Риски IT-безопасности в России 2014 – предотвращение финансового мошенничества в сети

В исследовании приняли участие 3900 респондентов из 27 стран мира (для сравнения, в рамках аналогичного исследования, проведенного в предыдущем году, было опрошено 2900 специалистов из 24 стран). В России было опрошено 416 представителей коммерческих компаний. Из них 37% являлись сотрудниками очень больших организаций со штатом от 1000 человек. 17% опрошенных представляли средний и крупный бизнес (от 250 до 999 сотрудников). 40% респондентов работают в компаниях СМБ-сектора (от 10 до 249 человек в штате). Наконец, 6% участников опроса оказались представителями совсем маленьких компаний, чей персонал не превышает 10 человек.

Все участники исследования отвечали на вопросы, касающиеся приоритетов развития IT-направления в компании, основных трудностей, с которыми им при этом приходится сталкиваться, а также способов создания и поддержания надежной и безопасной IT-инфраструктуры. Мы также узнали у респондентов, приходилось ли им иметь дело с киберугрозами в течение последних 12 месяцев и каковы были последствия таких инцидентов. Отдельным блоком исследования стало выяснение отношения российских компаний к вопросам обеспечения сохранности конфиденциальных данных и защиты финансовых транзакций в Сети.

Исследование проводилось в период с апреля 2013 года по май 2014 года независимой аналитической компанией B2B International специально для «Лаборатории Касперского».

Опрос респондентов в рамках исследования начался с выяснения их отношения к IT-безопасности в целом и к уже реализуемым, а также планируемым проектам

противодействия финансовому кибермошенничеству. Как и следовало ожидать, большинство специалистов отметили, что безопасность является бесспорным приоритетом среди задач их IT-департаментов. Так, 41% опрошенных заявил, что «защита особо конфиденциальной информации» (в том числе финансовых данных) – это то, над чем следует работать в первую очередь. В целом же вопросы обеспечения информационной безопасности заняли по итогам опроса первые четыре строчки рейтинга приоритетов российских компаний.

Когда речь зашла о защите именно финансовых данных, то мы обнаружили большой интерес компаний к этому вопросу. Подавляющее большинство российских организаций – 72% – отметили, что они «предпринимают все усилия для поддержания своих инструментов противодействия финансовому кибермошенничеству в актуальном состоянии». Этот факт говорит о том, что бизнес уделяет большое внимание защите конфиденциальных данных финансового характера, которые чаще всего и являются целью злоумышленников.

Выяснив, что компании стремятся обеспечить сохранность данных и защитить финансовые транзакции от посягательств кибермошенников, мы решили узнать, считают ли респонденты, что предпринимаемые их компаниями меры способны решить эту задачу.

Как видно из представленных выше диаграмм, среди российских компаний наблюдается довольно большой разрыв в согласии с двумя разными утверждениями. 48% респондентов отметили, что «им нужны более эффективные меры для защиты финансовых транзакций», в то время как 72% признались, то они «предпринимают все возможные усилия для поддержания своих инструментов противодействия финансовому кибермошенничеству в актуальном состоянии».

Исходя из этих данных, можно предположить, что коммерческие компании уверены, что они располагают достаточным количеством инструментов для защиты финансовых транзакций, и все, что им сейчас нужно – это развивать и использовать имеющиеся технологии вместо инвестирования в новые решения. Также можно сделать вывод о том, что российские компании полагают, что они уже достаточно инвестировали в защитные технологии и теперь ждут, когда инструменты противодействия финансовому кибермошенничеству будут применяться также финансовыми и платежными организациями.

Мы также решили узнать, есть ли какие-то различия в стремлении улучшить защитные меры между российскими компаниями разного размера, а также между организациями из разных частей Света.

Как выяснилось в ходе опроса, и маленькие компании, и большие предприятия были в целом единодушны: от 43% до 49% из них признались, что нуждаются в совершенствовании применяемых защитных мер. Наибольшую же заинтересованность улучшить используемую защиту высказал российский СМБ-сектор.

Если говорить о разных странах и регионах, то больше других предпринять дополнительные усилия для защиты финансовых транзакций готов Китай – там в этом признались 73% компаний. Россия же со своими 48% обошла в этом вопросе страны Северной Америки и Западной Европы. Хотя разрыв между теми, кто «предпринимает все усилия для поддержания своих инструментов противодействия финансовому кибермошенничеству в актуальном состоянии» и «нуждается в более эффективных мерах защиты» в этих трех регионах сопоставим: в России это 72% и 48%, а в Северной Америке, например, 66% и 34% соответственно.

«Лаборатория Касперского» уверена, что растущее число вредоносного ПО и кибератак, нацеленных именно на финансовые транзакции в Сети, достигнет в ближайшем будущем такого уровня, что специализированная защита от финансовых киберпреступлений станет необходимостью. Подобно человеку на беговой дорожке, коммерческим компаниям придется «бежать, чтобы оставаться на месте». А это означает, что «стремление поддерживать инструменты противодействия финансовому кибермошенничеству в актуальном состоянии» и «необходимость улучшения уже существующих защитных мер» будут ключевыми приоритетами бизнеса не только в России, но и во всех странах мира.

Ядро любой стратегии по управлению рисками информационной безопасности –

сопоставление стоимости защиты с расходами, понесенными компаниями в результате киберинцидентов. При анализе этого блока исследования мы обнаружили ряд интересных фактов. Так, четверть российских компаний в ходе опроса заявили, что готовы нести некоторые финансовые потери по причине киберинцидентов, поскольку приобретение или улучшение защитного решения обойдется им дороже. Удивительно, что больше других склонны придерживаться такой тактики крупные предприятия – среди них этот показатель составил 27%. А вот наименьшее стремление терять деньги в результате инцидентов информационной безопасности продемонстрировали небольшие по размеру компании: к примеру, среди предприятий малого бизнеса доля желающих рисковать составила 21%.

Сравнивая эти данные с цифрами, полученными в ходе опросов в других регионах, мы видим, что Китай вновь отличился. При этом получилось любопытное противоречие: с одной стороны, 73% китайских компаний нуждались в более совершенных мерах защиты финансовой информации, с другой же стороны, почти половина – 49% – готовы понести денежные потери, лишь бы не инвестировать в IT-защиту. Наиболее низкие показатели в этом вопросе были зафиксированы в странах Западной Европы и Северной Америки. Примечательно, что Россия также оказалась в числе стран с одной из самых минимальных долей компаний, готовых терпеть убытки от киберинцидентов.

Вместе с тем финансовые потери компаний, вызванные различными типами

киберинцидентов, исчисляются несколькими десятками и сотнями тысяч долларов США. Так, российским предприятиям малого бизнеса один компьютерный инцидент в среднем обходится в 25 тысяч долларов. Это немного ниже аналогичных среднемировых показателей, но на 20% больше по сравнению с данными, полученными экспертами в России в предыдущем году. Убытки же крупных российских компаний в среднем составляют 614 тысяч долларов. Эти расходы включают в себя потерю важных для бизнеса данных, ущерб репутации компании, простой бизнес-операций, оплату услуг сторонних специалистов, помогающих восстановить данные и работоспособность инфраструктуры.

Как было установлено в ходе исследования, большинство компаний меньше всего хотели бы потерять какие бы то ни было финансовые данные по причине киберинцидентов: об этом заявили в общей сложности 45% респондентов. К финансовым данным и компании, и организаторы исследования в данном случае относят непосредственно финансовую информацию, платежные данные (в том числе данные банковских карт), а также информацию для доступа к банковскому аккаунту в системе онлайн-банкинга. Однако за прошедший год в ходе кибератак 32% российских компаний теряли финансовую или платежную информацию, а еще 8% организаций завили о краже данных доступа к корпоративному банковскому онлайн счету. Таким образом, 45% участников исследования испытывают более чем обоснованный страх потери важных финансовых данных по причине киберинцидента.

Среди организаций, имеющих непосредственное дело с денежными операциями, доля тех, кто потерял в ходе кибератак любые финансовые данные, приблизительно такая же. Так, о потере финансовой информации за последние 12 месяцев заявили 50% компаний, работающих в сфере электронной коммерции, и 36% финансовых организаций, в частности банки.

Чтобы лучше понимать масштабы потерь, связанные с утечкой финансовой информации, мы решили выяснить стоимость инцидента, повлекшего за собой утерю важных для бизнеса данных. В оценку стоимости подобного риска эксперты включили расходы на профессиональные сервисы по решению возникшей проблемы (консультанты по безопасности, юристы, аудиторы и т.д.), размеры упущенной выгоды, а также инвестиции в решения, способные предотвратить подобные проблемы в будущем. В результате суммарный ущерб от потери критически важных и конфиденциальных данных составил от 17 тысяч долларов для небольших компаний до 556 тысяч долларов для крупных предприятий.

Что касается финансовых организаций, то помимо вышеперечисленных расходов на

устранение последствий киберинцидентов, они также несут потери в связи с возмещением денежных средств, которых лишились их клиенты в ходе кибератаки. О готовности компенсировать своим клиентам любые потери без проведения какого либо расследования заявили 50% опрошенных российских банков и прочих финансовых организаций. Однако даже такая клиентоориентированная политика не может уберечь финансовые компании от репутационных ущербов. Подробнее об этом – в следующем разделе.

Для начала мы решили выяснить, чем руководствуются компании при выборе финансового партнера, в частности банка.

Как видно из представленных выше диаграмм:

• 84% российских компаний обращают внимание на репутацию банка при выборе

финансового партнера;

• 91% организаций признались, что, скорее всего, прекратили бы сотрудничество с

банком, если бы в нем произошла утечка данных;

• 19% российских компаний полагают, что банки предпринимают недостаточно усилий для обеспечения безопасности финансовой информации;

• и только 59% организаций считают, что финансовые компании достаточно хорошо

защищают конфиденциальные данные.

Сами финансовые организации достаточно хорошо осознают риск, которому подвергается их деловая репутация при утечке данных, связанных с денежными операциями. Большинство подобных компаний – 61% – признались, что «снижение доверия / ущерб репутации» были бы «самыми худшими последствиями утечки данных». А поскольку абсолютное большинство клиентов – 91% – предпочли бы прекратить сотрудничество с банком, не сумевшим уберечь важные данные от киберинцидента, эти опасения финансовых организаций более чем обоснованы.

Однако кого коммерческие и финансовые компании считают виновным в утечке

конфиденциальных данных?

Как мы выяснили, больше всего клиенты и финансовые организации в России расходятся в оценке степени виновности IT-департаментов на стороне компании-клиента. В то время как 39% пострадавших организаций готовы возложить ответственность за утечку данных на собственную IT-службу, никто из банков и прочих финансовых компаний не смог обвинить в подобных инцидентах IT-департаменты своих клиентов.

Более того, финансовые организации в большинстве своем склонны считать, что обеспечение безопасности денежных операций – это исключительно их задача. В ходе опроса 85% финансовых компаний в России отметили, что ответственность за защиту транзакций и всех связанных с ними данных лежит на том или ином внутреннем подразделении: IT-департаменте, службе безопасности, группе управления рисками, руководстве, наконец.

Также мы решили узнать, как меняется ситуация с определением ответственности за

безопасность финансовых операций в зависимости от размеров компании. В среднем 23% российских компаний полагают, что защищать деньги должны финансовые организации. Как и следовало ожидать, небольшие компании более склонны доверять безопасность своих денег и связанных с ними данных провайдерам финансовых услуг – доля придерживающихся такой позиции среди российских предприятий малого бизнеса составляет 35%. Для сравнения, лишь 17% представителей крупного бизнеса в России готовы возложить ответственность за безопасность финансовых операций на сами финансовые организации. В то же время небольшие компании полагают, что их собственные IT-департаменты обязаны обеспечивать защиту денежных операций наравне с финансовыми организациями – так считают 37% малых компаний. А вот среди предприятий среднего и крупного размера разрыв между теми, кто возлагает ответственность на финансовые компании и собственные IT-службы, более очевиден: 29% и 41% соответственно для среднего бизнеса и 17% и 37% соответственно для крупного бизнеса.

Прежде чем перейти к блоку вопросов, затрагивающих меры противодействия финансовому кибермошенничеству, мы опросили участников исследования на предмет использования ими мобильных устройств (смартфонов и планшетов) для осуществления финансовых транзакций.

В общей сложности 35% российских компаний признались, что используют мобильные устройства для проведения финансовых операций. Малый бизнес в меньшей степени склонен доверять осуществление транзакций смартфонам и планшетам – доля тех, кто готов провести платеж при помощи мобильного устройства в этом сегменте бизнеса составляет 30%. Среди крупных предприятий использование смартфонов и планшетов для осуществления финансовых транзакций встречается чаще – 39% больших организаций готовы доверить им денежные операции.

Поскольку коммерческие компании, в первую очередь, озабочены вопросами

продуктивности и эффективности бизнеса, они могут не вполне четко осознавать, насколько опасно использовать мобильные устройства для передачи конфиденциальных данных.

Наши предположения нашли подтверждение в ответах участников исследования. Несмотря на то, что чуть больше трети российских компаний используют мобильные устройства для осуществления финансовых транзакций, лишь немногим больше половины представителей бизнеса – 53% – осознают, что смартфоны и планшеты более уязвимы, чем традиционные компьютеры. Учитывая то обстоятельство, что современные компании все больше вовлекают в свои бизнес-операции, в том числе финансовые, мобильные устройства, система обеспечения информационной безопасности должна непременно покрывать не только традиционные рабочие станции, но и корпоративные смартфоны и планшеты.

Как мы видим, заинтересованность в специализированных решениях для защиты

финансовых транзакций выразили лишь 45% российских компаний. При этом

безоговорочную готовность инвестировать в высококлассные защитные технологии

продемонстрировали всего 5% организаций. Как и следовало ожидать, наименьшая

готовность тратить деньги на премиальные решения для защиты финансовых операций была зафиксирована среди представителей малого бизнеса, в то время как большие предприятия в больше степени были склонны потратиться на хорошую защиту.

Что касается финансовых организаций, то в общей сложности 56% из них проявляют

заинтересованность в профессиональных решениях для обеспечения безопасности

финансовых транзакций. При этом потратить любые деньги на хорошее защитное решение готовы 6% финансовых компаний в России.

В финальной части исследования мы решили выяснить, какие меры противодействия

финансовому кибермошенничеству российские финансовые компании используют в

настоящее время.

Как показал опрос, «двухфакторная аутентификация» и «предоставление безопасного соединения» – наиболее распространенные меры обеспечения безопасности финансовых транзакций среди российских финансовых организаций: об обязательном внедрении этих технологий сообщили 61% компаний, а ещё 27% и 24% соответственно отметили, что используют подобные меры защиты опционально.

Когда же речь заходит об использовании защитного ПО, то российские финансовые компании скорее склонны рекомендовать своим клиентам конкретные продукты или тип защиты (39%), нежели предоставлять им соответствующие решения бесплатно или со скидкой (36% и 33% соответственно).

Помимо этого, финансовые организации в России стремятся, прежде всего, обеспечить безопасность транзакций, осуществляемых с компьютеров под управлением Windows или Mac – 27% компаний отметили, что применяют специализированные решения для противодействия финансовому кибермошенничеству именно на этих устройствах. Немного меньше банки беспокоятся о защите мобильных устройств и специальных платежных или банковских приложений (24%). Еще реже специализированная защита устанавливается на устройствах самих финансовых организаций, участвующих в осуществлении транзакций, – такой метод использует 21% компаний.

Также мы спросили у представителей финансовых организаций, отслеживают ли они

транзакции в режиме реального времени и практикуют ли возмещение денежных потерь, понесенных их клиентами по причине киберинцидента. На первый вопрос утвердительно ответило убедительное большинство российских финансовых компаний – 73%. Почти все оставшиеся организации, участвовавшие в исследовании, – 24% – отметили, что не отслеживают финансовые транзакции в момент их осуществления. Что же касается возмещения денежных потерь, то половина российских финансовых компаний (50%) практикует компенсацию без проведения какого бы то ни было расследования инцидента. Возможно, это обстоятельство как раз и объясняет тот факт, что банки и другие финансовые организации в России не пренебрегают специализированной защитой денежных транзакций в Сети и используют самый широкий набор методов противодействия финансовому кибермошенничеству.

В то же время пользовательские устройства с наибольшей долей вероятности могут стать мишенью для кибермошенников, и именно их, а не банковские компьютеры они выберут для осуществления атаки. В таких условиях предложение соответствующей защиты клиентам финансовых организаций выглядит наиболее разумной инвестицией и эффективной практикой, хотя этот метод несколько недооценен российскими компаниями в настоящее время. Кроме того, учитывая быстроту и частоту совершения финансовых транзакций, отсутствие должного мониторинга денежных переводов в режиме реального времени грозит обернуться большой проблемой для банков: злоумышленники успеют украсть существенную сумму денег, прежде чем компания поймет, что столкнулась с проблемой.

Когда речь заходит о сотрудничестве с финансовыми организациями, значение доверия и репутации компании сложно переоценить. Клиенты, в том числе корпоративные, с большой долей вероятности откажутся от партнерства и переведут свои фонды в другую организацию, если их финансовый провайдер вдруг станет жертвой кибермошенников и пострадает от утечки данных. Финансовые организации, разумеется, понимают это и предпринимают меры для защиты конфиденциальной информации клиентов и внутренних важных данных.

По наблюдениям «Лаборатории Касперского», число киберпреступлений, нацеленных на финансовые данные, значительно увеличилось за последние годы. Для кражи денег мошенники используют самые разные инструменты: сложное вредоносное ПО, фишинговые атаки, мобильные зловреды. Подробнее об ухищрениях злоумышленников и финансовых киберугрозах можно узнать из отчета «Лаборатории Касперского».

Читать полный текст исследования: