29 сентября 2009 года

Возможность получить большую прибыль с незначительным риском способствует киберпреступности

Киберпреступники берут на прицел государственные веб-сайты, ущерб от их деятельносит растет с каждым днем

Телеоператоры снимают сюжет о методах совершения киберпреступлений в лаборатории полицейского управления Ричмонда, штат Вирджиния

Киберпреступником можно стать без особых затрат. За 500 долларов можно приобрести MPack – созданную российскими хакерами компьютерную программу, которая делает доступными данные кредитных карточек или электронных ваучеров, отправляемых фирмами розничной торговли. Аренда перепрограммируемых роботов под названием “бот-сети”, пачками выдающих “спам” (массовые коммерческие или массовые электронные почтовые отправления, рассылаемые без просьбы адресатов) приносит 7700 долларов чистой прибыли в неделю, сообщает Питер Герра из компании цифровой безопасности Black Hat.

Киберпреступность выгодна потому, что из-за несовершенства национального и международного законодательства  правоохранительным органам трудно бороться с преступниками. Картик Каннан с факультета управления им. Краннерта в Университете Пердью указывает, что непрерывно возрастающая роль компьютерных сетей в деятельности коммерческих предприятий и государственных учреждений, а также в жизни частных граждан, создает все новые возможности для киберпреступлений, а их высокая доходность в сочетании с низким уровнем риска притягивает растущее число кибербанд.

По данным Центра приема жалоб о преступлениях в интернете, частно-государственной научно-исследовательской организации, в 2008 году число сетевых преступлений достигло в США рекордной величины – 27 000. Центр подсчитал, что денежный ущерб от мошеннических операций в интернете  в указанном году составил 265 миллионов долларов.

“Если мы хотим добиться прогресса в борьбе с киберпреступностью, нам необходимо изменить экономику кибербезопасности”,- сказал Картик Каннан. Это означает, что необходимо повысить риск и затраты для преступников, одновременно понизив стоимость защиты от киберпреступлений. По его словам, это задача не из легких.

Во что обходятся кибератаки

По мнению специалистов, многие руководители корпораций недооценивают серьезность киберугроз. Исследования показывают, что популярность интернета резко возрастает, а между тем законодательные акты, нормативные документы и правила не поспевают за ростом преступности.

Исследование, проведенное в 2009 году по заказу фирмы McAfee, разработчика средств компьютерной безопасности, показало, что в промышленно развитых странах компании обычно принимают меры к укреплению своих систем киберзащиты только после того, как органы регулирования выпускают соответствующие правила. Менее трети американских фирм стремятся внедрять передовой опыт в области безопасности в интернете, остальные не видят связи между кибербезопасностью и эффективностью управления. Об этом свидетельствуют результаты анкетирования частного сектора, которое ежегодно проводится PricewaterhouseCoopers LLP. Половина опрошенных руководителей американских компаний не имела ни малейшего представления о размере убытков, понесенных их фирмами в результате кибератак, указывается в докладе по результатам опроса.

С помощью новозеландского хакера-подростка Оуэна Уокера преступная сеть взломала более миллиона компьютеров по всему миру

Точно определить размеры финансового ущерба действительно нелегко. Брюс Шнайер, основатель и директор по технологиям компании Counterpane, работающей в области компьютерной безопасности, отмечает, что убытки небольшой фирмы от сравнительного мелкомасштабного заражения вредоносным программным кодом могут достигать 83 000 долларов в год. “Чем крупнее компания и чем глубже заражение, тем больше ущерб”, - написал он в докладе от 2005 года.

В среднем затраты компании, связанные с киберпреступлениями, составляют более полмиллиона долларов в год, сообщает консультант по вопросам менеджмента Кевин Колман. В опубликованном в 2007 году докладе Управления по контролю за деятельностью государственных учреждений (GAO) суммарные годовые убытки американского частного сектора от кибератак оцениваются более чем в 117,5 миллиарда долларов. Но многие специалисты утверждают, что это лишь верхушка айсберга.

Скотт Борг, основатель и руководитель независимой научно-исследовательской организации U.S. Cyber Consequences Unit, сообщил, что экономический ущерб от хищения жизненно важной корпоративной информации “значительно превышает... убытки вследствие мошеннических операций с кредитными карточками, которые, между прочим, довольно велики”. С другой стороны, отмечает он, многие утверждения об ущербе вследствие кибератак, в особенности вызывающих отказ в обслуживании законных пользователей, сильно преувеличены.

Киберпреступность также наносит неосязаемый ущерб деловой репутации и приводит к потере доверия клиентов. Некоторые киберинциденты месяцами остаются незамеченными и даже после того, как их обнаружат, покрываются техническим персоналом или руководителями компании, стремящимися уклониться от ответственности. Все более разбирающиеся в том, что представляет особую ценность, киберпреступники стремятся заполучить информацию, которая является залогом конкурентоспособности частных компаний.

Международная консалтинговая фирма Deloitte & Touche LLP оценивает глобальные убытки частного сектора вследствие сетевых краж интеллектуальной собственности приблизительно в один триллион долларов. В докладе компании McAfee отмечается, насколько трудно дать количественную оценку ослабления конкурентоспособности пострадавшей от киберпреступности компании, ввиду того, что сокращение ее доли на рынке может произойти через нескольких лет.

Укрепление киберзащиты

Система киберзащиты не обязательно должна стоить большие деньги. Глава отдела информационной безопасности Центрального разведывательного управления Роберт Бигман заявил на конференции в 2008 году, что от 80 до 90 процентов кибератак можно предотвратить благодаря “должной осмотрительности”.

Задача защиты от кибератак усложняется растущими масштабами заражения государственных компьютерных систем вредоносными программными кодами. Министерство внутренней безопасности в 2008 году зарегистрировало 5499 подобных инцидентов – на 40 процентов больше, чем в предыдущем году. Заместитель министра обороны Уильям Линн сообщает, что за первое полугодие 2008 года его министерство израсходовало свыше 100 миллионов долларов на защиту своих компьютерных сетей.  

Еще одна опасность связана с вероятностью кибератак на критически важные элементы инфраструктуры. Скотт Борг оценивает потенциальный ущерб от кибератаки, которая на три месяца выведет из строя энергосистему, обеспечивающую электроэнергией треть страны, приблизительно в 800 миллиардов долларов.  А если учесть средства, которые потребуются на ликвидацию последствий подобной аварии, включая расходы на восстановление и повторный пуск генерирующих мощностей, а также на покрытие потерь электроэнергии, ущерб выразится куда более высокой суммой – около 3 триллионов долларов, добавил он.

Глобальный экономический кризис может ослабить существующие системы защиты. Урезание расходов на системы сетевой безопасности и увольнения сотрудников отрицательно скажутся на состоянии защитных сетей, создавая благоприятную почву для киберпреступности, которой могут заняться оказавшиеся без работы программисты, сказал Борг.