"В IT-безпеку необхідно вкладати до 10% від обороту компанії", - Артур Філатов, Tet

За даними McAfee та Центру стратегічних та міжнародних досліджень ( CSIS ), у 2020 році світова економіка втратила більше трильйона доларів через хакерські атаки — на 50% більше, ніж два роки тому. Також почастішали випадки використання так званих програм-"здирників", за допомогою яких хакери блокують доступ до даних на комп'ютерах жертв і дозволяють відновити роботу тільки після викупу.

Збитки, завдані цього року хакерами, ще не підрахували, але навіть за найбільш приблизними оцінками кількість кібератак зросла, а з ними збільшилися витрати бізнесу на ліквідацію наслідків.

Кореспондент Delo.ua поговорила з керівником бізнесу кібербезпеки латвійської компанії Tet Артуром Філатовим про те, як захистити бізнес від хакерських атак, скільки це коштує і чому правоохоронним органам в Україні розслідувати шахрайські дії кіберзлочинців складно.

Підписуйтеся на YouTube-канал delo.ua

Артуре, давайте простими словами пояснимо читачеві, що таке кібератака? Які наслідки можуть бути?

— Кібератаку я порівняв би з будь-якою іншою атакою, наприклад, терористичною, або бандитським нападом. І перше, і втричі, і третє – сплановані дії на вас, вашу власність чи бізнес. Але ціль і масштаби можуть бути різними. Наприклад, щоб створити хаос у компанії, утруднити роботу бізнесу, викрасти дані заради викупу чи перепродажу.

Механізми кібератак у різних країнах не відрізняються, але відбуваються з різних причин. Наприклад, якщо причина є геополітичною, в мережі піднімаються гострі питання для обговорення на адресу іншої країни. Якщо ціль — людина, у мережі активізується обговорення гострих питань, які можуть зашкодити йому чи його оточенню. А щодо бізнесу кібератаки відбуваються, звичайно, з метою наживи.

Кіберзлочинність коректно називати системним тіньовим бізнесом?

— Якщо 20 років тому на кіберзлочинців дивилися, як на "рятівників", які публікували документи NASA або якісь секретні файли, завдяки яким громадськість могла дізнатися про приховану інформацію, то зараз усе змінилося. Кіберзлочинці стали кібербізнесменами, і їхня основна мета — заробляння грошей. Ще їх називають чорними хакерами.

Заробляння грошей також поділяється на кілька рівнів. Хакери можуть здійснювати кілька циклів атак: впроваджувати коди в інфраструктуру, зашифровувати дані. Далі злочинець вирішує — викрадати дані чи вимагати гроші за їхнє розшифрування. Але ціль у нього одна — заробіток.

Такі хакери не атакують, наприклад, лікарні, державні структури, спецслужби та інші структури, де є значний ризик викриття. Адже держава, як правило, має ресурси, щоб знайти зловмисників. Плюс держава не платитиме гроші кіберзлочинцям. Наприклад, влада США ніколи не вестиме переговори з терористами, а ставить завдання знайти їх і притягнути до відповідальності.

Також є кіберзлочинці, які намагаються отримати коди доступу через смартфони чи фішингові сайти. І є хакери, які створюють фейкові сайти тієї чи іншої компанії та спілкуються від її імені, щоб отримати від довірливих потенційних клієнтів передоплату. Припустимо, привертають увагу за допомогою неіснуючих знижок чи подарунків. Ще один варіант цієї схеми – під виглядом співробітників банку виманити дані банківської картки.

Ще є так звані білі хакери, які шукають ймовірність витоку даних. До них звертається сам бізнес, щоб виявити в компанії вразливі місця та заздалегідь убезпечити себе.

Які галузі найбільше страждають від кібератак?

— Злочинці зараз фокусуються на бізнесі з великими оборотами — рітейл та важка промисловість. Їх вибирають тому, що вони найактивніше впроваджують діджиталізацію і, отже, стають доступнішими і для клієнтів, і для атак.

В основному хакери полюють за даними про нові проекти, будівництво, розробки, щоб дізнатися комерційні таємниці, які можна зашифрувати або продати конкуруючим компаніям. Також у полі їх зору дані про закупівлю, склади, заплановані акції, вартість товарів і про те, звідки вони надходять. Втративши доступ до цієї інформації, бізнес втрачає великі гроші, тому готовий платити викуп за відновлення доступу до неї.

Можете навести приклад, у яких випадках кібератаки замовляють конкуруючі компанії?

— Був випадок із туристичною агенцією. У туристичний сезон великі туроператори змагаються між собою у тому, хто сформує та запропонує клієнту найкращий туристичний пакет. Один оператор вважав, скільки йому коштуватимуть спецакції, маркетинг, трансфер та налагодження контактів в інших країнах, щоб створити цікавий маршрут для туристів. Також він підрахував скільки потрібно витратити на DDoS-атаку (напад на комп'ютерну систему з метою зробити комп'ютерні ресурси недоступними користувачам. — Delo.ua) на агентство конкурента. У результаті по грошам вигідніше виявилася DDoS-атака.

Тому турагентство заплатило кіберзлочинцям, і вони місяць атакували сайт конкурента, який у пікову для туризму пору року "лежав" або погано працював. Відповідно компанія не змогла нічого продати, а її потенційні клієнти пішли до турагента — замовника DDoS-атаки, на сайті якого послугу в цей час можна було купити без проблем.

Чи були випадки у Латвії, Україні чи іншій країні, коли через кібератаки бізнесу довелося закритися? Розкажіть про них.

— У 2011 році в Латвії був випадок, коли в одного з рітейлерів через кібератаки практично впали продажі. Потім у компанії повністю змінилося керівництво, але відновити роботу бізнесу вдалося лише за 4-5 місяців. І її збиток за цей період становив 20-30% від прогнозованого прибутку.

Якщо говорити про Україну, то у Tet є клієнти, які на шифрування даних скаржаться щороку. Через це їм навіть доводиться на кілька місяців виходити із бізнесу. Проте сам бізнес вони закривають не повністю, лише деякі відділи компанії.

Найцікавіше, що це представники великого та середнього бізнесу, які знають про свої вразливі місця, але заздалегідь нічого не роблять з кількох причин. По-перше, тому що усунути помилку коштуватиме умовно 100 тисяч гривень, а при атаці вони можуть втратити 50 тисяч. Тому компанія готова зазнавати фінансових втрат, щоб не заморочуватися наперед. По-друге, в Україні ще не розвинуто культури захисту даних, тому навіть великі компанії не звикли до цього.

Якщо дивитися по світу, ми бачимо, що великим компаніям складніше реагувати на атаки, ніж маленьким, тому що у перших побудовано набагато більше складних процесів. Але кібербезпека у будь-якій компанії має бути у пріоритеті.

Ви вже вивчили ринок України та його проблеми щодо кібербезпеки. Чи можете оцінити рівень кібербезпеки у нас? З якими проблемами у цьому плані найчастіше стикається український бізнес?

- Я вважаю, що український бізнес є дуже слабо захищений. Спілкуючись із великими компаніями, рітейлерами, виробниками, ми бачимо, що у тих, хто зміг найняти собі хороших IT-фахівців, все більш-менш добре. Але це заслуга людей, які змогли донести до власників, що захист даних не просто має бути, а має бути на високому рівні.

Компанії, керівництво яких не поспішає інвестувати в IT, а більше думає про вкладення в інші напрямки, вразливі. В IT-захист потрібно вкладати будь-якій компанії, але це завжди частина витрат, які не принесуть прямих грошей. Посібник часто дивиться на них як на мінус, а не плюс. Українські компанії не проводять щорічної оцінки ризиків, не перевіряють рівень безпеки, не створюють її стратегію. Був випадок, коли у великої української компанії, що працює у сфері хімічної промисловості, ми попросили стратегію кібербезпеки, але вони сказали, що у них її просто немає.

Загалом, складається враження, що українським компаніям кіберзахист не потрібен. В інших європейських країнах ми бачимо зовсім іншу тенденцію.

Орієнтовно, яку суму компанії може обійтися її кібербезпека?

— В ідеалі на ІТ-безпеку треба виділяти бюджет до 10% обороту компанії, які передбачені на витрати ІТ. Сьогодні в середньому в країнах Європи виділяють 3%, а в США – до 5%, але ця цифра постійно зростає.

Що потрібно враховувати та робити бізнесу, щоб захистити свої дані? Чи існує інструкція?

— Універсальної інструкції немає, адже кіберзахист кожного бізнесу є дуже індивідуальним. Але однозначно всім потрібно проводити оцінку IT-безпеки та того, наскільки існуюча IT-стратегія відповідає цій компанії. І робити це важливо у всій компанії, а не лише у центральному офісі. Порівняти це можна з походом до лікаря, який проведе комплексне медичне обстеження, а не зробить, скажімо, лише УЗД одного органу.

Друге – це освітня робота зі співробітниками. Важливо підвищувати рівень знань про кібербезпеку навіть у працівників складів. Наприклад, проводити тренування, тимбілдінги, навчати людей, щоб вони вміли розпізнавати незвичайні та потенційно шкідливі дії на сайті, при дзвінках та в імейлах.

Якщо, наприклад, на складі працює літній співробітник, який не вміє повноцінно користуватися комп'ютерною технікою, як до нього донести важливість кібербезпеки?

— Однозначно — не звільняти, а скласти зрозумілу технологічну картку та навчати на постійній основі. Тестові завдання в цьому випадку не особливо ефективні, адже співробітники можуть автоматично ставити галочки, не враховуючи питання. Тому навчати потрібно у форматі тимбілдингу за участю керівництва компанії, щоб показати важливість такого навчання та знань про кібербезпеку.

А якщо, наприклад, йдеться про навчання персоналу з IT-департаменту, можна підключати тренування між собою — проводити імітацію атак, щоби співробітники вчилися їх розпізнавати і правильно реагувати. Якщо "спливають" слабкі місця, тренування продовжуємо. Або підключаємо компанію, яка на аутсорсі виключить уразливості.

І остання з рекомендацій завжди тримати руку на пульсі. Компанії варто посилити охоронний відділ, встановити камери, щоб будь-яку зміну обстановки можна було помітити та запобігти таким чином витоку даних. Дії співробітників важливо моніторити, щоб була можливість оцінити ситуацію та ухвалити попереджувальні рішення до того, як щось трапиться.

Що в плані кібербезпеки може зробити МСБ, який не має фінансових ресурсів для найму окремої компанії або навіть просто відповідного IT-фахівця?

— Малому бізнесу, звичайно ж, у цьому плані складніше. Але поки що він маленький, ризики невеликі. При цьому варто враховувати, що малий бізнес може колись стати більшим, але без IT-рішень через кібератаки вирости в нинішніх реаліях буде складно. Тому служба безпеки має зростати разом із компанією.

Якщо подивитися на рейтинг Fortune 500 (рейтинг 500 найбільших корпорацій у всьому світі за розміром доходу. — Прим. Delo.ua) і порівняти 2020 рік із 2021-м, бачимо, що в лідерах сьогодні технологічні компанії, такі як Microsoft, Google, а виробники, такі як Coca-Cola. Перші стали лідерами через технологічні рішення та найвищий рівень безпеки в компанії. До такого потрібно прагнути будь-якого бізнесу та в кожній країні.

В Україні достатньо фахівців та ресурсів для того, щоб бізнес наймав таких людей у штат на зарплату. Також цю послугу можна віддати на аутсорс — кількість компаній, які можуть узяти на себе питання кібербезпеки, зростає з кожним днем. Наприклад, якщо цього року ємність глобального ринку цих послуг оцінюється в $2 млрд, то до 2025 року він за прогнозами збільшиться до $8 млрд. Також існують компанії, які проводять моніторинг IT-інфраструктури. Місткість цього ринку у світі оцінюється сьогодні в $400-700 млн, при тому, що через рік-два він може зрости до $1,5 млн.

Чому, на вашу думку, зростає кількість DDoS-атак в Україні?

— Зростає тому, що люди та компанії готові платити та платять за цю послугу. Якось той, хто вирішив організувати кібератаку на іншу компанію, заплатив злочинцям. Потім інші компанії зрозуміли, що так можна знайшли виконавців і заплатили їм, щоб завдати шкоди конкурентам. Крім того, ринок вирощують самі злочинці, коли здійснюють атаки з метою заробити.

Кібератаки — проблема не лише бізнесу, а й держави. Чому, на вашу думку, в Україні складно розкривати такі злочини? Хто має цим займатися і які скіли мають бути у цих людей?

— Кіберполіції складно розкривати такі справи, оскільки до того моменту, коли вони розпочинають розслідування, стає вже надто пізно. Кіберзлочинці можуть вивезти сервери або навіть знищити їх - хакери знають, як заміни сліди. На подібні злочини має бути миттєва реакція, а наші слідчі не навчені та не підковані розслідувати їх з такого ракурсу.

В ідеалі, кіберполіція має складатися на 60% з IT-фахівців та на 40% зі спеціалістів з юридичною освітою. Кіберполіцейський повинен розуміти, як думає і які кроки робить хакер, як працює чорний ринок даних та як вийти на слід злочинця.

Таким шляхом йде, наприклад, Скотленд-Ярд, в якому є цілий департамент, що займається кіберзлочинами. Там працюють люди, які фокусуються лише на розслідуванні злочинів кібершахраїв. В Україні в правоохоронних органах таких фахівців поки що немає, тому частина злочинів залишається нерозкритими.

Розмовляла Наталія Лошакова, спеціально для Delo.ua