На презентациях безопасников я часто слышу различные цифры ущерба, который понесли компании от атак хакеров, фишеров и других киберпреступников.
Эти цифры со временем только увеличиваются, что создает ощущение надвигающейся катастрофы - скоро для бизнеса ни чего не останется, кроме как заглаживать ущерб от хакерских атак.
Цифры, называемые безопасниками для потерь от вирусов и других вредоносов, настолько большие, что год назад я даже считал, что именно атаки хакеров и фишеров стали той последней каплей, которая привела к финансовому кризису. Логика моих рассуждений была проста - если банки терпят миллионные убытки, которые ухудшают финансовую стабильность отдельных учреждений, то в какой-то момент и вся система может выйти из-под контроля и рухнуть - у банков может просто не хватить наличных средств, украденных киберпреступниками.
Впрочем, еще год назад мне объясняли, что обороты банков на несколько порядков выше обозначенных цифр убытков, что для мировой банковской системы является незначительным отклонением.
Сейчас же я понял другое - ущерб, наносимый хакерами, идет на пользу всей отрасли безопасности, то есть является тем стабилизационным фондом, который обеспечивает развитие рынка безопасности и еще некоторых смежных. Дело в том, что по определению ущерб - это те средства, которые компания должна затратить на ликвидацию последствий хакерской атаки. Из общего закона сохранения денег, если кто-то деньги тратит, то кто-то их получает. Попытаемся разобраться, кто же зарабатывает на кибератаках.
Безопасники по умолчанию считают, что деньги в основном получают хакеры. Как правило, после оглашения суммы общего ущерба следует фраза типа: "я подумываю на той ли я стороне в этой борьбе". Евгений Касперский также утверждает, что хакеры зарабатывают больше, чем производители продуктов защиты. А прибыльность кибератак сравнима с торговлей оружия и наркотиков.
Давайте попробуем разобраться в этом на примере кардинга - бизнеса на воровстве номеров кредитных карт. Хакер, собравший с помощью фишинга базу номеров кредиток, продает их по 2 долл. за одну номер, и собрав тысячи таких номеров получает свои тысячи долл. Впрочем если продается более подробная и проверенная информация, то цена номер карты может возрасти, но их количество при этом уменьшится. Вместо тысяч будут сотни проверенных номеров, но и стоить они будут десятки долл., то есть хакеры все-равно получают те же тысячи долл. В среднем с одной карты можно украсть около 200 долл., однако перебрать для этого придется сотни украденных номеров, в результате доходность на один проверенный номер будет по-прежнему те же 2 долл. на карту.
В то же время ущерб для банка будет состоять из штрафа платежной системе, затрат на перевыпуск всех скомпрометированных карт, рекламной компании для компенсации ущерба репутации, внедрения системы защиты, которая должна будет предотвратить проблемы в будущем, и других трат, которые не имеют ни какого отношения к черному рынку и киберпреступникам. Все перечисленные траты, которые собственно и составляют "ущерб" банка эта финансовая организация вынуждена платить другим вполне легальным компаниям и организациям, то есть деньги остаются в "белой" экономике, а не уходят в тень. По оценкам аналитиков этот ущерб оценивается как 200 долл. на карточку. Так кто зарабатывает на кардинге больше - сами кардеры (около2 долл. за карточку) или безопасники (около 200 долл. на карточку)?
Ответ очевиден - так называемый "ущерб" - это на самом деле прибыль безопасников. Аналитики оценивают оборот мирового черного рынка в несколько миллиардов долларов, что, безусловно, много. Однако ущерб для компаний от кибератак предположительно составляет сотни млрд. долл. Это фактически означает, что на 1 долл. прибыли киберпреступников индустрия безопасности получает до 100 долл. доходов от атакованных компаний в виде "ущерба".
В заключение хочется сказать, что я отнюдь не намекаю на сговор безопасников с хакерами - как в анекдоте про договор между столовой и моргом: морг поставляет в столовую мясо, а столовая в морг - покойников. Я не предлагаю отказаться от защиты. Я не советую переходить на продукты с открытыми исходными кодами. Я просто призываю правильно понимать цифры, которые приводят в своих отчетах аналитики.