NotPetya і BlackEnergy: як захистити бізнес від хакерів? Експерт про найбільші атаки в Україні і кібербезпеку

NotPetya і BlackEnergy: як захистити бізнес від хакерів? Експерт про найбільші атаки в Україні і кібербезпеку

У 2020 році збитки від кіберзагроз становили понад трильйон доларів або 820 мільярдів євро. Про це свідчать дані американської компанії McAfee, яка спеціалізується на комп'ютерній безпеці, та Центру стратегічних і міжнародних досліджень (CSIS). Про наслідки кібератак та скільки компанії витрачають на захист свого електронного документообігу в ефірі Українського радіо розповідає експерт з кібербезпеки Віталій Якушев.

0:00 0:00
10
1x

Скільки збитків хакерські атаки заподіяли світовій економіці

Є брехня, повна брехня і статистика. Тут статистика, яка покриває всі видатки, зокрема й прямі та непрямі. Якщо мова йде про прямі видатки, то там цифра доходить до декількох сотень мільярдів. Однак, якщо порахувати, що бізнес простояв і недозаробив якусь суму, тоді виходить 1,2 трильйони у 2020 році, а у 2019 році був рівно трильйон. До 2030 року прогнозують, що ця сума збільшиться до 10 трильйонів.

Чи стали компанії  за час пандемії більше приділяти увагу кібербезпеці

Треба розуміти, чому кібератаки зростають? Це відбувається через діджиталізацію бізнесу, цифровізацію бізнес-процесів. У зв’язку з тим, що ми працювали віддалено, це необхідно було робити за допомогою it-інструментів, варто було оцифровувати свої процеси. Коли бізнес починає залежати від бізнес-процесів, тоді приходять злі хакери і, порушуючи ці процеси, можуть вимагати гроші, викрадати цифрові активи, які можна монетизувати. Кількість атак зростає через діджиталізацію бізнесу. У світі є 17% компаній, які справді можуть протистояти масовим атакам, які створюють навіть не дуже кваліфіковані хакери.

Про найбільші кібератаки в Україні

Якщо говорити глобально, то Україна ― тестовий полігон для кібератак. У нас було багато атак, яких до цього не було у світі. У 2017 році була третя велика атака, яку називають Petya (27 червня 2017 року в Україні сталася масштабна кібератака вірусом NotPetya, який блокував комп’ютерні системи компаній та державних установ, вимагаючи за розблокування 300 доларів у біткойнах ― ред.). Ця кібератака багатьох зачепила, про неї знають не лише у нас. Однак до цього було здійснено ще дві великі атаки, які вплинули на життя громадян України. У 2015 році від кібератаки BlackEnergy постраждали споживачі "Прикарпаттяобленерго" (було вимкнено близько 30 підстанцій, майже 230 тисяч мешканців залишались без світла протягом 1-6 годин ― ред.), скоріше за все участь у цьому брали кібервійська, яких спонсорувала Російська Федерація. Однозначно це стверджувати не можна, але за багатьма критеріями, ознаками і мотивацією можна говорити, що це схоже на росіян. Через рік, наприкінці лютого 2016 року, сталася друга хвиля кібератак на компанії енергетичного сектора України (було розіслано близько 100 отримувачам "вірусні" листи електронною поштою ― ред.). Ці атаки досі вивчають вивчають у світі.

Коли у підприємців запитують, які ризики є найбільш впливовими для бізнесу, то з 2017 року серед основних є кіберризики. У статистиці кіберризиків для бізнесу кібератаки знаходяться на 9-му місці у 2018 році. Проте у 2019 році кіберризики вже не входили в топ 10 ризиків для бізнесу. У нас у цій 10 знаходяться ризики від правоохоронних органів, рейдерство, криміналітет ― все, що не пов’язано з віртуальним світом. Тому, коли у мене питають про те, як в Україні з кібербезпекою, то я відповідає, що кібербезпека ― це коли ми думаємо про те, щоб  нас завтра не зламали, але у нас в країні мало хто думає про наступний день, бо у нас все швидко змінюється: влада, закони, податкові умови, а бізнес хоче заробити сьогодні і зараз. Кібербезпекою хочуть займатися, але це завжди не на часі для підприємців. 

Чи простіше відкрити новий бізнес, ніж відновити старий через атаку

Так. На жаль, так. Бо репутаційний авторитет в Україні мало про що свідчить. Тут створена така система, що гроші знаходяться на першому місці, а репутація ― на десятому. Стратегічне мислення менеджерів у нас також ще розвивається.

Про кіберзахист в Україні

На папері дуже багато всього "відбувається". Наприклад, у нас є стратегія на 5 років щодо кібербезпеки України. Ми беремо участь у цьому, щоб стратегія була дійсно ефективною, щоб працювала. Нині розробляють закон щодо кібербезпеки, але проблема ще й в тому полягає, що у нас низький поріг відповідальності за невиконання законів, робить ці закони недіючими. Депутати намагаються показати перед виборами, що вони ухвалили, але насправді закони так і не працюють.

Чи можна розділяти кібербезпеку і цифровізацію

Можна розділяти тільки в тому випадку, коли ви розумієте, що ваш бізнес не зупиниться, якщо не працюватимуть цифрові технології. Років 15 тому у компаній була база клієнтів в Excel та в записнику, якщо Excel зашифрував вірус, то можна взяти записник і продовжити працювати. Така система була незручною, але можна було продовжувати свою роботу. Нині, коли ми дуже залежимо від цифрових технологій, треба уявити, що наша база пошкоджена і немає резервної копії, тоді зрозуміло, що свою кібербезпеку не можна залишити осторонь. Якщо ж відновлення даних буде  займати не дуже багато часу, тоді можна не думати про кібербезпеку. 

Чи захищений бізнес, якщо захищена держава

Країна повинна бути рольовою моделлю. Вона повинна показувати приклад того, що про свою кібербезпеку потрібно дбати, що базу даних наших громадян не можна купити на книжковому ринку, що вона відповідає за кожен злам свого ресурсу. У такому випадку бізнес задумається, що якщо держава піклується про дані, тоді й йому потрібно буде це робити.

Нині створюють закон про захист критичної інфраструктури, коли держава буде регулювати ринок навіть приватних компаній, від яких залежить бізнес або громадяни: мобільні оператори, енергокомпанії, комунальні підприємства. Їх будуть змушувати, якщо вони самі не хочуть, займатися кібербезпекою, адже це буде не лише їхньою проблемою, а й проблемою країни чи громадян. Але регуляція має бути "м’якою", адже "жорстка" регуляція ― це привід для корупції. "М’яка" регуляція ― це коли країна дає рекомендації, що робити, а якщо щось трапилося, тоді країна має перевірити, чи були використані рекомендації, і дуже суворо карати, якщо до неї не дослухалися.

Хто несе відповідальність за кібербезпеку в компанії

Генеральний директор повинен розуміти кіберризики. Він не повинен бути технічним спеціалістом, сам закривати ці ризики, але він має усвідомлювати, що має ризики і мати команду зовнішніх консультантів чи створювати в компанії відділ з людей, які будуть слідкувати за цим. Можна порахувати скільки кібератаки коштуватимуть компанії, скільки бізнес через це може втратити, тоді буде розуміння, що гроші на кібербезпеку ― це не витрати, а інвестиція.

Коли бізнесу потрібно думати про кібербезпеку

В ідеалі ― це потрібно робити на початку. Це міф, що кібербезпека ― це дорого. Вона коштує пропорційно розміру вашого бізнесу. Якщо у підприємця є лише телефон та комп’ютер ― це все, що потрібно захищати, що можна робити й безкоштовно, але ризиками потрібно займатися одразу. Однак, коли потім буде велика компанія, то власник буде розуміти, за що він платить.

Чи може власник втратити бізнес через одного працівника

Більшість успішних кібератак починаються через людський фактор, які починаються з різних повідомлень. Наприклад, фішинг― це коли надсилають шахрайське повідомлення в будь-який месенджер або електронну пошту з закликом щось зробити: перейти за посиланням, встановити додаток до браузера, відкрити вкладення, так людина може відкрити вхід у компанію для зловмисника. Є дуже багато випадків, коли компанія, якщо не припинила свою роботу, то втрачала дуже великі гроші. Була така статистика, що якщо в компанії працюють більше 25 людей, то є 100% можливість, що хтось з них отримає фішингове повідомлення.

Що має зробити керівник компанії, щоб уникнути атаку

Кібербезпека складається з трьох основних засад: технології, процеси та люди. Технології всі купують, знають, що є антивіруси, системи захисту, але власники забувають про інші аспекти, без яких безпеки не буде. Другий з них ― це побудова процесів, які вкажуть, що необхідно зробити далі. У компанії є нетехнічні і технічні спеціалісти, які, якщо не проходять підвищення кваліфікації, то можуть робити помилки у налаштуванні захисного обладнання або програмному забезпеченні і також відкривати двері кіберзлочинцям. Впровадження технологій не вирішує всіх проблем, без процесів неможливо побудувати захист, а також треба вчити людей.

Як тим підприємцям, чиї співробітники знаходяться поза офісом, забезпечити роботу і вберегти їх від можливих кібернападів

У 2020 році, коли почалася дистанційна робота мене з колегами запросили долучитися до серіалу про цифрову безпеку. В пошуковій системі його легко знайти за назвою "Кіберняні". Там дуже багато корисних порад, адже ми намагалися у найкоротший термін пояснити те, що люди вчать роками.

Фото: pixabay.com