Центр цифровой экспертизы Роскачества предложил россиянам, в целях безопасности персональных данных, заклеивать камеры и микрофоны ноутбуков. Здесь стоит уточнить, что Россия является лидером среди стран СНГ по киберзащищенности, а в мировом рейтинге занимает 26 место. Казахстан, к слову, в данном рейтинге поднялся на 43 позиции за год и сегодня находится на 40 строчке. Какой процент от глобального ВВП составляет сумма убытков от кибератак и сколько казахстанские компании тратят на киберзащиту корреспонденту «Капитал.kz» рассказал Даурен Хамзин, генеральный директор компании ALSI.
- Даурен, стоит ли казахстанцам также прислушаться к совету Роскачества, и заклеить камеры и микрофон ноутбука скотчем?
- Не все так страшно в нашем государстве с уровнем кибербезопасности. Хотя, расслабляться тоже не стоит. Чем масштабнее переход на цифровизацию всех процессов как у компании, так и пользователя, тем выше риск кибератак. Это прямо пропорциональная зависимость. Что касается защиты персональных данных каждого казахстанца в частности, то его защищенность - это еще и его персональная ответственность. Мой товарищ, например, действительно заклеивает камеру и микрофон, а мне хватает защиты, которая установлена на моих персональных компьютерах. Тем более современные ноутбуки и программное обеспечение на сегодня способны выявить какое-либо внешнее подключение и подать сигнал через специальные индикаторы. В оборудование нового поколения этот функционал заложен изначально. Необходимо понимать, что простое заклеивание видеокамеры и микрофона не дает полную защиту персональных данных от киберпреступников.
- Сколько казахстанские компании теряют из-за кибератак?
- Дело в том, что в Казахстане компании могут не сообщать о таких инцидентах. При этом в Европе и США законы обязывают их раскрывать информацию о кибератаках. Согласно данным«Лаборатории Касперского», за 2017 год более ста предприятий в нашей стране пострадали от мирового вируса-шифровальщика WannaCrу, нанесен ущерб более, чем на $1 млн. К слову, в случае успешной кибератаки, потери только одной крупной государственной или коммерческой организации, как в нашей стране, в частности, так и в мире, в целом, могут составлять до $800-900 тыс. Эта сумма, кроме прямых финансовых потерь, включает и затраты на восстановление деятельности компании и на возмещение по возможным судебным искам. При этом последствия могут быть гораздо серьезнее, чем, например, потеря доверия клиентов и компаньонов.В тех случаях, когда речь идет о промышленном производстве, кибератаки могут спровоцировать и техногенную катастрофу.
- О каких потерях в мировом масштабе может идти речь?
- Если говорить о глобальных данных,то мировой ущерб, по данным антивирусной компании McAfee,в 2017 году составил около $600 млрд или 0,8% от мирового ВВП. К 2022 году, по прогнозу Всемирного экономического форума, сумма планетарного ущерба от кибератак вырастет до $8 трлн. Но есть и хорошие новости: согласно официальному отчету Международного союза электросвязи, Казахстан вошел в топ-40 стран в международном рейтинге киберготовности. За год республика поднялась в рейтинге наиболее киберзащищенных стран мира с 83 до 40 места. Подняться на сорок три позиции за год – это потрясающий результат. При этом среди стран СНГ в данном рейтинге мы действительно уступаем только России, которая занимает в нем 26 место.
- Рейтинг говорит и о том, что число казахстанских компаний, готовых платить за защиту от кибератак, растет. В какую сумму сегодня им это обходится?
- У каждой компании свой поставщик услуг, свои условия, периметр работ и соответственно свои цены. На мой взгляд, рынок информационной безопасности в Казахстане составляет примерно $10 млн. На сегодня отечественный бизнес выделяет всего 3% своего бюджета для цифровой безопасности, и, как показывает опыт, этого недостаточно, чтобы компания могла с уверенностью говорить, что она максимально защищена от киберугроз. К примеру, в западных странах компании выделяют порядка 30%. И, думаю, это не предел. Информационная среда в повседневной жизни как компании, так и ее клиента – это не только файлы на компьютере или мобильный банкинг, но еще и «облачные» технологии, мобильные приложения.
Рынок Казахстана в сфере IT растет очень динамично и отрасль информбезопасности (ИБ) не является исключением. По различным оценкам, рынок ИБ может составлять от $10 до $30 млн. В разных отраслях нашей экономики к затратам на это направление относятся по-разному. Например, финансовый сектор очень серьезно оценивает риски, связанные с инцидентами в ИБ, и инвестирует достаточно серьезные суммы, а представители среднего и малого бизнеса относятся к киберугрозам больше как к «газетным страшилкам», и не уделяют, как правило, большого внимания проблеме. Компании, работающие на международных рынках и понимающие весь груз ответственности и размер возможных потерь, стараются инвестировать в это направление более серьезно, чем внутренние компании, не имеющие развитой IT-инфраструктуры. Мы живем в удивительное время трансформации взглядов, когда IT-отрасль перестает мыслить категориями компьютеров и принтеров и переходит к облачным технологиям и аутсорсным решениям, которые тоже нуждаются в защите и контроле.
- Когда компания выделяет значительные средства на свою защиту, она наверняка рассчитывает, что эти затраты предупредят большие потери?
- Да, конечно. Ведь на кону не только репутация организации, но и риск финансовых потерь, не говоря уже об утечке корпоративной информации. Многие банки каждый год проводят изменение и улучшение инфраструктуры, потому что киберпреступники совершенствуются и не стоят на месте. Например, мало кто задумывается, что каждую секунду создается один вирус или троян. Ежегодно, по данным агентства IDC, количество кибератак растет на 30%. И реагировать на них необходимо моментально: потеря каждой минуты стоит огромных денег. Конечно, в перспективе спрос на продукты и услуги по информбезопасности будет только расти. Если прогнозировать в мировом масштабе, то по оценкам агентства IDC, до 2022 года на киберзащиту будет выделено порядка $130 млрд.
- Если счет идет на минуты, то разумнее предупреждать угрозы? Это реально?
- Предупреждать угрозы реально. И, как показывает отечественная история рынка информационной безопасности, пока компания на себе не испытала весь риск, который несут кибератаки, она имеет неполное представление о возможных потерях.
- Что нужно делать, чтобы компании понимали значимость информбезопасности?
- Во-первых, объяснять как руководству, так и персоналу, что информационная безопасность – это не просто защита персональных данных на рабочем компьютере, а целый комплексный подход, к которому нужно относиться серьезно. Например, мы предлагаем заказчикам решения, основываясь на опыте, от мировых производителей систем информационной безопасности. Если заказчик в каких-то вопросах некомпетентен или не имеет ресурсов, мы консультируем его и указываем на те проблемные моменты в информационной безопасности, от которых компания должна избавиться. Пропаганда киберзащиты в масштабах страны должна стать массовым процессом: повышение осведомленности через медиаресурсы, постоянное повышение квалификации IT-специалистов, развитие общей информационной грамотности. Люди должны понимать, что заклеить камеру и микрофон ноутбука – это еще не защита от киберпреступников.
- Я так понимаю, что история кибератак в Казахстане начинается с момента появления интернета и доменных имен?
- Да, верно. Ведь Казахстан является частью мирового сообщества. Если обратиться к статистике, то риск заражения компьютеров, по данным Kaspersky Security Bulletin, в 2011 году в Казахстане составлял 47%. По данным государственной технической службы Комитета национальной безопасности, около 63,4 тыс. кибератак было зарегистрировано в стране в 2015 году. За 2018 год в стране было зафиксировано около 143 млн атак на сайты госорганов.
Ярким примером в нашей практике был случай, когда крупная компания потеряла доступ к своим рабочим местам,а все компьютеры были заблокированы. После таких инцидентов руководство, как государственных, так и коммерческих организаций, начинает задумываться о том, что необходимо защищаться не только стандартными методами, но и подходить к информбезопасности комплексно, с учетом всех нюансов и процессов. С прошлого года ситуация в Казахстане изменилась. В стране запустили и начали развивать государственную программу «Цифровой Казахстан», которая стала драйвером цифровизации процессов, что, в свою очередь, позволило развивать и сферу информбезопасности.
- Насколько актуальна проблема нехватки специалистов по киберзащите?
-На сегодня в Казахстане недостаточно специалистов по информационной безопасности. Спрос на них будет только расти, так как в киберзащите заинтересованы предприятия и компании всех секторов экономики страны: от госорганов, до малого и среднего бизнеса. Руководители компаний должны иметь представление, о каких угрозах в этом направлении может идти речь, и как дорого им обойдется решение возникших вопросов. При этом и сама информационная безопасность в стране нуждается в стандартизации и правовом регулировании, а также необходимо унифицировать требования в области цифровых информационно-коммуникационных технологий и ИБ. Необходимо постоянно вести профилактику технологической уязвимости любого бизнеса, а руководители компаний должны понимать важность регулярного мониторинга ИБ всех бизнес-процессов, чтобы минимизировать угрозы.