СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
B-152
28.01.2025
#Dev#ИБ#Инфра

Финансовые риски кибератак: сколько может стоить бизнесу игнорирование угроз?

Финансовые риски кибератак: сколько может стоить бизнесу игнорирование угроз?

Изображение: Kenny Eliason (unsplash)

Развитие крупного, малого и среднего бизнеса в России — ключевой элемент для достижения устойчивого экономического роста страны. При этом, по нашим наблюдениям, около 40% крупного бизнеса и 25% среднего бизнеса выстраивают и совершенствуют процессы по защите информации. К сожалению, несмотря на колоссальный рост атак, громких инцидентов ИБ в крупных компаниях, происходит игнорирование необходимости создания полноценный системы защиты.

Если сравнивать то, как часто подвергаются атакам компании, риск того, что систему взломают, и нарушитель получит несанкционированный доступ к конфиденциальной информации, с каждым годов все выше. Директор Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора Сергей Хуторцев на своей выступлении на форму «Спектр-2024» привел статистику, согласно которой количество атак с применением социальной инженерии в 2024 году в сравнении в 2023-м увеличилась пятикратно, а количество атак, направленных на отказ в обслуживании, увеличился на 70%. «Лаборатория Касперского» за 2024-й оценило увеличение критичных кибер-инцидентов равное 39% в сравнении с 2023 годом. Начальник Следственного департамента МВД Даниил Филиппов поделился информацией о том, что за первое полугодие 2024 года ущерб от киберпреступлений составляет 99 млрд рублей.

Возможностей стать жертвой кибератаки все больше. Атаки становятся сложнее, менее заметными средствам защиты. При этом, слабым звеном, даже самой совершенной системы, защиты остается человек. Персонал компании, который не помнит. что в компании существуют политики безопасности подрядчики, у которых вообще не выстроены процессы по ИБ — именно те, кто становится невольным соучастником атаки на ключевые информационные системы бизнеса. Мало кто из тех, кто отказался от защиты своих информационных систем знает, что инцидент ИБ может привести к плачевным последствиям, начиная с утечки небольшой базы данных и заканчивая огромными финансовыми потерями из-за простоев в производстве или необходимости восстановления всей ИТ-инфраструктуры, потери репутации, доверия клиентов и партнеров.

К примеру, в случае успешно реализованной атаки, вследствие которой произошла утечка персональных данных, придется выплатить штраф за нарушение требований законодательства, а с 30 мая 2025 года в ст. 13.11 КоАП добавили новые составы правонарушений. Теперь размер штрафа за утечку баз данных с персональной информацией будет напрямую зависеть от объема утерянных данных и может доходить до 500 млн рублей. Из нашего опыта, для восстановления сравнительно небольшой инфраструктуры требуется около месяца работ ИТ-специалистов и порядка 10 млн. руб на работы подрядчиков. Только постфактум, бизнес начинает понимать, что время простоя это и упущенная прибыль, и зарплаты сотрудников, которые не могут выполнять свои должностные обязанности.

Напомним, что риск — это величина, связанная с вероятностью реализации события (инцидента ИБ или атаки) и размером ущерба.

Вероятность реализации инцидента ИБ (атаки) высока, если:

  • топ-менеджмент не считает нужным выстраивать процессы по ИБ;
  • администраторы ИС саботируют процессы по ИБ
  • отсутствует система защиты информации как на техническом, так и организационном уровне;
  • средства защиты не настроены или настроены некорректно
  • отсутствует контроль за корректностью настроек как ИТ оборудования, так и средств защиты
  • отсутствует контроль за пользователями и их правами доступа;
  • пользователи не осведомлены и не знают базовых правил защиты информации, отнесения информации к категории “конфиденциально”;
  • персонал, администрирующий ИТ и средства защиты не компетентен в вопросах реагирования и расследования инцидентов
  • пользователи работают с личных компьютеров, отсутствует централизованное управление ИТ-инфраструктурой
  • отсутствуют процессы по резервированию (бэкапы, оборудование) и восстановлению данных
  • отсутствуют процессы по обновлению ПО и устранению уязвимостей
  • отсутствует контроль за привилегированным пользователями
  • отсутствует контроль за подрядчиками, которым выданы привилегированные права доступа к системам.

Данный список отражает самые распространенные проблемы, которые чаще всего мы выявляем в ходе аудита по информационной безопасности.

При этом ущерб будет зависеть от:

  • типы потерянных/украденных данных
  • планов злоумышленника (вред ИТ инфраструктуре, продажа конфиденциальных данных, шантаж)
  • длительности восстановительных работ
  • численности персонала, который не сможет выполнять свои должностные обязанности
  • неустоек, которые прописаны в договорах с клиентами и контрагентами
  • дневном обороте и размере выручки
  • стоимости услуг подрядчиков на восстановление ИТ — инфраструктуры
  • стоимости закупаемого дополнительного оборудования или средств защиты
  • размере штрафов
  • судебных издержках
  • неверно принятых решениях, связанных как с перестраиванием бизнес-процессов, так и спешной закупкой средств защиты
  • маркетинговыми и PR — мероприятиями для восстановления репутации

Для того, чтобы минимизировать последствия важно проводить оценку рисков. На начальных этапах просто задайте владельцам бизнес-процессов вопрос “А чего они больше всего бояться?”, “Что страшного может случиться, из-за чего они не смогут реализовывать ту или иную бизнес-функцию”. Собрав информацию по владельцам, вы поймете, от чего в ИТ и ИБ зависит бизнес-процесс. Далее можно пойти либо в качественную оценку рисков (она проще и быстрее), или в количественную (она более пугающе выглядит для топ-менеджмента). Таким образом, с одной стороны будет сформирован список недопустимых событий, с другой стороны — проведена оценка, которая станет обоснование вложений в закупку средств защиты, проведения курсов повышения квалификации или расширения штата и найма дополнительных специалистов по ИБ.

Оценку рисков рекомендуем проводить вместе с аудитом информационной безопасности. Это позволит понять проблемы в системе защиты и то, на сколько они могут повлиять на ключевые бизнес-процессы. Оценка рисков ИБ состоит из ключевых шагов, которые помогут в достижении цели:

Установить цель проведения аудита и его объем.

    Необходимо понимать, для чего проводится аудит ИБ в Компании, в соответствие с чем: это может быть соответствие законодательным актам, требованиям регуляторов или же выявление уязвимостей. Так же важно понимать объем, сколько бизнес-процессов и систем необходимо охватить для анализа.

    Результат: сформирован пул мер защиты, требующих проверки, определены границы проведения аудита

    Сбор информации о бизнес-процессах в Компании

    На данном этапе важно выявить бизнес-процессы, обсудить с их владельцами основные риски и последствия от приостановления работы ИС, которые их автоматизируют.

    Результат: сформирован перечень недопустимых событий, перечень информационных систем, которые автоматизирую бизнес-процессы.

    Сбор информации об инфраструктуре.

    Предварительно необходимо собрать информацию об ИТ-инфраструктуре, включая состав технических средств, в том числе сетевое оборудование, серверы и рабочие места пользователей, по каким каналам связи передаются данные, какие документы и регламенты установлены в Обществе, какие информационные активы обрабатываются.

    Результат: сформировано описание ИС и структурная схема. Не лишней будет схема потоков конфиденциальной информации и ПДн, а также схемы сети.

    Выявление несоответствий требованиям по защите информации

    На данном этапе необходимо определить нарушения требований по защите информации, правил и практик по созданию СЗИ. Отдельно обратите внимание на качество правильность процессов защиты информации на организационном уровне. Помните, что сотрудник — самое слабое звено в системе защиты информации.

    Результат: выявлены несоответствия и нарушения в системе защиты информации. Определено их влияние на бизнес-процессы компании (см. п. 2).

    Оценка рисков информационной безопасности

    Определение качественное или количественное вероятности реализации события, в том числе недопустимого, и размера возможного ущерба.

    Результат: сформирована карта рисков ИБ и перечень недопустимых событий ИБ

    Подведение итогов аудита.

    Выявленные на этапе оценки рисков недостатки следует расставить в порядке от наиболее критичных к наименее для расставления приоритетов, что поможет в подготовке плана по их устранению. Критичность оценки риска зависит от вероятности наступления и реализации угрозы, величине возможного ущерба. К выявленным нарушением прописать рекомендации по митигированию обозначенных рисков.

    Результат: ранжированный список нарушений, ранжированный список рисков ИБ

    Разработка плана действий.

    На основании итогов разработать план действий, в соответствии с которым риски будут митигированы или приняты, обязательно необходимо определить ответственных лиц, отвечающих за выполнение данного плана, и сроки реализации

    Результат: план по созданию или совершенствованию системы ИБ.

    Благодаря оценке рисков станет понятно, какие информационные активы представляют для Компании высокую ценность, как их лучше всего защитить, а в случае успешной реализации атаки и при выявлении несоответствий во сколько это обойдется. Важно помнить, что вовремя выявленные при аудите и устраненные несоответствия помогают Компаниям избежать репутационных и финансовых потерь.

    Авторы: Осипова Елизавета, консультант по информационной безопасности в компании Б-152, Витенбург Екатерина, старший консультант по информационной безопасности в компании Б-152.

    B-152
    Автор: B-152
    С 2011 года решаем задачи бизнеса по защите персональных данных по российским и международным законам, защищаем данные и разрабатываем собственные программные продукты по privacy.
    Комментарии: