" Успешная кибератака на критическую инфраструктуру, такую как электрические сети, транспортные сети или системы здравоохранения, может привести к серьезным нарушениям и поставить под угрозу жизнь людей. Выплата выкупа киберзлоумышленникам может спасти жизни и предотвратить огромные убытки. Но это также поощряет дальнейшие атаки.
Наше понимание того, насколько серьезна эта угроза, далеко не полное, поскольку исторически от организаций не требовалось сообщать об утечках данных. Тем не менее, по утверждению Центра обмена информацией о правах на конфиденциальность, количество атак растет.
По мере того, как цифровой мир продолжает расширяться и интегрироваться во все аспекты жизни общества, киберугрозы становятся все опаснее. Сегодня они приняли форму изощренных атак программ-вымогателей и изнурительных утечек данных, особенно нацеленных на основную инфраструктуру.
Главный вопрос, которым в этой ситуации задаются политики: должны ли предприятия, столкнувшиеся с разрушительными атаками программ-вымогателей и потенциально опасными для жизни последствиями, иметь возможность выплатить большие суммы в криптовалюте, чтобы решить проблему? Некоторые считают, что выкупы должны быть запрещены из-за боязни спровоцировать еще больше нападений.
Программы-вымогатели и этическая дилемма: платить ли выкуп?
На самом базовом уровне программа-вымогатель — это просто форма вредоносного ПО, которое шифрует важные данные жертвы и требует выкуп за возвращение доступа к ним. Недавнее исследование Chainalysis показывает, что количество крипто-киберпреступлений за последний год снизилось на 65%, но программы-вымогатели выбиваются из этой статистики, поскольку их число только увеличилось.
«Программы-вымогатели — это одна из форм преступлений, связанных с криптовалютой, число которых растет в 2023 году. Фактически, по числу успешных атак злоумышленников-вымогателей текущий год — второй за всю историю, поскольку таким образом было добыто уже не менее 449,1 миллиона долларов, по данным на июнь», — сообщил Chainalysis.
Количество криптовалютных транзакций сократилось, но злоумышленники стали более агрессивно преследовать более крупные организации. Chainalysis утверждает:
«Охота на крупную дичь, то есть нападения злоумышленников с программами-вымогателями на крупные и состоятельные организации, похоже, восстановилась после затишья в 2022 году. В то же время количество успешных небольших атак также выросло».
Парализующий эффект программ-вымогателей особенно заметен для компаний, которые сильно зависят от данных и доступности системы.
Рисунок 1. Совокупный годовой доход от программ-вымогателей в 2022 г. по сравнению с 2023 г. Доход от программ-вымогателей вырос. Chainalysis.
Вопрос о том, платить ли выкуп, вызывает споры. С одной стороны, выплата выкупа может рассматриваться как самый быстрый способ восстановить операции, особенно когда на карту поставлены жизни или средства к существованию. С другой стороны, уступка требованиям преступников создает порочный круг, поощряя и финансируя будущие нападения.
Организации, столкнувшиеся с необходимостью принять такое решение, должны взвесить несколько факторов, в том числе потенциальные потери, если операции не могут быть восстановлены в кратчайшие сроки, вероятность восстановления доступа после оплаты и более широкие социальные последствия поощрения киберпреступности. Для некоторых решение чисто прагматическое; для других это глубоко этично.
Рисунок 2. Атаки по типу организации. Chainalysis.
Следует ли запретить выплату выкупа?
После крупной атаки программы-вымогателя на австралийскую потребительскую кредитную компанию Latitude Financial, в ходе которой были украдены миллионы клиентских записей и идентификаторов, некоторые начали выступать за запрет на выплату выкупа как способ сдерживания атак и лишения киберпреступников их финансовых стимулов.
В Соединенных Штатах Белый дом выразил поддержку запрету. «Для отдельной организации может быть выгоднее решение платить, но для более широкой проблемы программ-вымогателей это неправильное решение… Мы должны спросить себя, не было бы полезнее в более широком смысле, если бы компании не платили выкуп?» — заявила Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новым технологиям в Белом доме.
Сторонники запрета утверждают, что это сдержит преступников и переориентирует приоритеты для руководителей высшего звена, а критики предупреждают, что запрет может поставить жертв в невыгодное положение, особенно когда утечка данных может привести к гибели людей, как в случае нападения на медицинские учреждения.
«Преобладающий совет ФБР и других правоохранительных органов заключается в том, чтобы не поощрять организации платить выкуп злоумышленникам, — говорит Жаклин Бернс Ковен, глава отдела анализа киберугроз в Chainalysis. — Эта позиция основана на понимании того, что выплата выкупа усугубляет проблему, поскольку она побуждает злоумышленников продолжать свои злонамеренные действия, ведь они знают, что могут эффективно удерживать организации в заложниках для получения финансовой выгоды. Однако некоторые ситуации могут быть исключительно ужасными, когда организации и, возможно, даже отдельные лица сталкиваются с угрозами существованию из-за атак программ-вымогателей. В таких случаях решение заплатить выкуп может быть мучительным, но необходимым выбором. ФБР признает этот нюанс, позволяя организациям принимать собственные решения в таких сценариях с высокими ставками, и выражает несогласие с полным запретом на платежи».
Еще один усложняющий фактор заключается в том, что растущее число атак программ-вымогателей, по данным Chainalysis, может не иметь финансовых требований, а вместо этого направлено на шантаж и цели шпионажа.
«В таких случаях может не быть реального способа заплатить злоумышленникам, поскольку их требования могут выходить за рамки денежной компенсации… В случае, если организация оказывается в ситуации, когда выплата выкупа является единственным жизнеспособным вариантом, важно подчеркнуть важность сообщения об инциденте в соответствующие органы, — говорит Жаклин Бернс Ковен. — Прозрачность в сообщении об атаках программ-вымогателей имеет решающее значение для отслеживания и понимания тактики, методов и процедур, используемых злоумышленниками. Обмениваясь информацией об атаках и их последствиях, более широкое сообщество кибербезопасности может сотрудничать для улучшения защиты и мер противодействия будущим угрозам».
Можно ли мы ввести запрет на выплаты вымогателям?
Даже если ввести такой запрет, обеспечить его соблюдение будет сложно. Тайный характер этих операций усложняет отслеживание и регулирование. Кроме того, для пресечения этих преступлений необходимо международное сотрудничество, а достижение глобального консенсуса в отношении запрета на выплату выкупа может оказаться сложной задачей.
Хотя запрет выкупа может побудить некоторые организации вкладывать больше средств в надежные меры кибербезопасности, планы аварийного восстановления и группы реагирования на инциденты для предотвращения, обнаружения и смягчения последствий кибератак, это по-прежнему равносильно наказанию жертвы и принятию решения за нее.
«К сожалению, запрет на выплату вымогателям традиционно не был эффективным способом снижения преступности — он просто криминализирует жертв, которые вынуждены платить, или заставляет преступников использовать новую тактику, — говорит Дэвис Хейк, соучредитель Resilience Insurance, подчеркивая, что есть другой путь. — Подготовив исполнительные команды к борьбе с атакой, внедрив элементы управления, которые помогают компаниям восстанавливать данные из резервных копий, и инвестируя в такие технологии, как EDR и MFA, клиенты значительно реже платят за вымогательство или не сталкиваются с этой угрозой вообще. Страховой рынок может стать положительной силой для стимулирования этих изменений среди предприятий и ударить киберпреступников по самому больному месту: по их кошелькам», — продолжает Хейк.
Растущая угроза и риск кибератак на критически важную инфраструктуру
Затраты на выплаты программам-вымогателям, атаковавшим инфраструктуру, часто в конечном итоге ложатся на налогоплательщиков и муниципалитеты, которым приходится наводить порядок.
Чтобы понять экономические последствия кибератак для муниципалитетов, была проанализирована опубликованная информация о совершенных на них атаках. Фактически, увеличение на 1% кибератак на уровне муниципалитетов приводит к увеличению доходности их предложений (облигаций) в диапазоне от 3,7 до 5,9 базисных пунктов, в зависимости от уровня подверженности атакам. Оценка этих оценок при среднем ежегодном выпуске в размере 235 миллионов долларов на муниципалитет подразумевает 13 миллионов долларов дополнительных ежегодных процентных расходов на округ.
Одна из причин значительных неблагоприятных последствий утечек данных для муниципалитетов и критической инфраструктуры связана со всеми взаимозависимостями в этих системах. Уязвимости, связанные с Интернетом вещей (IoT) и промышленными системами управления (ICS), увеличивались «даже более быстрыми темпами, чем общие уязвимости, при этом эти две категории испытывают рост на 16% и 50% в годовом исчислении.
Ключевым фактором, способствующим этой эскалации угрозы, является быстрое расширение поверхности атаки из-за Интернета вещей, удаленной рабочей среды и растущей зависимости от облачных сервисов. Чем больше конечных точек можно использовать, тем больше у злоумышленников возможностей получить несанкционированный доступ и нанести ущерб.
«Местные органы власти сталкиваются с серьезной дилеммой… С одной стороны, им поручено защищать большое количество цифровых записей, содержащих личную информацию их граждан. С другой стороны, их кибер- и ИТ-специалисты должны бороться, чтобы получить достаточную финансовую поддержку, необходимую для надлежащей защиты своих сетей, — говорит Брайан де Валланс, бывший помощник секретаря DHS. — Государственные организации сталкиваются с рядом проблем при управлении своими киберрисками, самая главная из которых — бюджет. Расходы на ИТ составляют менее 0,1% от общего объема муниципальных бюджетов. Это традиционное недостаточное инвестирование в безопасность усложняет для этих организаций получение страховки на традиционном рынке».
Реформа кибербезопасности должна включать строгие нормативные стандарты, стимулы для улучшения мер кибербезопасности и поддержку жертв кибератак. Государственно-частные партнерства могут способствовать обмену информацией об угрозах, предоставляя организациям информацию, необходимую им для защиты от атак. Кроме того, федеральная поддержка в виде ресурсов или субсидий также может помочь небольшим организациям — будь то малый бизнес или муниципалитеты — которые явно ограничены в ресурсах, поэтому у них есть средства для дополнительных инвестиций в кибербезопасность.
Перейдем к решениям
Итак, является ли решением страхование кибербезопасности? Вероятно, возникнет конкурентный рынок для хеджирования киберрисков, поскольку от организаций все чаще требуется сообщать о существенных инцидентах. Рынок киберстрахования по-прежнему не решит основную проблему: организациям нужна помощь, чтобы стать устойчивыми. Малый и средний бизнес особенно уязвим.
«По прогнозам IDC, в 2023 году инвестиции в цифровую трансформацию достигнут 2 трлн долларов, и вся эта инфраструктура представляет собой огромную мишень для киберпреступников. Хотя страхование превосходно передает финансовые риски, связанные с киберпреступностью, оно не делает ничего, чтобы на самом деле гарантировать, что эти инвестиции останутся доступными для бизнеса», — говорит Хейк, который говорит, что у страховых компаний есть «огромная возможность» помочь клиентам улучшить «кибергигиену, сократить расходы на инциденты и поддерживать финансовые стимулы для инвестиций в меры безопасности».
К счастью, Хейк заметил тенденцию к тому, что все больше компаний «работают с клиентами, чтобы предоставить информацию об уязвимостях и стимулировать действия по исправлению критических уязвимостей».
«Одним из чисто технологических средств защиты, которое может помочь, является SnapShield, «предохранитель, активируемый программами-вымогателями», который работает на основе поведенческого анализа, — говорит Дуг Милберн, основатель 45Drives. — Это безагентное программное обеспечение, которое работает на вашем сервере и прослушивает трафик от клиентов. Если SnapShield обнаружит какой-либо контент программы-вымогателя, он установит соединение с вашим сервером, как предохранитель. Ущерб будет остановлен, и остальная часть вашей сети продолжит работать как обычно, пока ваш ИТ-персонал очищает зараженную рабочую станцию. Он также ведет подробный журнал вредоносной активности и имеет функцию восстановления, которая мгновенно устраняет любой ущерб, который мог быть нанесен вашим данным».
Необходимы и новые инструменты для обеспечения устойчивости в сети.
«Хотя превентивные меры важны, резервное копирование данных с контролируемым доступом является обязательным. Если бизнес использует решение, такое как Jackal Protocol, для регулярного резервного копирования своего состояния и файлов, он может перезагрузиться без уплаты выкупа с минимальными потерями», — сказал Эрик Вайсанен, соучредитель Astrovoult.
В конечном счете, для борьбы с киберугрозами требуется целостный подход, сочетающий политические меры, технологические решения и человеческую бдительность. Независимо от того, будет ли введен запрет на выплаты выкупа, невозможно переоценить безотлагательность инвестиций в надежные системы кибербезопасности.
Запреты редко работают, хотя бы по той причине, что принудительное исполнение либо физически невозможно, либо обходится слишком дорого. Организациям нужны более совершенные инструменты и методы, и в этом могут помочь новые технологии и внедрение передового опыта.
Об авторе
Христос А. Макридис является генеральным директором и основателем Dainamic, стартапа в области финансовых технологий, который создает инструменты на основе искусственного интеллекта для малых и средних банков, а также является профессором в Университете Никосии, где преподает токеномику. Он имеет двойную докторскую степень в области экономики и управления и инженерии Стэнфордского университета.
