Компании все чаще страхуются от кибератак

Материал написан при поддержке ООО «Кибер страхование».

Американская служба ИТ-безопасности как-то нашла в коде вируса непонятную им надпись. Показали ее коллегам из «Лаборатории Касперского», и те специально для заокеанских коллег перевели — это оказалось оскорбительное послание от русскоязычного хакера.

Из пяти наиболее разыскиваемых ФБР хакеров у двоих русская фамилия. На третьем месте Алексей Белан, за помощь в поимке которого обещают $100000. А безусловный лидер списка — Евгений Богачев, чью голову оценили в $3 млн. За второе место в списке, румынина Николае Попеску, дают «всего» $1 млн.

9 мая 2016 года в США начнется суд над российским хакером Романом Селезневым. Его подозревают в краже реквизитов двух миллионов кредиток американцев, на продаже которых он мог заработать от $2 млн до $17 млн.

Российские хакеры все больше внимания уделяют западным компаниям: так можно больше заработать. Но это не значит, что они обделяют вниманием родной российский рынок.

В конце октября сотрудники одной крупной российской компании получили письмо якобы от системного администратора. Изменилась политика безопасности компании, сообщал тот, поэтому нужно заново активировать учетную запись электронной почты не позднее 18:00 завтрашнего дня, перейдя по ссылке и введя свой логин и пароль. Вот только домен, с которого писал «админ», отличался от настоящего домена компании: вместо m стояли две другие буквы, rn (r и n).

В России хватает таких историй. Но если в США компании по закону обязаны сообщать о подобных инцидентах, то у нас мало кто выносит сор из избы, хотя страна занимает «призовые» места в рейтинге киберпреступности. Так, в ноябре «Лаборатория Касперского» поставила Россию на третье место в мире среди стран, атакованными вредоносными программами для мобильных приложений. По мере того как бизнес уходит в сеть, преступность рвется туда же.

По данным Group-IB, в 2013–2014 годах только через интернет-банкинг у граждан СНГ украли 1 млрд рублей, а у юридических лиц — 87,5 млрд рублей.

Не только преступность, но и борьба между компаниями перетекает в интернет. Основателя платежной системы Chronopay Павла Врублевского признали виновным в том, что он организовал DDoS-атаку на сайт «Аэрофлота». Из-за этого неделю была недоступна система онлайн-бронирования, которую обслуживал конкурент Chronopay — компания Assist. В итоге тот лишился контракта с авиакомпанией. Но это редкий случай, когда не только обнаружилась атака, но и была доказана вина ее организаторов.

МВД в 2014 году зарегистрировало всего 11000 компьютерных преступлений. Эксперты говорят, что на самом деле их в разы больше.

Взламывают все, от Twitter Дмитрия Медведева до серверов NASA. Абсолютной защиты от злоумышленников нет — разве что отрубить интернет. Да и это не панацея. Иранские ядерные объекты не были подключены ко всемирной сети, но это не спасло их от червя Stuxnet, видимо, занесенного на съемном носителе.

Ученые из университета Бен-Гуриона регулярно «радуют» нас все новыми способами дистанционного взлома компьютеров, не имеющих выхода в интернет.

Но один из самых страшных рисков имеет мало отношения к продвинутым технологическим решениям — это собственные сотрудники. За первые шесть месяцев этого года, как подсчитала Infowatch, Россия заняла второе место в мире по числу утечек конфиденциальной информации в интернет. В сеть попало 262 миллиона записей с персональными данными из компьютеров компаний и госорганизаций (МТС, РЖД, ВТБ24, СОГАЗ и так далее). В 68% случаев виновники утечки — сами сотрудники. Похоже, они будут красть информацию все в больших масштабах.

17% компаний, участвовавших в недавнем опросе аналитического центра Zecurion, заметили, что их персонал стал чаще незаконно копировать внутреннюю информацию. Самое интересное, что нередко это делается «на всякий случай». Виноват в этом кризис: люди стали опасаться увольнения и крадут информацию, чтобы у них остались базы клиентов или же компромат для мести компании.

Есть и случаи обычного разгильдяйства. Причем не только в России. Помните, как протитипы iPhone забывали в баре? А как в марте этого года сотрудник австралийского саммита G20 случайно отправил на сторонний адрес персональные данные мировых лидеров, в том числе Владимира Путина и Барака Обамы? Подвела функция автоматического заполнения адреса.

На счастье, данные оказались отосланы в оргкомитет футбольного Кубка Азии, который стер их без возможности восстановления.

Дорого ли обходятся киберинциденты российским компаниям? В 2015 году средний ущерб от инцидента информационной безопасности составил $5,3 млн, а в 2014 году, по оценке PricewaterhouseCoopers (PwC), это была сумма в $3,6 млн. При этом количество инцидентов выросло в 2,5 раза.

Ошибкой было бы думать, что жертвами кибератак становятся только крупные компании. Наоборот, чаще всего страдает малый и средний бизнес. У него хуже защита, устаревшие или взломанные программы, меньше специалистов по компьютерной безопасности (если они вообще есть) и возможностей по розыску преступников.

«Лаборатория Касперского» заинтересовалась потерями малого и среднего бизнеса. Киберинцидент обходится им в этом году в среднем в 893000 рублей. Но это с учетом упущенных бизнес-возможностей. Прямые потери в основном возникали из-за необходимости прибегать к услугам сторонних специалистов, чтобы устранить последствия. Это сделали 86% компаний, в среднем каждая из них выложила 282 000 рублей.

В среднем на 35% российские компании увеличили траты на информационную безопасность в 2015 году, как выяснила PwC.

Никакой антивирус не в состоянии гарантировать безопасность. «От создания нового, не выявляемого вируса до момента, когда изготовят “вакцину" от него и она попадет к пользователям, проходит от одного до трех месяцев», — рассказал Harvard Business Review источник в управлении «К» МВД.

Между тем под ударом оказывается любая компания, от банковской до медицинской, от крупного бизнеса до стартапа. Особенно если она имеет дело с персональными данными, упомянутыми в законе 152-ФЗ, и облачными технологиями. В 2014 году главным каналом утечек конфиденциальной информации в мире стали облачные хранилища и браузеры.

Что делать, если вы пали жертвой атаки? Опыт показывает, что чуть ли не в первую очередь приходиться гасить конфликт между отделом безопасности и ИТ-отделом, которые сваливают друг на друга ответственность.

Опрос FERMA и Harvard Business Analytic Services показал, что даже в Европе только у 49% компаний есть PR-стратегия на случай кибератаки. В России и того меньше.

Самый простой выход в случае инцидента, связанного с информационной безопасностью, — переложить все хлопоты на плечи профессионалов. По данным агентства RnRMarketResearch, в 2012 году компании потратили на страховку от киберрисков $850 млн, а в 2014 году уже $2,5 млрд.

Но у страхования от киберугроз есть свои особенности. Это не столько покрытие убытков, как при ОСАГО, сколько помощь в ликвидации последствий. Можно сравнить с полисом ОСАГО — представьте, что он не ограничивается выплатой ущерба, а включает помощь адвоката, который начинает работать с момента оформления протокола ДТП, сбор и оформление документов, подменные машины виновнику и пострадавшему на время ремонта и работа психолога с перенервничавшими родственниками.

В России страхованием на случай киберинцидентов занимается ООО «Кибер страхование». На примере ниже можно понять, что входит в пакет услуг.

• Понесенные из-за хакеров и даже из-за халатности или злого умысла собственных сотрудников расходы на техническую экспертизу, юридические консультации, антикризисный PR и все прочие затраты в соответствии с договором страхования возмещаются с помощью партнера «Кибер страхования» — страховой компанией AIG.
• Киберинциденты расследуются не только правоохранительными органами, но и партнером — компанией Group-IB, занимающейся расследованием и предотвращением киберпреступлений и мошенничеств в ИТ-сфере. Кстати, с силовыми ведомствами и адвокатами, если дело доходит до исков, общается не сам застрахованный, его интересы представляют юридические партнеры — CMS и «Сенешаль Нейман».
• Антикризисным пиаром занимаются коммуникационные агентства Grayling и КРОС. Они знают, как минимизировать ущерб для репутации среди клиентов и корректно представить произошедший инцидент в СМИ.

Стоимость полиса начинается от 60000 рублей с покрытием 1 миллион рублей. То есть за месячную зарплату не самого лучшего ИТ-специалиста можно получить услуги юристов, специалистов по кибербезопасности, антикризисных пиарщиков и плюс к этому возмещение убытков.