2020 год не был похож ни на один другой, который мы когда-либо видели. Помимо глобальной пандемии, безработицы и социальных волнений, в кибермире произошли значительные изменения, которые повлияют на будущие годы. Вот пять факторов, которые отмечают специалиста Zurich insurance...
Во-первых, в 2020 году количество атак вымогателей не уменьшилось. Вместо этого все стало еще хуже, намного хуже. На рынке наблюдалось существенное увеличение объема и серьезности атак, наряду с увеличением требуемых сумм выкупа. В полугодовом отчете Bitdefender о ландшафте угроз за 2020 год отмечается семикратное увеличение количества отчетов о вымогателях в годовом исчислении, в то время как, по данным института Ponemon, средняя стоимость атаки вымогателя составляет $4,44 млн. Помимо самого требования выкупа, прерывание деловой активности, включая затраты на восстановление систем, существенно повлияло на общую стоимость среднего инцидента.
Это увеличение было вызвано несколькими факторами. Фишинговые письма на тему Covid-19 стали эффективным средством проникновения в сетевую безопасность. Во время пандемии страх перед Covid-19, социальная изоляция и больше времени на компьютере дали хакерам много материала для создания кликбейта. Программы-вымогатели стали товаром. Было задействовано больше злоумышленников, чем когда-либо прежде, и распространение вредоносных программ резко возросло. Для преступника это стало идеальным бизнесом: осуществляемый из любой точки мира, выкуп, выплачиваемый на не отслеживаемые биткойн-счета, и увеличение суммы выкупа, выплачиваемой нервным бизнесом.
Во-вторых, сетевая безопасность стала более сложной. Резкий рост числа сотрудников, работающих на дому, поставил под угрозу сети компании и вызвал головную боль у руководителей ИТ-отделов, которые пытались управлять инфраструктурой своей компании и обеспечивать ее безопасность. В довершение всего, киберугрозы продолжали развиваться. В недавнем прошлом большинство компаний были озабочены защитой своих данных. В 2020 году эта проблема осталась, но была связана с задачей борьбы с атаками программ-вымогателей. По мере того, как хакеры становились все более изощренными, регулирование, контроль и защита пытались не отставать.
Чтобы справиться с этими проблемами, ИТ-директорам требовалась помощь и дополнительное финансирование для создания более эффективных и безопасных сетей. Затраты, связанные с управлением соответствием и финансовой защитой внутренней кибербезопасности, резко выросли, поскольку компании создали более крупные и более осведомленные киберкоманды для защиты своих активов.
Финансовые проблемы, с которыми компании столкнулись в результате Covid-19, не позволили увеличить ИТ-бюджеты в 2020 году, а в некоторых компаниях бюджеты были сокращены. Поскольку рост киберпреступности ускоряется, это предвещает трудные времена для ИТ-руководителей.
В-третьих, правительства стали играть более активную роль в обеспечении соблюдения и регулировании киберрисков.
Регулирование
В Европе в 2018 году был выпущен Общий регламент по защите данных (GDPR) с целью стандартизации в ЕС, который должен был обеспечить больший контроль личных данных отдельными лицами, предусматривал штрафы и санкции против компаний, нарушивших GDPR, и устанавливал более строгие требования к отчетности. В центре внимания регулирования в Европе, по крайней мере, с точки зрения GDPR, было создание безопасных и ответственных ИТ-платформ. Речь идет не столько о санкциях и террористах, сколько об ответственности организаций за защиту своих данных и своевременное сообщение о нарушениях.
В последние годы во всем мире были приняты и другие правила кибербезопасности. В США Закон о конфиденциальности потребителей Калифорнии положил начало сильной нормативной базе штата. Федеральный закон об информационной безопасности (FISMA) и FISMA2014 требуют от отдельных федеральных агентств принятия определенных процедур для обеспечения кибербезопасности.
В Азии в 2015 году в Индонезии и Сингапуре были созданы киберагентства, а в Японии был принят Основной закон о кибербезопасности. В 2020 году Бразилия ввела в действие Lei Geral de Proteção de Dados (LGPD), который был полностью основан на GDPR.
Исполнение
В этом году, еще до атаки на SolarWinds, Управление по контролю за иностранными активами (OFAC) Казначейства США выпустило информационное сообщение, «чтобы осветить санкционные риски, связанные с платежами с использованием программ-вымогателей, а также со злонамеренной деятельностью с использованием киберпространства». OFAC отметило, что компании, участвующие в содействии выплатам при атаке программ-вымогателей от имени жертв, должны учитывать, есть ли у них нормативные обязательства в соответствии с правилами Сети по борьбе с финансовыми преступлениями.
Регуляторы и надзорные органы не изменяли все предыдущие рекомендации в отношении событий с вымогательством. Скорее, это было напоминанием американским компаниям и киберстраховщикам о том, что существующая нормативно-правовая база США применяется к событиям, связанным с вымогательством.
Обеспечение соблюдения GDPR было очень активным, а штрафы, связанные с защитой данных, увеличились. За первые десять месяцев 2020 года было наложено более 220 штрафов за нарушение GDPR, при этом общая сумма наложенных штрафов превысила 175 миллионов евро. В 2020 году Google получил самый крупный штраф (50 млн евро).
В-четвертых, киберпространство - это взаимосвязанный глобальный риск. Было много призывов к глобальным стандартам и лучшему регулированию - бизнесу нужна ясность, чтобы работать эффективно. Но поскольку кибермир постоянно меняется, этот мир трудно регулировать. Написанные сегодня постановления могут не решить возникающие проблемы через два года. Поскольку киберпроблемы становятся проблемами нескольких юрисдикций, об утечках данных и атаках необходимо сообщать во многих разных юрисдикциях, каждая из которых имеет свои собственные правила и сроки отчетности.
Глобальные стандарты регулирования находятся в зачаточном состоянии, а правительства находятся на разных этапах совершенствования своего киберрегулирования. В ЕС GDPR предоставляет одну организацию для регулирования множества стран. США - это скорее мешанина: соблюдение государственных и федеральных правил часто усложняет ситуацию.
Поскольку для киберрисков нет границ, а глобальные нормативные стандарты еще далеки от реализации, борьба с киберугрозами остается сложной задачей. Для успешного решения проблем регулирования киберпространства риск-менеджерам необходимо будет тесно сотрудничать со своими комплаенс-группами, юридическими и ИТ-группами.
В-пятых, кибербезопасность остается недооцененным риском для многих предприятий. Многие фирмы не покупают киберпокрытие. Киберстрахование часто рассматривается как «приятное занятие», а киберубытки - как то, с чем сталкиваются другие предприятия. Сегодня стоимость покупки полиса киберстрахования - это деньги, которых у риск-менеджеров может не оказаться, когда они столкнутся с растущими затратами на другие программы страхования, которые им нужны.
В результате хакеры атакуют значительный пул компаний, которые «надеются на лучшее», но, возможно, не установили необходимый им уровень кибербезопасности. Хакеры используют элемент неожиданности и неподготовленность этих фирм в своих интересах. Следовательно, в 2020 году количество кибератак продолжало расти, а выплаты вымогателей достигли рекордно высокого уровня. Напротив, аппетит к киберстрахованию вырос умеренно.
Заключение
Трудно предсказать, что произойдет в 2021 году - кибермир продолжает развиваться, но можно сделать несколько безопасных прогнозов:
Стоимость сетевой безопасности станет большей частью бюджета ИТ-директора по мере того, как компании переводят свою деятельность в цифровую форму. Киберриски становятся все больше, и по мере того, как компании все больше и больше полагаются на технологии, они будут тратить деньги, чтобы защитить себя.
Воздействие государственного регулирования киберрисков усилится из-за:
- Новые требования к отчетности в соответствии с новыми правилами.
- Повышенная стоимость обслуживания и соблюдения правил кибербезопасности.
- Штрафы и пени, начисленные за нарушение правил регулирования кибербезопасности.
- Атаки программ-вымогателей будут ускоряться до тех пор, пока выплата выкупа не станет незаконной или пока компании не будут вкладывать больше ресурсов в кибербезопасность.
Из-за вышеизложенного и необходимости более высоких лимитов стоимость киберстрахования вырастет, считают аналитики Zurich insurance.
Подготовлено порталом Allinsurance.kz