Редакция собрала 7 самых «дорогих» кибератак, которые обошлись бизнесу в общей сложности в $16 млрд.

К 2021 году убытки от кибератак будут составлять $6 трлн в год. Уже сейчас на рынке не хватает специалистов по информационной безопасности, а к 2021 году дефицит вырастет втрое: 3,5 млн вакантных мест, для которых невозможно будет найти кандидатов. 

Это повод больше говорить о кибербезопасности уже сейчас. Делиться информацией, обсуждать угрозы, анализировать чужие ошибки. Рассмотрим 7 самых крупных взломов последнего десятилетия, которые в сумме принесли убытки на $16 млрд.

 

CoinDash — $10 млн

В 2017-м хакеры взломали сайт, на котором проводилось ICO израильского стартапа CoinDash. Они подменили адрес для платежей в криптовалюте Ethereum. Как сообщал CoinDesk, общая сумма украденных средств составила чуть больше $10 млн в эквиваленте.

Это не единственная громкая атака, в которой фигурируют криптовалюты. В октябре прошлого года журнал MIT Technology Review рассказывал, что на сайте Showtime Anytime был установлен инструмент для хайджекинга.

Хайджекинг (в контексте криптовалют) — это тайный «захват» компьютера. Злоумышленник использует вычислительные мощности «жертвы» для майнинга монет.

Вредоносный фрагмент в исходном коде сайта Showtime Anytime нашел пользователь Twitter. Оказалось, компьютеры зрителей «захватывались» для майнинга Monero.

 

Атаки на Sony PlayStation — более $170 млн

В 2011 году киберпреступники взломали 77 млн аккаунтов PlayStation Network. По информации Reuters, черные хакеры получили доступ к именам, адресам, а возможно — и банковским картам пользователей.

На этом «приключения» Sony PlayStation не закончились. В 2014 году они подверглись новой атаке, на этот раз — одновременно со своим главным конкурентом XboX. Пострадало почти 160 млн, из которых более 110 млн — пользователи PlayStation Network, сообщала The Guardian. В 2017 году история повторилась, в феврале SPS и XboX снова взломали. The Telegraph утверждает, что в этой атаке пострадали 2,5 млн игроков. Потом была еще атака в августе, когда взломали официальные аккаунты Sony PlayStation в соцсетях.

Общая сумма убытков неизвестна, но в 2011-м Forbes сообщал, что Sony оценила убытки от первой масштабной атаки в $170 млн.

 

 

Атака на Target — более $300 млн

В конце 2013 года американская розничная сеть Target объявила, о кибератаке. Злоумышленники украли персональную информацию клиентов Target, включая данные 40 млн кредитных и дебетовых карт. The New York Times сообщала, что во время атаки пострадало 110 млн человек.

В 2017 году отчет Target для Комиссии по ценным бумагам США показал, что с момента взлома компания потратила на судебные процессы $202 млн. А в Breitbart подсчитали, что затраты компании, связанные с атакой, в 2017 году приблизились к цифре $300 млн. Сюда входит $140 млн выплат по решению судов, в том числе $19 млн в пользу Mastercard и $67 млн в пользу Visa.

Это только прямые траты. Атака на Target ожидаемо привела к сокращению прибыли (на 46% только за один квартал, по подсчетам Forbes). Общий объем убытков неизвестен, но точно превышает $300 млн.

 

Атака иранских хакеров на университеты — $3 млрд

В марте американское правительство обвинило девятерых граждан Ирана в массированной кибератаке, пишет Wired. В числе жертв — частные и государственные структуры, а также более 300 университетов: 144 американских и 176 из других стран мира. Американская сторона оценивает ущерб в $3 млрд.

Минюст США утверждает, что за взломами стоит организация Mabna Institute, которая нанимала хакеров для кражи интеллектуальной собственности, в том числе по заданию иранских властей. По данным следствия, злоумышленники использовали методы фишинга, чтобы получить доступ к аккаунтам профессоров. Сейчас 9 подозреваемых числятся в розыске на сайте ФБР.

 

«Эпидемия» WannaCry — $4 млрд

В 2017 году случилась глобальная вспышка вируса WannaCry и других зловредов типа ransomware (и псевдо-ransomware). По статистике Barkly, она затронула как минимум 400 тысяч компьютеров в 150 странах мира. Компания утверждает, что выкуп злоумышленникам выплатили менее 1% жертв, сумма составила чуть больше $120 тысяч.

Тем не менее, реальные убытки намного больше. Следует также учитывать, что многие компании, атакованные вирусом, вынуждены были приостановить работу. Некоторые — на несколько дней. Ресурс Reinsurance News через полгода после атаки оценил общие убытки в $4 млрд.

 

Equifax — $4 млрд

В 2017 году атака на одно из крупнейших кредитных бюро США Equifax привела к утечке данных почти 148 млн пользователей, сообщает The Washington Post. Хакеры похитили персональные данные, в числе которых — данные как минимум 209 тысяч банковских карт, а также документы, которые использовались в кредитных спорах.

В 2017 году Time писал, что капитализация Equifax упала на $4 млрд. Но точные убытки компании пока неизвестны. В начале сентября 2018-го USA Today сообщали о 96 судебных исках против Equifax. Все это — судебные издержки и, возможно, компенсации.

Также компании пришлось потратиться на переформатирование отдела IT-безопасности и разработку новых методов защиты. В Equifax предоставили год бесплатного доступа к инструменту TrustedID Premier для всех американских пользователей. По информации Reuters, до конца года Equifax потратит $439 млн, чтобы устранить последствия атаки.

Некорректно было бы говорить, что эти $439 млн прибавятся к цифре $4 млрд. Траты компании направлены на восстановление репутации и уже приводят к постепенному росту акций.

 

Исторический взлом Yahoo! — $4,8 млрд 

В 2013 году произошла масштабная атака на Yahoo! Компания долго замалчивала проблему. Информация вскрылась только в 2016 году, во время подготовки сделки по слиянию с Verizon Communications Inc. Тогда в Yahoo! признали факт взлома 1 млрд аккаунтов.

На этом история не закончилась. В 2017-м выяснилось, что злоумышленники атаковали все 3 млрд аккаунтов Yahoo!, пишет Reuters. Кроме этого взлома, была еще атака 2014 года, тогда пострадало по меньшей мере 500 млн пользователей. В результате Verizon снизила первоначальное предложение на $350 млн. The Wall Street Journal оценила общие убытки Yahoo! в $4,7 млрд. Позже к этой цифре прибавились еще $80 млн компенсации по решению суда и расходы на судебный процесс. 

 

Как защитить свой бизнес

По информации Computer Weekly, около трети всех кибератак эксплуатируют «уязвимости нулевого дня». Так называют ошибки, которые становятся публично известны до того, как производитель ПО выпустит патч. То есть кто-то находит в вашем продукте уязвимость, рассказывает о ней — и вы становитесь жертвой атаки. Ноль дней на подготовку.

Поиском уязвимостей в чужих продуктах занимаются хакеры. К счастью, не все они спешат использовать свои находки, чтобы украсть деньги или ценные данные. Есть белые хакеры, которые сообщат о найденной уязвимости, чтобы компания успела «починить» продукт. Есть два способа привлечь белых хакеров к сотрудничеству. Первый — организовать собственную баг-баунти-программу, назначив награду за каждую обнаруженную ошибку. Второй — воспользоваться готовой баг-баунти платформой. Например, HackenProof.

Посмотреть, как происходит баг-хантинг (охота на баги) можно будет во время марафона Hacken Cup — в рамках форума по кибербезопасности HackIT 4.0. Форум пройдет 8–11 октября в Киеве. В программе — тур в Чернобыль, практические тренинги и двухдневная конференция с 50 спикерами. Среди них сооснователь самого безопасного мессенджера Signal Мокси Марлинспайк. Трансляцию одной из дискуссий (по взлому криптобиржи) будет вести блогер Boxmining (Майкл Гу).

От кибератак не застрахована ни одна компания. Малый и крупный бизнес, молодые стартапы и корпорации с многолетней историей — все мы «под прицелом». И единственный способ защититься — привлечь на свою сторону тех, кто знает, как именно будут действовать злоумышленники.