Текст книги "Кибербезопасность. Что руководителям нужно знать и делать"

Менее чем через месяц тысячи компаний обнаружили, что их сети инфицированы червем WannaCry, для некоторых последствия оказались катастрофическими[29]29
  The Shadow Brokers, “Don’t Forget Your Base,” Medium, April 8, 2017, https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1.


[Закрыть]. На много дней была парализована Государственная служба здравоохранения Великобритании; некоторым ее подразделениям пришлось перенаправлять машины скорой помощи и отказывать в вызове в некритических случаях[30]30
  Alex Hern, “NHS Could Have Avoided WannaCry Hack with ‘Basic IT Security’, Says Report,” Guardian, October 26, 2017, https://www.theguardian.com/technology/2017/oct/27/nhs-could-have-avoided-wannacry-hack-basic-it-securitynational-audit-office.


[Закрыть]. Автоконцерны Honda, Nissan и Renault вынуждены были остановить производство[31]31
  “Honda Halts Japan Car Plant After WannaCry Virus Hits Computer Network,” Reuters, June 21, 2017, https://www.reuters.com/article/us-hondacyberattack/honda-halts-japan-car-plant-after-wannacry-virus-hits-computernetwork-idUSKBN19C0EI.


[Закрыть].

Эффективные рынки хакерских программ

Хакерский рынок быстро развивается. Сейчас здесь можно купить самые продвинутые программы и услуги, причем они доступны не только правительствам, но и любому покупателю, способному за них заплатить. Во многих случаях цена вполне приемлема и даже скромна.

Например, режимы с относительно небольшим бюджетом (как Демократическая Республика Конго, Объединенные Арабские Эмираты и Зимбабве) позволили себе приобрести программу SkyLock от компании Verint Systems, дающую возможность «засекать, отслеживать [и] манипулировать 70 % мобильных телефонов, находящихся в любой точке мира»[32]32
  “SkyLock Product Description 2013 (brochure),” Washington Post, accessed May 6, 2018, http://apps.washingtonpost.com/g/page/business/skylock-product-description-2013/1276/.


[Закрыть]. Целевой рынок широк и глобален. Verint Systems, скромно начинавшая с программы записи звонков для колл-центров, перешла на разработку кибероружия и средств наблюдения и обзавелась клиентурой в более чем 180 странах мира[33]33
  Verint, “Our Company,” accessed May 7, 2018, https://www.verint.com/our-company/index.html.


[Закрыть].

Продажа кибероружия – растущий бизнес. Глобальный розничный рынок демонстрирует двузначные темпы прироста, расширившись почти с нуля в 2001 году до $20 млрд в 2016 году[34]34
  Jennifer Valentino-DeVries, Julia Angwin, and Steve Stecklow, “Document Trove Exposes Surveillance Methods,” Wall Street Journal, November 19, 2011, https://www.wsj.com/articles/SB10001424052970203611404577044192607407780.


[Закрыть]. Более того, сформировался обширный черный рынок сложных технических решений. Он удовлетворяет спрос на продукты, которые официальные поставщики не хотят или не могут продавать[35]35
  “Cyber Warfare Market Size & Share, Global Industry Report, 2018–2025,” Grand View Research, February 2018, https://www.grandviewresearch.com/industry-analysis/cyber-warfare-market.


[Закрыть]. Работая и в даркнете, и у всех на виду, эти кустарные производители – как физические лица, так и фирмы – предлагают свои продукты и услуги на глобальном рынке.

Это конкурентная и практически бесконфликтная экономика, где действуют клиентоориентированные бизнес-модели и стратегии, перенятые у продвинутых ритейлеров и отделов продаж, располагающих практически неограниченным бюджетом. Игроки рынка стараются выделиться такими дополнительными опциями, как техническая поддержка 24/7, гарантийные обязательства и оперативность. Они используют многие прогрессивные инструменты, в том числе формат подписки, скидки за объем закупок, дифференцированное ценообразование и объемистые каталоги хакерских услуг и инструментария для кибератак.

Повторяя успешную политику таких компаний, как Spotify, Netflix и Amazon Prime, некоторые предприимчивые хакеры внедряют формат подписки для продвижения продуктов. В 2017 году уже упомянутая группа Shadow Brokers предложила услугу под названием «Ни дня без взлома». За скромную ежемесячную плату можно было получать доступ к свежеворованной информации, включая как стандартный ассортимент вроде уязвимостей нулевого дня в операционных системах, смартфонах и финансовых сетях, так и более специфичные данные, например о военных ядерных программах России, Китая, Ирана и Северной Кореи[36]36
  Уязвимость нулевого дня – это уязвимость, для корректировки которой не существует программного обеспечения зачастую потому, что его разработчики просто не знают о ней. The Shadow Brokers, “OH LORDY! Comey Wanna Cry Edition,” Steemit (blog), May 8, 2018, https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition.


[Закрыть].

Желающим рынок хакерских услуг готов предоставить полный цикл разработки кибератаки, начиная от исследований и подготовки, заканчивая реализацией. Все это можно и передать на аутсорсинг. Хороший пример – уже не функционирующий сайт WebStresser.org, представители которого за минимальную плату могли организовать вам DDoS-атаку на любую компанию или организацию. Вместе с рекламой отличного обслуживания и технической поддержки 24/7 WebStresser.org предлагал гибкую модель ежемесячной подписки, стоимость которой колебалась от $18,99 за «бронзовую» лицензию до $49,99 за «платиновую»[37]37
  Интернет-архив сайта WebStresser. Доступ от 18 января 2018 года, https://web.archive.org/web/20180118144032/https://webstresser.org/.


[Закрыть].

Это динамичный, мощный и конкурентный рынок; криминальные структуры активно используют его для поиска необходимых технических средств и специалистов. Он демократизирует сферы деятельности, которые раньше считались прерогативой государственных организаций и крупных преступных синдикатов, а также делает хакерские программы и услуги доступными любому, у кого есть деньги и желание. Никакой технической подготовки не требуется.

С учетом всего этого компаниям пора сосредоточиться на ценности своей информации и бизнес-процессов не только для них самих, но и для кого-то другого. Какую сумму конкуренты или враги готовы потратить, чтобы навредить вам? Неважно, организуют ли они хакерскую атаку своими силами или кого-то наймут. Рынок позаботится о том, чтобы у них все получилось.

Асимметричность атак и защиты

Еще со времен щитов и копий в военных действиях существовала прямая зависимость между силой атаки и необходимой прочностью обороны. Именно она определяет, например, соотношение мощности бетонобойной бомбы и глубины бункера, который бомба призвана разрушить. В цифровом мире такой зависимости нет. Защита от изощренной хакерской атаки обычно требует простых, незатратных, а иногда и банальных мер.

WannaCry

Упомянутый нами червь WannaCry был изощренным, опасным противником. Давайте посмотрим, что же следовало сделать компаниям (многие это и делали), чтобы вирусу не удалось добраться до их сетей.

1. Не игнорировать обновления ОС Windows. Все мы время от времени видим на экранах телефонов и компьютеров просьбу установить обновления, предназначенные в том числе для устранения уязвимостей в системе безопасности. Microsoft выпустила обновление, предназначенное для нейтрализации WannaCry, примерно за 20 дней до того, как он попал в интернет. Установка обновлений – процесс простой и доступный, а для стационарных компьютеров и ноутбуков может проводиться в автоматическом режиме[38]38
  Установка обновлений на сервер в корпоративной среде требует больше времени и проведения дополнительных тестов, подтверждающих, что важные бизнес-приложения продолжают функционировать. Установка обновлений для промышленной системы контроля возможна не во всех случаях. Однако и здесь решение проблемы не отличается сложностью.


[Закрыть].

2. Регулярно и своевременно делать резервные копии операционных систем и данных. Если компания об этом не забывает, даже в случае проникновения WannaCry на ее компьютеры останется возможность восстановить предыдущую, чистую версию операционной системы и данных. А значит, можно будет вернуться к работе.

Из истории с WannaCry мы извлекли пару интересных уроков, касающихся не только создания червя и мер борьбы против него. Во-первых, неспособность компаний защититься от WannaCry – чисто управленческая, а не техническая проблема. Соблюдение «техники кибербезопасности» – рутина, которой люди часто пренебрегают себе во вред. Во-вторых, хотя сам по себе WannaCry был хитрым вирусом, представителям компаний требовалось узнать о нем не так много, чтобы избежать неприятностей. По сути, все необходимое уместилось в этой главе.

Quantum Insert

Quantum Insert – еще один пример вредоносной программы, с немалыми затратами разработанной в Агентстве национальной безопасности[39]39
  Kim Zetter, “How to Detect Sneaky NSA ‘Quantum Insert’ Attacks,” Wired, April 22, 2015, https://www.wired.com/2015/04/researchers-uncover-method-detect-nsa-quantum-insert-hacks/.


[Закрыть]. Хотя трудно точно оценить, сколько денег «влили» в этот вирус, есть интересный факт: в 2013 году бюджет АНБ увеличили на $32 млн в связи с разработкой «нестандартных решений»[40]40
  Jacob Appelbaum et al., “NSA Preps America for Future Battle,” Spiegel Online, January 17, 2015, https://www.spiegel.de/international/world/new-snowden-docs-indicate-scope-of-nsa-preparations-for-cyber-battle-a-1013409.html.


[Закрыть].

Программа позволяла не только отслеживать посещение тех или иных сайтов, но и использовать эту информацию для установки вредоносных программ на компьютеры. Quantum Insert запускается, когда пользователь заходит на определенную веб-страницу. Сайт еще не успевает отреагировать на запрос, а Quantum Insert уже внедряет туда вредоносную программу. И пока браузер ожидает загрузки страницы, программа беспрепятственно проникает на компьютер.

Такие программы стали настолько популярными, что компании разрабатывали их коммерческие версии для стран с более скромными финансовыми ресурсами. Например, Gamma International GmbH продала аналогичную программу, разработанную компанией Dreamlab Technologies AG, правительству Туркменистана за 875 000 швейцарских франков (примерно $858 000)[41]41
  WikiLeaks, “Quotation: Infection Proxy Project 1”. Доступ 3 мая 2019 года, https://www.wikileaks.org/spyfiles/docs/DREAMLAB-2010-TMQuotInfe-en.pdf.


[Закрыть]. Чтобы не уступать конкурентам, Китай разработал аналогичную программу под названием Great Cannon[42]42
  Bill Marczak et al., “China’s Great Cannon,” The Citizen Lab, April 10, 2015, https://citizenlab.ca/2015/04/chinas-great-cannon/.


[Закрыть].

Однако Quantum Insert и ее имитации имеют серьезный недостаток: от них нетрудно защититься. Эти программы не работают, если на компьютере имеется зашифрованный алгоритм посещения сайтов. В этом случае они не находят подробностей, необходимых для фабрикации откликов веб-страниц. Сайты все чаще используют шифрование для защиты, и это касается не только банков или интернет-магазинов. Даже сайт с коллекцией эмодзи – https://emojipedia.org – применяет шифрование.

Определить, применяется ли шифрование на сайте, можно, посмотрев на первые пять букв в его адресе. Если это «https», шифрование производится и ваш компьютер неуязвим для атаки. Эта защита предоставляется бесплатно и не требует от вас никаких действий. Если вы хотите подстраховаться дополнительно, можно использовать виртуальную частную сеть (virtual private network – VPN), которая шифрует все ваши интернет-коммуникации. VPN предоставляется бесплатно или за небольшую плату.

Осознание несоответствия между серьезностью атаки и прочностью защиты поможет вам разобраться с двумя аспектами вашей персональной кибербезопасности. Во-первых, это касается инвестиций: вы научитесь скептически оценивать любые требования дополнительных расходов, подкрепленные исключительно заявлениями о растущей сложности кибератак. Во-вторых, вы поймете, что изощренность атаки – недостаточное оправдание неспособности вашей компании защитить себя.

Глава 3. Распространенные заблуждения

СМИ, реклама и в некоторой степени массовая культура влияют на наши представления о киберугрозах, их опасности и методах устранения. Поскольку кибербезопасность – относительно новая тема, вам, возможно, сложно интерпретировать связанные с ней новостные заголовки, оценивать их актуальность для вашей компании и фильтровать дополнительную информацию. Растущий интерес к сфере постепенно облегчает эти задачи, и все же, читая новости, стоит учитывать цели и интересы их источников.

На эту тему чаще высказываются члены правительств и поставщики IT-решений по кибербезопасности, а рупором служат СМИ. Далее мы рассмотрим нюансы, влияющие на то, какая информация и где освещается, а какая – нет.

Правительство

Главный долг любого правительства – заботиться о народе. Испокон веков это подразумевало обеспечение национальной безопасности, исполнение законов и укрепление экономики. Каждое правительство пытается достичь этих целей по-своему, но никто не спорит с тем, что они приоритетны.

Мы живем в цифровую эпоху; это отражается на всех сферах жизни. Правительства вынуждены пересматривать многие аспекты деятельности и искать наилучшие способы справляться со своей ролью.

Долг предупреждать

Правительства зачастую предупреждают о надвигающихся или ожидаемых бедствиях: воздушных налетах на Лондон во время Второй мировой войны, ураганах на юго-востоке США, цунами в Индийском океане. Людям даются простые, понятные рекомендации: прятаться в бомбоубежище, уезжать или подниматься как можно выше. Остается только им следовать.

К несчастью, с предупреждениями о киберугрозах все сложнее. Возможно, вы помните, как весной 2018 года США и Великобритания заявили о российских атаках против своих правительств, компаний и частных лиц[43]43
  David D. Kirkpatrick and Ron Nixon, “U.S.-U.K. Warning on Cyberattacks Includes Private Homes,” New York Times, April 16, 2018, https://www.nytimes.com/2018/04/16/world/europe/us-uk-russia-cybersecurity-threat.html?emc=edit_nn_20180417&nl=morning-briefing&nlid=5079423220180417&te=1; информационный бюллетень Национального центра кибербезопасности Великобритании, https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastructure-devices.


[Закрыть]. В сообщениях подчеркивалось, что под угрозой оказались в первую очередь сетевые маршрутизаторы, серверы интернет-провайдеров, а также устройства, подключенные к интернету (например, термостаты и камеры). Утверждалось, что пока неясно, насколько успешны действия хакеров и каковы их намерения. В заключении приводились рекомендации: как узнать, не взломана ли ваша домашняя сеть, и как укрепить ее защиту.

Однако эти рекомендации были непонятны людям, чьи устройства и сети оказались под угрозой. Ну а некоторые пункты, например изменить условия договора с провайдером, выглядели сложными или просто невыполнимыми.

Примерно в то же время МИД Нидерландов выпустил спецпредупреждение для своих граждан, путешествующих по Турции, Китаю, России и Ирану или проживающих там. Речь шла о киберугрозах для их электронных устройств[44]44
  “Turkey Poses Cyber Security Threat, Holland Warns Travellers,” Ahval, April 9, 2018, https://ahvalnews.com/cybersecurity/turkey-poses-cyber-security-threat-holland-warns-travellers.


[Закрыть]. МИД рекомендовал стандартные меры безопасности, например использование «чистых» ноутбуков и смартфонов с минимумом необходимых данных. Проблема таких советов в том, что они не учитывают объем информации и технологий, необходимых для деловых поездок; не соответствуют реалиям жизни и работы в зарубежных странах.

Подобные рекомендации могут быть продиктованы как реальными угрозами, так и очевидными геополитическими соображениями. Так или иначе, они бесполезны для защиты компаний или частных лиц и лишь повышают нашу тревожность.

Принять ли помощь от государства?

Вал успешных кибератак на бизнес, зачастую приписываемых «внешним врагам», породил множество дискуссий об ответственности правительства. Должно ли государство защищать частные компании? Это важный момент. Традиционно под национальной безопасностью понимали защиту границ, разведку/контрразведку и готовность к любому нападению. Но на цифровой войне все не так просто.

Первая сложность – идентифицировать врага. Если к вашим границам подошла танковая колонна, все достаточно очевидно, а вот кибератаку можно осуществить откуда угодно. Например, бостонская компания, атакованная якобы из Северной Кореи, точно так же могла подвергнуться угрозе из Нью-Йорка, но не напрямую, а по замысловатому маршруту через Францию и Сингапур. Все «улики» (источник хакерских программ, особенности написания кода, адреса атакующих компьютеров) легко подделать. Кроме того, собрать их и проанализировать можно только после начала атаки. Мы не можем заранее узнать, есть ли у нее «иностранный след», и обсудить с военными уместность ответных действий.

Когда правительство предлагает помощь в организации киберзащиты, руководству компании важно понять, какие риски это устранит, какие нет и не создаст ли новых проблем. Подобная помощь, как правило, включает мониторинг всех сетевых коммуникаций компании, входящих и исходящих. Это нивелирует риск атак с использованием вредоносных программ, но не защищает от угроз, устранение которых требует понимания специфики бизнес-процессов компании. Мониторинг не предотвратил миллиардные убытки автоконцерна из Азии (о чем мы говорили в главе 2) и вряд ли выявит финансовые махинации в отделе закупок или хищение интеллектуальной собственности кем-то из партнеров.

Да, мониторинг сетевых коммуникаций частично защищает от кибератак. Однако последствия того, что ваша сокровищница конфиденциальной информации окажется в распоряжении правительства (или даже нескольких правительств, если речь о транснациональной корпорации), непредсказуемы. Ведь глобальные интересы государств и транснациональных корпораций не совпадают, и есть риск, что информации, собираемой в ходе противодействия кибератакам, найдут и другое применение.

Именно поэтому глава службы безопасности транснациональной горнодобывающей компании отклонил предложенную правительственным агентством США помощь с мониторингом сетей[45]45
  На правах пересказа частной беседы, состоявшейся 16 апреля 2019 года.


[Закрыть]. Несколько лет спустя аналогичное предложение поступило его преемнику. В присланном соглашении мелким шрифтом был прописан пункт, согласно которому агентство получало право использовать любую собранную информацию для расследования уголовных дел. Предложение вновь отклонили. Даже если эту информацию никогда не используют для других нужд, риски существуют. Чужие руки – это чужие руки. К тому же правительственные агентства, включая АНБ (хотя в его названии и фигурирует слово «безопасность»), вряд ли могут похвастаться безоговорочным умением защищать себя и свои данные от кибератак[46]46
  Scott Shane, Nicole Perlroth, and David E. Sanger, “Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core,” New York Times, November 12, 2017, https://www.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html.


[Закрыть].

Вышесказанное – не критика той помощи, которую правительства предоставляют частным компаниям и лицам для повышения кибербезопасности. Но мы хотим подчеркнуть, что характер предлагаемых решений напрямую зависит от типа угроз, с которыми государство привыкло бороться, – например, военная агрессия. Бизнес же сталкивается с более широким спектром рисков и, защищаясь от них, должен руководствоваться своими внутренними приоритетами.

Поставщики IT-решений по кибербезопасности

Рынок кибербезопасности растет стремительнее многих других областей экономики, но конкуренция здесь острейшая. По одной из оценок, в 2018 году 2300 игроков этого рынка предлагали около дюжины разных типов продуктов[47]47
  https://www.crunchbase.com/search/organization.companies/70fb49fd65d4beea2d65330825fd1023eed764a7.


[Закрыть], и количество игроков будет только расти. Поставщикам услуг в этой сфере непросто отстроиться от своих прямых конкурентов и выгодно позиционировать свои продукты на фоне тех, которые настроены на другие киберриски.

Опросы и отчеты

Продемонстрировать уникальность на переполненном рынке всегда сложно. Чтобы добиться этого, поставщики IT-решений по кибербезопасности иногда используют опросы и отчеты, подчеркивающие их весомость и масштаб возможностей.

Игроки рынка, особенно не успевшие занять свою нишу, стремятся привлечь внимание, публикуя устрашающие прогнозы расходов на борьбу с киберпреступностью. Например, в отчете Cybersecurity Ventures за 2016 год говорилось о грядущем «хакеркалипсисе». Согласно прогнозам этой организации, в 2021 году мировой ущерб от киберпреступлений достигнет $6 трлн[48]48
  Steve Morgan, “Hackerpocalypse: A Cybercrime Revelation,” Cybersecurity Ventures, August 26, 2016, https://cybersecurityventures.com/annual-cybercrime-report-2016/.


[Закрыть]. Для сравнения: это больше ВВП любой страны, кроме США и Китая.

Другой пример – компания CrowdStrike. Она расширила свой ежегодный отчет о глобальных угрозах, включив туда не только открытые данные о кибератаках в 2018 году, но и сведения о 90 млрд ежедневных инцидентов, которые зафиксировала платформа Falcon[49]49
  “2018 CrowdStrike Global Threat Report: Blurring the Lines Between Statecraft and Tradecraft,” CrowdStrike, 2018, https://www.crowdstrike.com/resources/reports/2018-crowdstrike-global-threat-report-blurring-the-lines-between-statecraft-and-tradecraft/.


[Закрыть]. Мониторинг сетей, который выполняет Falcon, похож на вариант, предложенный правительством США (предыдущий раздел), и имеет те же ограничения и риски. Все 90 млрд событий он атрибутирует одинаково – как атаки вредоносных программ – и не учитывает внутренние киберриски, например отключение недовольным IT-специалистом критически важной системы контроля воздушного пространства.

Поставщики услуг в сфере кибербезопасности привлекают внимание к своим коммерческим предложениям, сознательно искажая данные об угрозах. У этого подхода давняя история. Так, 19 марта 2009 года бывший старший вице-президент и глава службы безопасности компании AT&T Эдвард Аморозо сообщил Комитету по торговле, науке и транспорту Сената США следующее: «В прошлом году ФБР объявило, что доходы от киберпреступлений впервые превысили оборот наркоторговцев, всегда считавшийся наиболее прибыльным криминальным бизнесом и приносивший ежегодно более $1 трлн»[50]50
  Слушания по усилению кибербезопасности в Комитете по торговле, науке и транспорту Сената США. Свидетельские показания старшего вице-президента и главы службы безопасности компании AT&T Эдварда Аморозо (19 марта 2009 года), https://www.commerce.senate.gov/services/files/e8d018c6-bf5f-4ea6–9ecc-a990c4b954c4.


[Закрыть]. Никаких ссылок на источник он не привел. Названный им доход киберпреступников был в 80 раз больше прибыли AT&T, а также превышал ВВП любой страны в мире, кроме первой дюжины[51]51
  Чистая прибыль компании AT&T за тот год, когда Аморозо давал показания перед сенаторами, составила $12,5 млн (данные годового отчета за 2009 год: https://www.att.com/Common/about_us/annual_report/pdfs/ATT2009_Financials.pdf).


[Закрыть]. Далее Аморозо предложил изменить приоритеты федеральных закупок так, чтобы стимулировать гражданские организации использовать решения AT&T по борьбе с DDoS-атаками[52]52
  В 2009 году доходы киберпреступников составили $1 трлн, что уступает лишь ВВП 13 крупнейших стран мира. Международный валютный фонд, доклад о перспективах развития мировой экономики. Апрель 2012 года, http://www.imf.org/external/pubs/ft/weo/2012/01/weodata/index.aspx.


[Закрыть].

Нерыночное регулирование спроса

Регулирование спроса с помощью госорганов, как в случае с Аморозо, – еще один хитрый ход, который поставщики услуг в сфере кибербезопасности используют, чтобы закрепиться на рынке и увеличить свои доходы.

В 2017 году израильская компания Cellebrite (подрядчик правительства США, производящий устройства для мобильной криминалистики) лоббировала принятие в штате Нью-Йорк закона, обязывающего использовать ее продукт Textalyzer для судебно-криминалистического анализа смартфонов всех водителей после ДТП. Textalyzer устанавливает факт отправки и получения водителем сообщений перед аварией[53]53
  “NYS Legislature Hosts Distracted Driving Lobby Day Event,” YouTube video, 46:05, posted by NYSenate, April 24, 2017, https://www.youtube.com/watch?v=r3N0TL_WEtE.


[Закрыть]. В США 49 штатов уже приняли законы, запрещающие переписываться за рулем. Несмотря на это почти 18 000 представителей правоохранительных органов каждый год сообщают о 6,3 млн автокатастроф, вызванных в том числе нарушениями этого запрета[54]54
  Законопроект Сената США S6325A, Sess. of 2015–2016 (NY2016), https://www.nysenate.gov/legislation/bills/2015/s6325/amendment/a; данные Страхового института безопасности дорожного движения (Insurance Institute for Highway Safety), “Cellphone Use Laws by State,” дата обращения: January 13, 2021, https://www.iihs.org/topics/distracted-driving/cellphone-use-laws; отчет полиции о ДТП за 2015 г.: информация о дорожных авариях Национального центра статистики и анализа данных Министерства транспорта США, “Quick Facts 2016,” https://crashstats.nhtsa.dot.gov/Api/Public/ViewPublication/812451.


[Закрыть]. Если учесть потенциальный объем рынка, неудивительно, что Cellebrite лоббирует принятие аналогичного закона в других штатах и на национальном уровне[55]55
  Данные управления программ правосудия Министерства юстиции США, “Census of State and Local Law Enforcement Agencies, 2008,” July 2011, https://www.bjs.gov/content/pub/pdf/csllea08.pdf; “Distracted Operators Risk Casualties (DORCs): New York State Legislature and DORCs Announce Unique Efforts to Combat Distracted Driving,” PR Newswire, April 5, 2016, https://www.prnewswire.com/news-releases/new-york-state-legislature-and-dorcs-announce-unique-efforts-to-combat-distracted-driving-300246450.html.


[Закрыть].

Компании манипулируют цифрами, чтобы привлечь внимание к конкретным киберрискам и решениям, способным их устранить[56]56
  В частности, лоббировались такие законы, как «Вопросы уголовного судопроизводства, национальной безопасности и цифровых улик, полученных в результате проведения судебной экспертизы», US Senate Lobbying Disclosure Act Database, “LD-2 Disclosure Form,” accessed March 9, 2018, http://soprweb.senate.gov/downloads/2018_1.zip.


[Закрыть]. Хотя многие отчеты, подготовленные представителями отрасли, содержат полезную информацию, необходимо оценивать актуальность конкретных рисков для вашей компании и критически воспринимать информацию о возможном ущербе.

Средства массовой информации

Как правило, мы узнаём то, что хотят донести до нас представители правительств и игроки рынка кибербезопасности, через новостные СМИ. Они же влияют на наше мнение о киберугрозах и борьбе с ними, на общее видение проблемы и степени ее приоритетности. Новостную повестку, связанную с кибербезопасностью, формируют два ключевых фактора.

Ничего секретного

СМИ могут говорить лишь о тех атаках или утечках данных, о которых им известно, которые уже в той или иной степени стали достоянием гласности. Такая информация распространяется несколькими путями.

• Иногда последствия утечки данных очевидны и их трудно скрыть, как в случае взлома энергосети Украины в 2015 году[57]57
  E-ISAC and SANS ICS report, “Analysis of the Cyber Attack on the Ukrainian Power Grid,” March 18, 2016, p. 4. Доступно по ссылке: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf.


[Закрыть].

• Часто хакеры сами хвастаются превосходством над службами безопасности и обнародуют свои «трофеи». Вспомним взлом сайта знакомств Ashley Madison. Тогда хакеры опубликовали персональные данные 32 млн пользователей этого ресурса[58]58
  Kim Zetter, “Hackers Finally Post Stolen Ashley Madison Data,” Wired, August 18, 2015, https://www.wired.com/2015/08/happened-hackers-posted-stolen-ashley-madison-data/.


[Закрыть].

• Эксперты по кибербезопасности, которым удается обнаружить или проанализировать утечку, обычно также обнародуют результаты изысканий. Например, в мае 2018 года был опубликован отчет о серии хакерских атак, затронувших более 300 сайтов, в том числе сайты зоопарка Сан-Диего и правительства штата Чиуауа (Мексика)[59]59
  Troy Mursch, “Large Cryptojacking Campaign Targeting Vulnerable Drupal Websites,” Bad Packets Report, May 5, 2018, https://badpackets.net/large-cryptojacking-campaign-targeting-vulnerable-drupal-websites/.


[Закрыть].

• Компании обязаны включать такие сведения в свои ежегодные отчеты (это требования регулятора). Пример – утечка персональных данных и конфиденциальной финансовой информации чуть ли не половины жителей США из Equifax, одного из трех крупнейших кредитных агентств в стране[60]60
  Brian Fung, “Equifax’s Massive 2017 Data Breach Keeps Getting Worse,” Washington Post, March 1, 2018, https://www.washingtonpost.com/news/theswitch/wp/2018/03/01/equifax.


[Закрыть].

В то же время СМИ не вправе сообщать о засекреченных утечках данных или кибератаках, поэтому многие инциденты, включая хищения информации, составляющей коммерческую тайну, финансовые махинации и вымогательства, часто остаются неизвестными широкой публике.

Запрос аудитории

Мы зависим от прессы, но и пресса зависит от нас. СМИ публикуют то, что хотят видеть их читатели. Принцип «плохая новость – это хорошая новость» справедлив и для цифрового мира, особенно если речь о кибератаках «коварного внешнего врага» – сложно организованных, никогда ранее не встречавшихся, грозящих катастрофой национального или глобального масштаба. А если наш коварный внешний враг еще и не использует в письменных коммуникациях латиницу? Сенсация!

Такая «страшилка» всегда даст сто очков вперед истории о заурядном маркетологе, без хакерских навыков похитившем корпоративные «бриллианты короны», которые плохо лежали. Хотя угрозы со стороны конкурентов, партнеров, клиентов, поставщиков и сотрудников куда распространеннее и наносят бизнесу куда больший ущерб, читателям подобные новости почти не интересны.

Итак, на деятельность правительств, СМИ и поставщиков услуг в сфере кибербезопасности влияют их функции, цели и стимулы. Анализируя это влияние, вы сможете критически переосмыслить кричащие газетные заголовки и понять, что действительно важно для вас и вашей компании. Теперь, когда мы обрисовали ситуацию в отрасли, можно посвятить остальную часть книги новому подходу к кибербезопасности, который позволит эффективно защищать компанию, ее акционеров и более широкий круг стейкхолдеров.