалась DDoS-атака.

Поэтому турагентство заплатило киберпреступникам, и они месяц атаковали сайт конкурента, который в пиковое для туризма время года "лежал" или плохо работал. Соответственно, компания не смогла ничего продать, а ее потенциальные клиенты ушли к турагенту — заказчику DDoS-атаки, на сайте которого услугу в это время можно было купить без проблем. 

Были ли случаи в Латвии, Украине или другой стране, когда из-за кибератак бизнесу пришлось закрыться? Расскажите о них.

— В 2011 году в Латвии был случай, когда у одного из ритейлеров из-за кибератак практически рухнули продажи. Потом у компании полностью сменилось руководство, но восстановить работу бизнеса удалось только через 4-5 месяцев. И ее убыток за этот период составил 20-30% от прогнозируемой прибыли.

Если говорить об Украине, то у Tet есть клиенты, которые на зашифровку данных жалуются ежегодно. Из-за этого им даже приходится на пару месяцев выходить из бизнеса. Однако сам бизнес они закрывают не полностью, а лишь некоторые отделы компании.

Самое интересное, что это представители крупного и среднего бизнеса, которые знают о своих уязвимых местах, но заранее ничего не делают по нескольким причинам. Во-первых, потому что устранить ошибку будет стоить, условно, 100 тысяч гривен, а при атаке они могут потерять 50 тысяч. Поэтому компания готова нести финансовые потери, чтобы не заморачиваться наперед. Во-вторых, в Украине еще не развита культура защиты данных, поэтому даже крупные компании не привыкли к этому. 

Если смотреть по миру, мы видим, что большим компаниям сложнее  реагировать на атаки, чем маленьким, так как у первых выстроено намного больше сложных процессов. Но кибербезопасность в любой компании должна быть в приоритете. 

Руководитель бизнеса кибербезопасности компании Тет Артур Филатов. Фото: пресс-служба Тет

Вы уже изучили рынок Украины и его проблемы в плане кибербезопасности. Можете оценить уровень кибербезопасности у нас? С какими проблемами в этом плане чаще всего сталкивается украинский бизнес?

— Я считаю, что украинский бизнес защищен  очень слабо. Общаясь с крупными компаниями, ритейлерами, производителями, мы видим, что у тех, кто смог нанять себе хороших IT-специалистов, все более-менее хорошо. Но это заслуга людей, которые смогли донести до собственников, что защита данных не просто должна быть, а должна быть на высоком уровне.

Компании, руководство которых не торопится инвестировать в IT, а больше думает о вложениях в другие направления, уязвимы. В IT-защиту нужно вкладывать любой компании, но это всегда часть затрат, которые в итоге не принесут прямых денег. Руководство часто смотрит на них как на минус, а не плюс. Украинские компании не проводят ежегодную оценку рисков, не проверяют уровень безопасности, не создают ее стратегию. Был случай, когда у крупной украинской компании, работающей в сфере химической промышленности, мы запросили стратегию кибербезопасности, но они сказали, что у них ее попросту нет.

В общем, создается впечатление, что украинским компаниям киберзащита не нужна. В других европейских странах мы видим совершенно иную тенденцию.

Ориентировочно, в какую сумму компании может обойтись ее кибербезопасность? 

— В идеале на IT-безопасность нужно выделять бюджет до 10% оборота компании, которые предусмотрены на расходы IT. Сегодня в среднем в странах Европы выделяют 3%, а в США — до 5%, но эта цифра постоянно растет.

Что нужно учитывать и делать бизнесу, чтобы защитить свои данные? Существует ли инструкция? 

— Универсальной инструкции нет, ведь киберзащита каждого бизнеса очень индивидуальна. Но однозначно всем нужно проводить оценку IT-безопасности и того, насколько существующая IT-стратегия соответствует этой компании. И делать это важно во всей компании, а не только в центральном офисе. Сравнить это можно с походом к врачу, который проведет комплексное медицинское обследование, а не сделает, допустим, только УЗИ одного органа.

Второе — это образовательная работа с сотрудниками. Важно повышать уровень знаний о кибербезопасности даже у работников складов. Например, проводить тренировки, тимбилдинги, обучать людей, чтобы они умели распознавать необычные и потенциально вредоносные действия на сайте, при звонках и в имейлах. 

Если, к примеру, на складе работает пожилой сотрудник, который не умеет полноценно пользоваться компьютерной техникой, как до него донести важность кибербезопасности? 

— Однозначно — не увольнять, а составить понятную технологическую карту и обучать на постоянной основе. Тестовые задания в этом случае не особо эффективны, ведь сотрудники могут автоматически ставить галочки, не вчитываясь в вопросы. Поэтому обучать нужно в формате тимбилдинга с участием руководства компании, чтобы показать важность такого обучения и знаний о кибербезопасности. 

А если, к примеру, речь идет об обучении персонала из IT-департамента, можно подключать тренировки между собой — проводить имитацию атак, чтобы сотрудники учились их распознавать и правильно реагировать. Если "всплывают" слабые места, тренировки продолжаем. Или подключаем компанию, которая на аутсорсе исключит все уязвимости.

И последняя из рекомендаций — всегда держать руку на пульсе. Компании стоит усилить охранный отдел, установить камеры, чтобы любую смену обстановки можно было заметить и предотвратить таким образом утечку данных. Действия сотрудников важно мониторить, чтобы была возможность оценить ситуацию и принять упреждающие решения до того, как что-то случится. 

Что в плане кибербезопасности может сделать МСБ, который не располагает финансовыми ресурсами для найма отдельной компании или даже просто соответствующего IT-специалиста?

— Малому бизнесу, конечно же, в этом плане сложнее. Но пока он маленький, риски невелики. При этом стоит учитывать, что малый бизнес может когда-то стать большим, но без IT-решений из-за кибератак  вырасти в нынешних реалиях будет сложно. Поэтому служба безопасности должна расти вместе с компанией. 

Если посмотреть на рейтинг Fortune 500 (рейтинг 500 крупнейших корпораций во всем мире по размеру дохода. — Прим. Delo.ua) и сравнить 2020 год с 2021-м, видим, что в лидерах сегодня технологические компании, такие как Microsoft, Google, а не производители, такие как Coca-Cola. Первые стали лидерами из-за технологических решений и высочайшего уровня безопасности в компании. К такому нужно стремиться любому бизнесу и в каждой стране.

В Украине достаточное количество специалистов и ресурсов для того, чтобы бизнес нанимал таких людей в штат на зарплату. Также эту услугу можно отдать на аутсорс — количество компаний, которые могут полностью взять на себя вопросы кибербезопасности, растет с каждым днем. К примеру, если в этом году емкость глобального рынка этих услуг оценивается в $2 млрд, то к 2025-му году он по прогнозам увеличится до $8 млрд. Также существуют компании, которые проводят мониторинг IT-инфраструктуры. Емкость этого рынка в мире оценивается сегодня в $400-700 млн при том, что через год-два он может вырасти до $1,5 млн.

Почему, на ваш взгляд, растет количество DDoS-атак в Украине? 

— Растет потому, что люди и компании готовы платить и платят за эту услугу. Однажды тот, кто решил организовать кибератаку на другую компанию, заплатил преступникам. Потом другие компании поняли, что так можно, нашли исполнителей и заплатили им, чтобы нанести ущерб конкурентам. Кроме того, рынок растят сами преступники, когда осуществляют атаки с целью заработать. 

Кибератаки — проблема не только бизнеса, но и государства. Почему, на ваш взгляд, в Украине сложно раскрывать такие преступления? Кто должен этим заниматься и какие скилы должны быть у этих людей?

— Киберполиции сложно раскрывать такие дела, поскольку к тому моменту, когда они приступают к расследованию, становится уже слишком поздно. Киберпреступники могут вывезти серверы или даже уничтожить их — хакеры знают, как замести следы. На подобные преступления должна быть мгновенная реакция, а наши следователи не обучены и не подкованы расследовать их с такого ракурса.

В идеале,  киберполиция должна состоять  на 60% из IT-специалистов  и на 40% из специалистов с юридическим образованием. Киберполицейский должен понимать, как думает и какие шаги совершает хакер, как работает черный рынок данных и как выйти на след преступника. 

По такому пути идет, например, Скотленд-Ярд, в котором есть целый департамент, занимающийся киберпреступлениями. Там работают люди, которые фокусируются только на расследовании преступлений кибермошенников. В Украине в правоохранительных органах таких специалистов пока нет, поэтому часть преступлений остается нераскрытыми.

Беседовала Наталья Лошакова, специально для Delo.ua