Нанести серьёзный удар по компании способна не только целевая кибератака от высококвалифицированных киберпреступников. Потери среднего бизнеса даже от массовой атаки, например программы-шифровальщика, могут составить в среднем 10 млн рублей — к такому выводу пришли эксперты «РТК-Солара». Расскажем, как проводились расчёты.
Введение
За год компании сталкиваются в среднем с 10 киберинцидентами. Об этом свидетельствует исследование, проведённое экспертами «РТК-Солара». При этом под инцидентом мы понимаем не просто заражение компьютера одного сотрудника после открытия фишингового письма, а атаку на множество хостов и приостановку бизнес-процессов. Одними из самых массовых и в то же время опасных являются атаки злоумышленников 3-го уровня квалификации (киберкриминал или кибермошенники). От них не спасают базовые средства защиты (как, например, от киберхулиганов), они используют не только доступные вредоносные программы, но и более сложные инструменты; в результате последствия успешной атаки могут исчисляться миллионами рублей ущерба.
Согласно нашим подсчётам, за год в компаниях численностью 2500–3000 человек происходит в среднем по 3 инцидента, причиной которых являются действия киберкриминала. Более мелкие организации (примерно 1000 сотрудников) сталкиваются с подобными действиями чуть реже: порядка 1,5 инцидента за два года.
Так какие же потери влекут за собой подобные инциденты? Попробуем посчитать на типовом примере — среднем банке. Входные данные, на основе которых производился расчёт, взяты из результатов опроса, проведённого «РТК-Соларом» в 2022 году. В рамках исследования были опрошены 300 респондентов — ответственных за ИБ в компаниях из разных отраслей (госвласть, финансы, промышленность, производство и др). Мы спрашивали о наиболее часто встречающихся инцидентах и последствиях (как о прямых потерях от действий хакеров, так и о затратах на ликвидацию этих последствий).
Как мы считали?
Итак, рассмотрим атаку на средний банк (до 2500 сотрудников) с использованием вируса-шифровальщика. Осуществлялось вредоносное воздействие на системы обеспечивающие бизнес-процессы. Атака напрямую затронула 20 сотрудников, основной простой составил 2 рабочих дня, полное восстановление — 14 рабочих дней (проведение основных работ по восстановлению — 2-3 дня).
Почему взят именно этот кейс? Последние два года количество атак с применением шифровальщиков стремительно растёт. Каждый пятый инцидент, зафиксированный «РТК-Соларом» в III квартале 2022 года, связан с применением именно этого типа вредоносных программ. Таким образом, это один из самых популярных способов проникновения в инфраструктуру. Проведённый нами опрос показал, что с заражениями сети или отдельных сегментов инфраструктуры столкнулись более половины респондентов. При этом три четверти компаний отметили, что кибератака чаще всего приводит именно к остановке бизнес-процессов.
Анализ атаки на абстрактный банк позволяет сформировать представление о наиболее типовой ситуации на общем ландшафте киберугроз, так как финансовый сектор уже на протяжении нескольких лет входит в топ-3 самых атакуемых отраслей. Именно здесь сосредоточены крупные денежные суммы, которые злоумышленники 3-го уровня надеются заполучить, ведь их основная цель — это монетизация. Также банки представляют собой весьма организованные и вместе с тем распределённые структуры, в отличие, например, от предприятий ТЭК или нефтегаза, когда последствия одной атаки могут принять огромные масштабы: сбои в тепло- и электроснабжении, загрязнение природы и даже человеческие жертвы. По этой же причине мы не рассматриваем госсектор, так как государственные системы объединяют много служб, ведомств и организаций и трудно предположить, насколько масштабными будут последствия. Конечно, госсектор сталкивается с киберинцидентами несколько чаще, чем организации из иных сфер, в том числе из-за более низкого уровня защищённости. Но анализ кибератак в этом сегменте, на наш взгляд, должен проводиться в рамках отдельного исследования, поэтому в данном материале эти показатели не учитывались.
Расчёты
Как считать потери?
Важно понимать, что основным следствием атаки шифровальщика является полная или частичная остановка работы ряда специалистов. Также могут быть повреждены ключевые бизнес-процессы и бизнес-системы: АБС, кредитный конвейер, ДБО, ERP, CRM, СЭД, бухгалтерские и кадровые программные комплексы. При этом вывод из строя одного подразделения или даже его части может парализовать всю банковскую экосистему. Получается «снежный ком», когда одна проблема влечёт за собой другую.
Зачастую подобные атаки негативно сказываются на предоставлении онлайн-услуг (через сайт или мобильное приложение), так как действия хакеров лишают пользователей возможности оформлять заявки, а сотрудников — их обрабатывать. Это особенно актуально для тех банков, которые работают с клиентами преимущественно через веб-платформы. Безусловно, это бьёт по репутации организации и её прибыли. По итогам нашего опроса, более 70 % респондентов назвали репутационные риски важным следствием кибератаки. Это также влечёт за собой дополнительные расходы по антикризисному пиару. К так называемым «пострасходам» относятся и вложения в ИБ: согласно опросу, в трети случаев после наступления инцидента руководство пострадавшей компании принимает меры связанные с дополнительными вложениями в ИБ, включая приобретение SOC, SIEM и иных сервисов. Некоторым компаниям, в том числе банкам, грозят ещё и штрафные санкции регуляторов, например Банка России.
Ещё один важный (и один из наиболее сложных) пункт при подсчёте убытков — утрата данных корпоративных систем. Этот риск актуален для более чем половины компаний-респондентов изо всех отраслей. Сюда можно отнести:
- базы данных и отдельные учётные записи, содержащие сведения о клиентах и сотрудниках (включая финансовые реквизиты, а также пары «логин — пароль» для входа в клиентские или служебные личные кабинеты),
- конфиденциальную информацию, в большинстве случаев составляющую коммерческую тайну (ноу-хау, интеллектуальная собственность и т. п.).
Для банков актуальны утечки обоих типов данных, а негативные последствия зачастую можно оценить только через некоторое время. Например, попавшие когда-то в открытый доступ логин и пароль от корпоративной учётной записи сотрудника могут стать толчком (фактически — точкой входа) для проведения очередной кибератаки. Что же касается утечки конфиденциальной информации, то её последствия могут коснуться не только самого банка, но и других компаний, сведения о которых могли содержаться в украденных документах. Подобная ситуация имела место в 2020 году, когда сотрудник Россельхозбанка неправомерно передал нормативные документы, содержащие коммерческую тайну, в результате чего пострадали крупные торговые и промышленные предприятия Кузбасса. Да, этот случай никак не связан с кибератакой, но очевидно, что и в результате внешнего воздействия могут наступить аналогичные последствия.
Что же касается оценки стоимости той или иной единицы информации, попавшей в открытый доступ, то вокруг этой темы по-прежнему не утихают споры как среди ИБ-специалистов, так и среди представителей бизнеса. Зачастую всё сводится к оценке потенциальной стоимости: сколько компания могла бы заработать на использовании того или иного ноу-хау, если бы данные о нём не попали в открытый доступ. Но это — прогностическая величина. Также очевидно, что надо оценить и затраты на разработку этого ноу-хау, ведь в случае утечки выйдет, что работы были проведены напрасно. Но, с другой стороны, на основе полученных результатов можно совершить доработку и тем самым создать что-то новое, но с уже меньшими усилиями и вложениями. Как тогда всё это правильно оценивать?
Определить стоимость финансовых и банковских учётных записей или целых баз данных несколько легче: можно ориентироваться на цены теневого рынка. Но тут стоит отметить разницу между отечественным и западным рынками. Как показывают многие зарубежные исследования, в США стоимость одной учётной записи составляет 146 долларов, то есть больше 10 тыс. рублей, в то время как в России она едва ли превышает 1 тыс. рублей. При этом последнее справедливо скорее для учётных записей на криптобиржах, а средняя цена обычной «учётки» — 100 рублей, целой базы данных (банковского сектора) при массиве примерно в 45 тыс. строк — 150–200 тыс. рублей.
Вместе с тем мы не включали в общие расчёты те расходы, которые связаны с утратой данных, так как их конечная стоимость зависит ото многих факторов и более релевантно определять её индивидуально в каждом конкретном кейсе. В данном случае мы скорее говорим о временной недоступности некоего массива данных из-за действий вируса-шифровальщика и приостановки бизнес-процессов.
Итак, обозначив основные элементы, которые необходимо учитывать при оценке последствий кибератаки, перейдём непосредственно к самим расчётам.
Каков ущерб в итоге?
Таблица 1. Основные параметры в анализируемом кейсе
Время простоя |
6 дней |
Время восстановления |
14 дней |
Снижение производительности косвенно затронутых сотрудников |
3 дня |
Количество напрямую затронутых сотрудников |
20 человек |
Количество косвенно затронутых сотрудников |
10 человек |
Количество сотрудников, привлечённых к восстановлению работоспособности систем |
3 человека |
З/п операционистов (ФОТ) |
130 000 ₽/мес. |
З/п сотрудников ИБ / ИТ (ФОТ) |
220 000 ₽/мес. |
Техническое расследование |
500 000 ₽ |
Пострасходы: восстановление репутации, наращивание системы ИБ (в течение 1 года) |
2 800 000 ₽ |
Упущенная выгода / недополученная прибыль (за 1 год) |
4 500 000 ₽ |
Все приведённые значения являются усреднёнными, но вместе с тем основаны на результатах проведённого опроса, то есть представляют собой ущерб, с которым компании сталкиваются или сталкивались на самом деле. Безусловно, на конечные значения влияет множество факторов — например, размер оклада сотрудников, применяемое и приобретаемое оборудование, включая средства и системы защиты, класс закупаемых компонентов, их производитель и, соответственно, стоимость, годовые обороты и т. д. Стоимость технического расследования также варьируется в зависимости от прайс-листа исполнителя, а также от сложности работ, их продолжительности, необходимости привлечения специалистов по форензике и т. п.
Проведение восстановительных работ обычно занимает чуть больше календарной недели. В то же время очевидно, что возвращение к полной работоспособности и доступности повреждённых систем требует больше времени, что подтверждается и нашим опытом.
Что же касается репутации, то это — один из наиболее сложных и труднопрогнозируемых пунктов в части убытков. Для каждой компании он очень индивидуален. Например, банк, скорее всего, имеет представление о том, сколько клиентов он обслуживает за день, месяц, квартал, сколько появляется новых, каков денежный оборот за эти периоды и какую прибыль может принести каждый клиент. И чем больше имеется входных данных, статистики и отчётных материалов, тем точнее можно рассчитать размер упущенной выгоды и репутационные риски (эти показатели всегда тесно связаны между собой). Также сюда могут быть включены и компенсационные выплаты клиентам, чьи данные попали в открытый доступ, в результате чего им был причинён ущерб. Важное замечание: закон требует, чтобы ущерб был доказан в досудебном или судебном порядке — только в этом случае могут быть произведены компенсационные выплаты.
Объём упущенной выгоды для компаний сегмента B2B в среднем составляет минимум 4-5 млн рублей — такие данные мы получили в результате опроса. Стоит подчеркнуть, что это — минимальные показатели, в то время как в 16 % случаев даже для некрупных организаций сумма упущенной выгоды превышает 10 млн рублей.
Таблица 2. Результат обработки показателей и их совмещения с условиями кейса
Стоимость простоя |
709 091 ₽ |
Нарушение (снижение эффективности) бизнес-процессов на уровне систем |
443 182 ₽ |
Нарушение установленного порядка применения оборудования и технических средств, порядка взаимодействия между структурными подразделениями |
310 227 ₽ |
Восстановительные работы (оплата труда привлечённых сотрудников) + восстановление из бэкапа |
485 300 ₽ |
Из чего формируется каждый показатель:
- Стоимость простоя = оклад (ФОТ ÷ 22 рабочих дня) всех напрямую затронутых сотрудников-операционистов × количество дней простоя (6 рабочих дней).
- Нарушение (снижение эффективности) бизнес-процессов на уровне систем = стоимость снижения производительности косвенно затронутых сотрудников + 30 % от суммы (показатель простоя напрямую затронутых сотрудников + показатель снижения производительности косвенно затронутых). Это — усреднённое значение из расчёта снижения эффективности и производительности труда, невозможности выполнять ряд своих задач из-за полной остановки работы.
- Нарушение установленного порядка применения оборудования и технических средств, порядка взаимодействия между структурными подразделениями = 35 % от суммы (показатель простоя напрямую затронутых сотрудников + показатель снижения производительности косвенно затронутых). Это — усреднённое значение из расчёта простоя оборудования, возможного нарушения правил эксплуатации, включая повреждение отдельных элементов, замедление / приостановку процессов обработки, передачи и хранения данных, а также необходимость перепроверки массивов данных, сформированных во время киберинцидента и устранения его последствий.
- Восстановительные работы = оклад (ФОТ ÷ 22 рабочих дня) всех привлечённых к проведению восстановительных работ сотрудников ИБ / ИТ × длительность периода проведения работ (14 рабочих дней).
Таблица 3. Сумма основных компонентов, конечный расчёт
Основные компоненты |
Стоимость |
Прямой ущерб от простоя (простой напрямую затронутых специалистов) |
709 090,91 ₽ |
Общее снижение эффективности |
753 409 ₽ |
Пострасходы (упущенная выгода, отток клиентов) |
4 500 000 ₽ |
Восстановительные работы (расследование, оклад сотрудников, антикризисный пиар) |
3 785 300 ₽ |
ИТОГО: |
9 747 800 ₽ |
Данный показатель в первую очередь справедлив для среднего B2B. Для совсем небольших компаний он едва ли превысит 5 млн рублей, а для крупных корпораций одни лишь затраты на восстановление обойдутся в 10 млн рублей без учёта прямого ущерба от инцидента. Анализ именно этого сегмента формирует представление о средних значениях, в той или иной степени справедливых для любого бизнеса.
Выводы
В очередной раз подчеркнём, что и взятые за основу показатели, и сам кейс являются типовыми, но каждый наступивший киберинцидент требует индивидуальных расчётов. Вместе с тем эти показатели получены в результате проведённого специалистами «РТК-Солара» опроса, который показал, что средние потери в результате атаки вируса-шифровальщика составляют почти 10 млн рублей. С подобными инцидентами сталкиваются более половины опрошенных компаний, а более двух третей относят его к категории «опасный» / «важный». Помимо этого, он является весьма распространённым: так, в среднем компании с численностью персонала около 2,5 тыс. человек страдают от атак шифровальщиков 3 раза в год, что позволяет говорить об ущербе порядка 30 млн рублей ежегодно. Это — весьма существенный урон, который не может не сказываться на финансовом положении предприятия.
Стоит напомнить (и в своих исследованиях мы неоднократно это отмечали), что киберинцидент — это не только одномоментные убытки, но и последствия в среднем на 3-4 года, связанные преимущественно со снижением финансовых показателей. Иначе говоря, представленные 9,7 млн рублей — это средний одномоментный убыток от атаки нарушителя 3-го уровня. Подчеркнём, что затраты со стороны злоумышленников при этом крайне малы и могут составлять менее 500 тыс. рублей, что указывает на высокую «маржинальность» подобного вида деятельности. При минимальных вложениях хакеры получают существенную прибыль, которую в основном формируют выведенные со счетов компании денежные средства, выплаченный выкуп (для России — не самая распространённая ситуация), выручка от перепродажи украденных данных (например, продажа доступов в корпоративную сеть, баз данных и т. д. на теневом рынке).
Какой вывод можно сделать в итоге? Даже массовые и нетаргетированные атаки ведут к немалым убыткам. В настоящее время число таких атак возрастает, и можно предположить, что далее последует уже не 3 инцидента за год, а в 3-4 раза больше. То, какой урон будет причинён, во многом зависит от самой компании и уровня её защищённости. Если с ИБ в организации всё в порядке, то атаки злоумышленников 3-го уровня будут выявлены и пресечены на самых ранних стадиях, что позволит избежать больших потерь. Именно по этой причине мы можем говорить, что инвестиции в ИБ и их возврат — это не миф, а реальность.