Экономика кибератак: анализ инцидентов в финансовом секторе

Экономика кибератак: анализ инцидентов в финансовом секторе

Финансовый сектор неизменно входит в топ атакуемых отраслей, сталкиваясь как с массовыми, так и с целевыми кибератаками (APT). При этом наносимый ущерб исчисляется миллионами (одномоментно), а последствия растягиваются в среднем на три года. Мы проанализировали убытки от кибератак на реальных примерах банков «Юнистрим», BancoEstado и ANZ.

 

 

 

 

 

  1. Введение
  2. Финсектор под прицелом
    1. 2.1. Кейс с банком «Юнистрим»
    2. 2.2. Кейс с банком BancoEstado
    3. 2.3. Кейс с банком ANZ
  3. Выводы

Введение

Финансовый сектор неизменно входит в топ-3 атакуемых отраслей, являясь «лакомым кусочком» для организаторов массовых атак, чья основная цель — монетизация. Согласно модели уровней нарушителя, разработанной в «РТК-Соларе», этот тип злоумышленников относится к 3-му уровню (из 5 возможных). Это значит, что их атаки не требуют тщательной подготовки и серьёзных вложений, однако наносимый ими урон исчисляется миллионами (одномоментно), а последствия растягиваются в среднем на три года, что в первую очередь сказывается на финансовых показателях компаний. APT-группировки тоже не обходят вниманием финансовый сектор: на него, согласно нашим данным, приходится 14 % APT-атак. В этой статье мы рассмотрим реальные примеры случаев, когда под прицел злоумышленников попадали банки, и проанализируем полученный последними финансовый ущерб.

Финсектор под прицелом

Кейс с банком «Юнистрим»

В ноябре 2018 года банк «Юнистрим» подвергся кибератаке: партнёрам банка от его имени рассылались письма со вредоносным содержимым. По заявлениям официальных представителей «Юнистрима», ни банк, ни его клиенты в результате атаки никак не пострадали, т. к. в компании на должном уровне организована система безопасности. Вместе с тем СМИ активно муссировали тему, что многие партнёры прекратят сотрудничество с «Юнистримом», в связи с чем немало специалистов до сих пор задаются вопросом: была это хакерская или информационная атака (хотя мы отлично понимаем, что одно другому не мешает). Как бы то ни было, фишинговые письма от имени банка рассылались, а чуть ранее у компании произошёл ещё один инцидент, который не был предан такой широкой огласке: в октябре банк был взломан (какие именно системы и процессы были повреждены и приостановлены, а также какой ущерб это за собой повлекло, не сообщается). Через год после всего произошедшего «Юнистрим» заявил о создании (точнее, приобретении) SOC в т. ч. с целью покрытия своих репутационных рисков.

Несмотря на то что, по заявлениям представителей банка, инцидент никак не отразился на работе банковских и платёжных систем, мы считаем, что лучше и беспристрастнее всех ситуацию нам раскроют цифры, а именно — финансовые показатели за 2017–2020 гг.

 

Таблица 1. Финансовые показатели банка «Юнистрим» за 2017–2020 гг.

Показатель

2017 (тыс. руб.)

2018 (тыс. руб.)

2019 (тыс. руб.)

2020 (тыс. руб.)

Всего активов

6 061 817

4 764 867 (−21 %)

5 598 486 (+17 %)

3 794 847 (−32 %)

Счета клиентов

973 504

452 864 (−53 %)

490 714 (+8 %)

314 532 (−36 %)

Прибыль / убыток до вычета налога на прибыль

224 585

48 777 (−78 %)

−92 585 (−290 %)

−166 846 (−80 %)

Совокупный доход / убыток

167 752

30 682 (−82 %)

−84 966 (−377 %)

−141 885 (−67 %)

Чистый отток / поступление (−/+) денежных средств от операционной деятельности

+ 557 430

− 1 299 529 (−333 %)

+ 310 879 (+124 %)

− 167 716 (−154 %)

Чистый процентный доход /
убыток

114 004

54 382 (−52 %)

−30 427 (−156 %)

−20 552 (+32 %)

 

Т. к. инцидент произошёл в конце 2018 года, часть его последствий, как видно по показателям, проявилась лишь в 2019 году, одновременно с этим выйдя на тенденцию стабилизации по другим.

Что же мы получаем в итоге? Многие параметры в 2018 году, в т. ч. непосредственно связанные с оборотом денежных средств, существенно снизились, и ни один из них в 2019 году не вышел на тот же уровень, что был в 2017 году. В результате разница между показателями 2017 и 2018 гг. по большинству параметров составляет около 100 %, а порой и превышает это значение. Аналогичная ситуация сохранилась и в 2020 году. Разумеется, на это не могла не повлиять и пандемия COVID-19, негативно сказавшаяся на большинстве сфер бизнеса. Но очевидно: даже если бы произошло падение на те же доли, но от значений 2017 года, то в 2020 году показатели были бы гораздо выше, а принятое осенью 2019 года решение о создании SOC едва ли успело принести существенные плоды в части восстановления репутации.

В отношении репутации не на руку «Юнистриму» сыграло то, что инцидент был предан огласке и активно освещался в СМИ, которые распространяли и дезинформирующие сведения, так или иначе подрывающие имидж банка. К слову, по информации из открытых источников, не подтверждённой со стороны представителей «Юнистрима», после осенних инцидентов сотрудничество с банком приостановили «Банк Азии» из Киргизии, «Имон Интернешнл» из Таджикистана, «Ипотека-банк» из Узбекистана, российский банк «Восточный».

В подобных ситуациях ущерб не только существенно увеличивается, но и влечёт за собой массу пострасходов, растягивающихся на несколько лет. Так, например, для банков это грозит немедленным понижением в рейтинге кредитоспособности, что произошло и с «Юнистримом»: «Эксперт РА» понизило его рейтинг до «ruB+» с негативным прогнозом, который остался таким же и год спустя. Разумеется, для банка это также влечёт за собой убытки как финансового, так и репутационного характера.

Кейс с банком BancoEstado

В начале сентября 2020 года один из крупнейших чилийских банков BancoEstado стал жертвой вымогателя REvil, в результате чего было зашифровано большинство внутренних серверов и АРМ сотрудников. Атака началась по классике жанра: сотрудник открыл фишинговое письмо со вредоносным вложением (документ Microsoft Office). По имеющейся информации, в корпоративную сеть был установлен бэкдор, однако благодаря сегментированию внутренней сети шифровальщик не смог распространиться по всей инфраструктуре банка: внешние ресурсы (сайт, мобильное приложение, банкоматы продолжили работу в штатном режиме). Вместе с тем после обнаружения атаки, которая была выявлена в субботу, в первый рабочий день отделения банка не работали, так как сотрудники не имели доступа к необходимой информации. О размерах причинённого ущерба и том, был ли выплачен злоумышленникам выкуп, не сообщается, однако очевидно, что определённый ущерб был, и весьма немалый. Мы видим как минимум один день простоя, что весьма существенно, учитывая, что банк выполняет часть финансовой деятельности правительства Чили через счета управляемые генеральным казначейством республики. Официальных данных о размерах потерь нет, поэтому обратимся к финансовым показателям банка (в чилийских песо).

 

Таблица 2. Финансовые показатели BancoEstado за 2019–2021 гг.

Показатель

2019 (тыс. CLP)

2020 (тыс. CLP)

2021 (тыс. CLP)

Всего активов

682 709 086

669 966 948 (−1,9 %)

511 560 257 (−23,6 %)

Общий доход от услуг

1 467 958

1 469 831 (+0,1 %)

1 417 338 (−3,6 %)

Доход по финансовым операциям

26 080 195

15 524 258 (−40,5 %)

11 240 062 (−27,6 %)

Чистая прибыль

7 406 361

4 944 827 (−33,2 %)

2 124 413 (−57 %)

Чистый отток / поступление (−/+) денежных средств от операционной деятельности

+ 12 215 828

− 10 683 634 (−187,5 %)

+ 23 497 401 (+145,5 %)

Доход / убыток от счетов клиентов

1 652 334

23 506 (−98,6 %)

1 618 931 (+6787,3 %)

 

Т. к. инцидент произошёл в 2020 году, в первую очередь следует обратить внимание на разницу показателей между этим и предыдущим годами. И здесь по большинству параметров можно наблюдать существенную разницу, на формирование которой, безусловно, повлияли и кибератака, и пандемия коронавируса, затормозившая многие экономические процессы (однако конкретных сведений о мерах, связанных с COVID-19 на территории Республики Чили, которые могли бы повлиять на работу организаций финансового сектора, не имеется). Так, чистая прибыль уменьшилась на треть, счета клиентов принесли крайне малый доход, а денежные средства от операционной деятельности и вовсе продемонстрировали отрицательную динамику. На этом фоне увеличение общего дохода от услуг на 0,1 % кажется неплохим показателем, однако очевидно, что фактически это скорее стагнация, а доход по финансовым операциям сократился почти в два раза. Таким образом, можно говорить, что даже незначительный простой влечёт за собой весьма серьёзные последствия. И здесь важно отметить, что речь идёт о простое не одного отделения банка, а всех его филиалов в стране, что, безусловно, не могло не отразиться на его финансовых показателях. Определённую роль здесь сыграл и репутационный ущерб, который, например, повлиял на динамику дохода от счетов клиентов.

Если взглянуть на результаты 2021 года, то здесь уже не наблюдается такой однообразной тенденции, как годом ранее, однако по подавляющему большинству показателей банк не вернулся на тот уровень, что был до атаки. Это в очередной раз подтверждает наш тезис о том, что киберицидент — это не только одномоментные убытки, но и долгий процесс восстановления, сопряжённый с дополнительными расходами, который растягивается в среднем на три года. Так, общая сумма активов, доход по финансовым операциям и чистая прибыль продолжили снижаться. Безусловно, в первую очередь внимание следует обратить именно на прибыль, которая с 2019 года сократилась более чем в два раза.

Вместе с тем мы можем утверждать, что руководство банка и его сотрудники проделали определённую работу по восстановлению после инцидента, в результате чего поступления денежных средств от операционной деятельности в 2021 году превысили значения 2019 года. Также существенно возрос и доход от счетов клиентов, что даёт основания предполагать, что в BancoEstado провели мероприятия по антикризисному пиару, направленные на укрепление репутации и привлечение и / или удержание клиентов.

Кейс с банком ANZ

Как мы уже сказали ранее, банки — одна из излюбленных мишеней злоумышленников по всему миру, и потому ежегодно в аналитических материалах мы видим огромные цифры, иллюстрирующие количество атак совершённых на организации финансового сектора. Прошлый год не стал исключением, и потому рассмотрим относительно недавний кейс, когда атаке подвергся крупнейший банк Новой Зеландии ANZ, входящий в финансовую группу Australia and New Zealand Banking Group. Согласно информации, размещённой на официальном сайте, ANZ — крупнейшая в стране компания по размеру прибыли и активов, поэтому можно предположить, что атака на подобную организацию может повлечь за собой весьма серьёзные последствия в масштабах экономики всего государства.

В сентябре прошлого года ряд новозеландских организаций, включая банк ANZ, подверглись DDoS-атакам. По состоянию на 9 сентября мобильное приложение банка не работало третий день подряд, в связи с чем от клиентов поступали многочисленные жалобы, т. к. люди не могли оплатить счета и совершить иные необходимые операции. Также со значительными перебоями работал и сайт банка. Каких-либо сведений о времени восстановления и причинённом ущербе не публикуется, однако очевидно, что как минимум трёхдневный простой в работе сайта и приложения не мог не отразиться на финансовых показателях банка (отчётность формируется в несколько иные периоды, упор делается больше на полугодовые показатели, которые приходятся на март и сентябрь).

 

Таблица 3. Финансовые показатели банка ANZ за 2021 и первую половину 2022 гг.

Показатель

март (Н1) 2021 

(млн AUD)

сентябрь (Н2) 2021

(млн AUD)

март (Н1) 2022 

(млн AUD)

Операционный доход

8367

9053 (+8 %)

9542 (+5,4 %)

Операционные расходы

4482

4569 (+2 %)

4791 (+4,9 %)

Денежная прибыль (общая: учитываются Австралия, Новая Зеландия и Океания)

2982

3199 (+7 %)

3108 (−2,8 %)

Денежная прибыль (Новая Зеландия)

771

737 (−4 %)

787 (+6,8 %)

Всего активов (млрд)

1018,3

978,9 (−4 %)

1017,361 (+3,9 %)

Прибыль / убыток до уплаты налога (Новая Зеландия)

3

−15 (−600 %)

−6 (+60 %)

 

Данный случай интересен тем, что мы анализируем краткосрочные изменения, произошедшие за полгода, которые, с одной стороны, наглядно демонстрируют ситуативное влияние кибератаки на экономику конкретной компании, но, с другой, не дают максимально полного представления о последствиях инцидента в долгосрочной перспективе: очевидно, что их можно будет оценить спустя год-два. Прежде чем анализировать имеющиеся показатели, стоит обратить внимание, что киберинцидент произошёл в начале сентября, т. е. в период формирования полугодовой отчётности, в связи с чем в ней могли быть отражены не все последствия — именно поэтому так важно изучить данные не только за этот период, но и за последующий.

На текущий момент мы можем видеть следующую картину: прибыль до уплаты налога непосредственно в том региональном отделении банковской группы, где произошла атака, отреагировала сразу же, уменьшившись на 600 %. Закономерно возросли операционные расходы, показав прирост на 2 %, что даёт основания утверждать, что банк вполне быстро справился с инцидентом, но тем не менее определённые дополнительные вложения для ликвидации последствий потребовались, и большая их часть пришлась как раз на последующий период, когда сумма операционных расходов возросла ещё почти на 5 %. Примечательно, что общая денежная прибыль в первом полугодии 2022 года несколько уменьшилась, а по Новой Зеландии, напротив, возросла, в то время как в предыдущем периоде можно было наблюдать ровно противоположную картину. Очевидно, что на сумму общей денежной прибыли могли повлиять также и иные факторы, связанные как со внутренней экономикой страны, так и с глобальными политическими процессами. Следует обратить внимание, что ни денежная прибыль по Новой Зеландии, ни общий размер активов банка в первом полугодии 2022 года не вышли на тот уровень, что был до того, как произошла кибератака. При этом в целом компания восстановилась скорее быстро, и серьёзного длительного отката назад по ключевым показателям не произошло, хотя динамика по прибыли в −600 % едва ли могла не отразиться на экономике банка. Таким образом, можно сказать, что три дня простоя, сопровождаемые неспособностью клиентов совершать денежные операции, оказали существенное влияние на снижение прибыли банка.

Выводы

Пожалуй, ключевой вывод данного исследования — это то, что даже крупные финансовые компании подвергаются различным атакам, которые могут быть весьма простыми и недорогостоящими с точки зрения своей реализации, но при этом наносить весьма существенный ущерб. Первая волна убытков наступает сразу же, и её можно отследить по годовым или даже полугодовым показателям, однако оценивать общий ущерб следует всё же на более репрезентативном временном отрезке — как минимум в два-три года.

Поскольку компании финансовой отрасли — это тот сегмент, где большие обороты связаны со многочисленными вложениями клиентов, снижение прибыли здесь в совокупности с другими факторами может быть колоссальным и достигать астрономических цифр в 300, а то и 600 %, ибо каждый день простоя обходится весьма дорого. И речь — не только о недополученной прибыли, но и о серьёзных репутационных рисках, выражающихся в первую очередь в оттоке клиентов, привыкших в век высоких технологий решать все вопросы здесь и сейчас, а не ждать по несколько дней, когда заработает приложение: порой открыть счёт в другом банке может быть гораздо быстрее — отсюда и такие потери.

Любая кибератака — это всегда увеличение операционных расходов и снижение доходов от счетов клиентов, потому что, как уже было отмечено выше, клиенты уходят, а на ликвидацию последствий киберинцидента требуются дополнительные вложения. Более того, в большинстве случаев подобные прецеденты являются стимулом для вложений в виде приобретения дополнительных ИБ-сервисов, смены ИБ-провайдера, найма ИТ- и ИБ-специалистов и принятия иных мер, направленных на повышение защищённости. К сожалению, как показывает статистика, зачастую именно эта причина является триггером для взятия курса на формирование / обновление системы ИБ даже в крупных компаниях. Здесь в качестве примера можно привести атаку на компанию Maersk, о которой мы писали ранее: только после киберинцидента в 2017 году киберриски были включены в перечень операционных рисков, а также был оформлен киберполис.

Продолжая серию наших аналитических материалов по экономике кибератак, хотелось бы отметить, что для таких ключевых отраслей, как финансовая, нефтегазовая, логистическая, снижение прибыли после наступления киберинцидента может доходить до 400–600 %, что также сопровождается одновременным увеличением операционных расходов примерно на 10 % (анализируя финансовые показатели компании, разумеется, приходится учитывать все факторы влияния, т. к. нет возможности вычленить изменения наступившие непосредственно по причине киберинцидента, но вместе с тем очевидно, что зачастую именно крупные кибератаки оказывают существенное влияние на экономику предприятия). Пороговые значения снижения доходов для финансовой отрасли в основном варьируются на уровне 10–15 %, однако при наличии и иных внешних и внутренних экономических факторов, как, например, в случае с банком «Юнистрим», могут превышать 200 %. 

Таким образом, мы можем сделать следующие ключевые выводы:

  1. Нет систем на 100 % неуязвимых — это справедливо как для небольших региональных, так и для крупнейших банков, в т. ч. влияющих на формирование экономики той или иной страны.
  2. Финансовые компании сильно зависят от внутренних бизнес-процессов и работы онлайн-ресурсов: один день простоя может быть равен двукратному размеру выручки.
  3. Заранее предугадать потенциальный ущерб от кибератаки крайне трудно: на это влияет очень много факторов, в первую очередь зависящих от уровня защищённости компании.
  4. Каков бы ни был ущерб, злоумышленники всегда тратят в разы меньше, и пока ваша компания проходит долгий процесс реабилитации и восстановления после кибератаки, они уже атакуют кого-то другого.
  5. Репутационные риски — это не только отток клиентов и недополученная прибыль, но и увеличение операционных расходов.
  6. Процесс полного восстановления после кибератаки в среднем занимает два-три года, и, безусловно, для крупных корпораций и холдингов он протекает менее болезненно.
Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru