Киберпреступников, как и среднестатистических представителей бизнеса, в первую очередь волнует вопрос денег. Ни одно мероприятие не должно быть убыточным, а инвестиции, вложенные в те или иные действия, должны окупиться. К несчастью, последние исследования наглядно демонстрируют: практически все атаки обходятся в сущие копейки а, значит, приносят прибыль.
В Лаборатории Касперского подсчитали, что бюджеты крупных корпораций на информационную безопасность составляют в среднем около 9 миллионов долларов в год. А урон при утечке данных может составлять от нескольких десятков тысяч до миллионов долларов за один инцидент. В свою очередь хакеры умудряются проводить успешные операции, обходясь парой сотнен долларов.
Соотношение расходов «атака-защита» несправедливо для бизнеса. И дело не только в высокой стоимости систем безопасности. Успешные действия приносят хакерам отнюдь не космическую прибыль, заставляя трудиться в поте лица, раз за разом тестируя на прочность всевозможные организации. При этом для компаний прямой и косвенный урон от одной утечки может достигать астрономических сумм.
Что же получают злоумышленники, проникая сквозь периметр информационной безопасности? К примеру, стоимость полного комплекта идентификационных данных человека для основных сервисов, таких как Amazon, Uber, Spotify, Gmail, Paypal, Twitter стоит порядка 1000 долларов «за все». Логин-пароль для одного аккаунта можно продать всего за 100 долларов. Информация о кредитных картах в даркнете оценивается примерно в 10 долларов США за запись. А вот полный комплект банковской информации стоит чуть дороже – порядка 1000 у.е.
При этом на черном рынке тоже бывают свои скидки, акции и распродажи. А старую информацию, в ряде случаев, вообще раздают бесплатно.
Для бизнеса ситуация катастрофична: утеря одной записи из базы, по данным IBM, в среднем, обходится в 233 доллара. И это без учетов штрафов со стороны госрегуляторов, которые в последнее время повсеместно следят за надежностью систем информационной защиты частных предприятий.
Стоимость базовых программ, необходимых для успешной кибератаки не запредельна. ПО обойдется злоумышленникам в 45 долларов, а учебники из серии «Взлом для Чайников» — всего в 5. Редкие компоненты, необходимые для проникновения сквозь серьезную защиту, оцениваются в 1000 у.е. А вот за информацию об «уязвимости нулевого дня» придется выложить порядка трех тысяч долларов. Наибольшей статьей расходов станет приобретение имитатора вышки сотовой связи для перехвата данных вызова – 28 000 долларов.
Данные аналитики наглядно демонстрируют: «комплект хакера», позволяющий поставить вредоносную активность на поток, продается в даркнете по ценам для школьников.
Например, спам-кампания, включая хостинг и фишинговый комплект, обойдется в среднем в 500 долларов в месяц. При этом цены стартуют от 30 долларов.
Мероприятия по краже информации и кейлоггингу, при условии приобретения вредоносного ПО и хостинга в среднем стоят 723 доллара. За минимальный джентельменский набор придется выложить всего 183 доллара.
Покупка трояна, майнера или вируса-шифровальщика выльется в 1000 долларов за кампанию.
По оценкам аналитиков даже простая кибератака, стоимостью в 34 доллара, поможет злоумышленникам получить 25 000 долларов чистой прибыли. Более изощренные инструменты обогащают хакеров на 1 миллион долларов в месяц.
Для бизнеса, по информации IBM, такие утечки данных причиняют ущерб в 3,86 миллиона долларов.
Однако есть и хорошие новости. Большинство «дешевых» атак можно легко отсечь. Ведь злоумышленники, в первую очередь, ориентируются не на прямой взлом системы безопасности, а на невнимательность работников компании. «Подставные» сайты, вредоносное ПО или фишинг сами по себе не представляют угрозу. Главное условие успеха – «белый воротничок» должен клюнуть на наживку и выполнить рисковую операцию. Предотвратить опасные действия помогают системы предиктивной оценки рисков и всестороннего мониторинга персонала. Контроль сотрудников в режиме реального времени и анализ движения информации в компании позволяет быстро обнаружить угрозу, предотвратить заражение и утечку данных. А главное – подобные комплексы защиты стоят совсем недорого. Особенно по сравнению с возможными убытками от кражи информации.
