Компания McAfee представила новый глобальный отчет The Hidden Costs of Cybercrime («Скрытые издержки киберпреступности»), который посвящен значительному финансовому и менее очевидному влиянию киперпреступлений на мир.
Согласно выводам этого отчета, подготовленного совместно с Центром стратегических и международных исследований (CSIS), киберпреступность обошлась мировой экономике более чем в 1 триллион долларов США — более 1% мирового ВВП. По сравнению с данными 2018 года этот показатель вырос более чем на 50%. Тогда он составлял около 600 миллиардов долларов США. В дополнение к этому международному показателю отчет подробно описывает нематериальные убытки, с которыми столкнулись 92% компаний.
«Серьезность и частота возникновения киберугроз для бизнеса постоянно растут вслед за созданием новых технологий и развитием уже имеющихся, что увеличивает поверхность атаки. Кроме того, преступники пользуются тем, что люди все чаще работают на дому и удаленно, — отмечает Стив Гробман, старший вице-президент и технический директор компании McAfee. — Промышленные предприятия и правительственные учреждения хорошо знакомы с финансовыми последствиями кибератак и ущербом, который они наносят национальной безопасности. Но у этих преступлений есть и менее известные, но не менее важные последствия — незапланированные простои, расходы на расследование случаев несанкционированного доступа и снижение продуктивности. Учитывая многомиллиардный ущерб в международном масштабе, нам необходимо комплексное представление о серьезности кибер-рисков и эффективные планы по отклику на эти инциденты и их предотвращению».
Скрытые издержки кибепреступлений
Хищение интеллектуальной собственности и денежных средств наносит компаниям ощутимый ущерб. Наименее очевидные издержки киберпреступности связаны со снижением эффективности работы организаций.
По данным исследования, 92% компаний сообщили о других негативных для бизнеса последствиях кибератак в дополнение к финансовым убыткам и потере рабочих часов. В отчете подробно рассмотрены следующие скрытые издержки и долгосрочные эффекты киберпреступлений на деятельность предприятий:
- Системные простои. Простои оказались распространенной проблемой для двух третей организаций-респондентов. Средний размер убытка за самый длительный в 2019 году простой составил 762 231 долларов США. Треть (33%) участников исследования сообщили, что инциденты безопасности, повлекшие за собой простой ИТ-систем, обошлись им в сумму от 100 до 500 тысяч долларов США.
- Снижение эффективности. Из-за системных простоев организации в среднем теряли девять рабочих часов в неделю, что привело к снижению эффективности их работы. Среднее время приостановки деятельности составило 18 часов.
- Затраты на реагирование на инциденты. По данным отчета, в большинстве организаций среднее время реакции на киберугрозу с момента ее обнаружения до устранения составляло 19 часов. Большинство проблем удается решить своими силами, но крупные инциденты часто требуют привлечения внешних консультантов. На оплату их услуг приходится значительная доля расходов, связанных с реагированием на крупномасштабную кибератаку.
- Ущерб для торговой марки и репутации. Стоимость восстановления имиджа торговой марки с привлечением внешних консультантов или новых сотрудников для предотвращения будущих инцидентов также включается в ущерб от киберпреступности. 26% респондентов сообщили, что простои в результате кибератаки нанесли ущерб их торговой марке.
Компании не готовы к киберугрозам
Исследование и анализ выявили недостаточную осведомленность о киберрисках в масштабах организации. По этой причине компании и агентства уязвимы перед продвинутыми атаками с применением методов социальной инженерии. После взлома компьютера одного пользователя редко удается обнаружить проблему вовремя и остановить ее распространение.
По данным отчета, 56% опрошенных организаций признались в отсутствии плана по предотвращению киберугроз и реагированию на них. План реагирования имеется у 951 организации, и только 32% респондентов из этого числа считают его эффективным.
В заключительной части отчета приводятся ключевые рекомендации для бизнеса по противодействию киберпреступности. Среди них — единообразное применение основных мер безопасности, повышение прозрачности организаций и правительственных учреждений, стандартизация и координация требований к кибербезопасности, повышение уровня знаний о кибербезопасности с помощью организованного обучения сотрудников, разработка планов по предотвращению кибератак и реагированию на них.
Методология
Для проведения исследования, которое послужило основой этого отчета, компания McAfee привлекала Вэнсона Бурна (Vanson Bourne), независимого специалиста по исследованию рынка технологий.
Количественное исследование проводилось в период с апреля по июнь 2020 года. Были опрошены 1500 руководителей в сфере IT и различных отраслей производства. Привлекались респонденты из США (300), Канады (200), Великобритании (200), Франции (200), Германии (200), Австралии (200) и Японии (200). Организации респондентов — компании из всех отраслей экономики, кроме строительства и недвижимости, со штатом 1000 и более сотрудников. В секторе правительственных учреждений опрос проводился только среди руководителей в сфере ИТ с правом принятия решений.
Респонденты отвечали на вопросы в онлайн-режиме. Возможность участия в исследовании предоставлялась только наиболее подходящим кандидатам, которые прошли тщательный многоуровневый отбор.
Кроме того, специалисты CSIS изучили данные об убытках от киберпреступности из открытых источников и сопроводили их комментариями правительственных чиновников. Эти расчеты были скорректированы с учетом уровней национального дохода по данным Международного валютного фонда (МВФ).