РУССКИЙ
РУССКИЙ
ENGLISH
10.08.2017

Небезопасный венчур

О цене хакерской атаки и токсичной киберсреде

Руслан Юсуфов
Директор по работе с частными клиентами Group-IB
Хотите я добавлю вашему бизнесу от 1,8% до 15% капитализации бесплатно и без sms? Тогда устраивайтесь поудобнее и давайте поговорим про хакеров и киберугрозы.
Вот две совершенно разных — по выручке, размерам и сфере деятельности — компании: технологический гигант Yahoo! и французская строительная компания Vinci. Объединяет их одно несчастье: обе пострадали от хакеров. У Yahoo! киберпреступники увели более 1 миллиарда личных данных пользователей сервисов, а у Vinci — подделали новости о финансовых показателях.

В итоге Yahoo продала свои интернет-активы Verizon на $350 млн дешевле, чем планировала (более того, компании договорились разделить все будущие расходы на юристов, связанные с утечкой), а акции Vinci рухнули на 18%. И если таким компаниям приходится несладко, что уж говорить о молодом и перспективном стартапе – хакерская атака способна подкосить его на корню.

За 14 лет расследований киберпреступлений мы в Group-IB выучили как мантру: за абсолютным большинством атак стоит финансовая мотивация. Хакеры стремятся украсть деньги с банковского счета или похитить информацию с целью дальнейшей продажи на черном рынке.

Преступники жаждут получить доступ к переписке или другим важным данным, чтобы затем вымогать деньги за сохранение тайны. Наконец, они будут рады взять в заложники ваши файлы и даже весь ваш бизнес, заблокировав всю необходимую для работы информацию, чтобы затем требовать выкуп (именно так и произошло в ходе недавней эпидемии шифровальщика WannaCry).
Так выглядит экран компьютера, заблокированного вирусом WannaCry
Чаще всего кибератака наносит ущерб гораздо больший, чем финансовая выгода, которую извлекают киберпреступники. Представьте, что компьютерные системы производственного предприятия заразил вирус-шифровальщик. В таких случаях мы не рекомендуем платить выкуп – гарантий восстановления информации никаких (вы же общаетесь с преступниками), к тому же вы стимулируете подобную преступную деятельность. Но для целей нашего примера предположим, что руководство предприятия решило заплатить выкуп – по $300 за каждый из нескольких зараженных компьютеров с наиболее важными для работы данными.

Для экономии средств глава службы IT предложил «снести» все некритичные системы и все установить заново. Таким образом затраты на выкуп информации на компьютерах бухгалтерии, серверах с почтой и системами резервного копирования составили всего несколько тысяч долларов – это и оказалось финансовой выгодой киберпреступников.
Для бизнеса же появились дополнительные затраты на устранение последствий инцидента:
1
Переустановка системы
системы на компьютерах пользователей было решено переустановить с потерей большинства рабочих документов; вопреки попыткам руководства ввести правило хранить все важные файлы на общем диске, пользователи по старинке выражали креативное начало в мозаике из папок на рабочем столе;
2
Простой
само предприятие при этом фактически остановило работу на несколько суток; зная объемы производства, несложно посчитать и упущенную выгоду – новые товары не были произведены, а уже произведенные – не были проданы;
3
Срыв поставок
во время простоя предприятие не исполнило имеющиеся обязательства: контрагенты не получили поставки в срок и имели право требовать пени за просрочку и применять штрафные санкции;
4
Убытки
не стоит забывать и о том, что бизнес продолжал выплачивать зарплату десяткам людей, которые не имели возможности создавать добавленную стоимость;
5
Непредвиденные расходы
в отдельных случаях к ущербу от кибератаки добавляются затраты на криминалистическую экспертизу, привлечение внешних экспертов, юристов и консультантов.
В этом примере пострадал бизнес, представленный преимущественно в офлайне и использующий интернет по большому счету только для коммуникации и платежей. А теперь представьте, во сколько обойдется простой бизнеса, который полностью представлен в Сети:

— онлайн-бизнес понесет затраты на бесполезную во время хакерской атаки рекламу;

— интернет-магазин не сможет продавать товары, что чревато не только упущенной выгодой, но и кассовыми разрывами;

— для ряда сервисов, связанных с доступом к личным данным пользователей, такая атака вообще может означать конец бизнеса.

После «Панамского скандала» и утечки информации о тысячах офшорных компаний весь мир узнал о компании Mossack Fonseca, но прибавилось ли у них клиентов? Скорее всего потеряет пользователей и взломанная система хранения данных – в «дырявом» облаке никто не будет хранить свои файлы, это пятно на репутации. После кражи денег с корреспондентского счета банка (или массового взлома клиентских счетов) и соответствующего освещения ситуации в СМИ можно ожидать оттока клиентов, зато прибавится вопросов от проверяющих органов.
Больше всего, пожалуй, потенциальный ущерб от кибератак недооценивается венчурными фондами, в особенности инвестирующими в стартапы высокотехнологичные (то есть те, которые в интернете с головой) или финансовые (то есть те, которые с головой в финансах – пусть даже и в перспективе). Деньги инвесторов обычно направляются на развитие бизнеса, тестирование бизнес-моделей, привлечение клиентов и сотрудников и другие направления, зачастую далекие от вопросов безопасности. Нельзя винить фаундеров в том, что они стремятся заработать денег для инвесторов, а оттого и не готовы тратиться на «лишние» статьи расходов. По моим наблюдениям безопасность уж точно не находится в списке приоритетов большинства стартапов. А зря.

Исследователи из Oxford Economics установили, что публичные компании безвозвратно теряют в среднем 1,8% стоимости в результате кибератаки. Для сотни компаний с наибольшей капитализацией, котирующихся на Лондонской фондовой бирже (FTSE 100), 1,8% - это в среднем 120 млн фунтов! И это в среднем, потому что в отдельных случаях ущерб может достигать 15%. Но надо отдать им должное: по данным опроса, 87% из представителей таких компаний называют киберриски ключевыми для своих организаций. Второй наметившийся тренд – более заметное негативное влияние кибератаки на цену акций по сравнению с ситуацией в прошлом.
* отражает изменение стоимости акций
компании в пятницу, следующую за кибератакой (в %)
Инвестор, будь то венчурный фонд или бизнес-ангел, вкладывая в актив свои деньги и время, заинтересован в росте стоимости компании. Понятное дело, акционеры предпочитают глубоко не вмешиваться в ход развития бизнеса и не задают вопросы о безопасности — для операционки есть команда фаундеров (как минимум с отличными презентационными навыками).

Будучи прозорливым инвестором, не стесняйтесь спрашивать про безопасность, если не хотите завтра потерять актив. Что до фаундеров, готовьтесь: подрастает поколение осознанных инвесторов, которое уже завтра начнет задавать неудобные вопросы, и один из ключевых слайдов в вашем elevator pitch будет называться «наша безопасность и безопасность наших пользователей».

Недаром венчурные инвестиции называются именно так: в основе лежит риск, но и возможная выгода в виде двузначных мультипликаторов привлекает, не говоря уже о призрачном шансе выращивания нового фейсбука, убера, снэпчата (или о чем сейчас принято грезить?). Таким образом, высокий риск оправдан высокой доходностью.

Окружающая киберсреда очень небезопасна – это понимает любой человек, находящийся в современном контексте и время от времени читающий деловую прессу. Не уделять внимание киберугрозам сегодня – совершенно преступно по отношению к себе и своему бизнесу. С другой стороны, такой бизнес тоже можно смело называть венчурным – ведь если закрывать глаза на киберугрозы, риски для бизнеса тоже вырастают многократно!
Напоследок предлагаю тест на самооценку.
Задайте себе 2 вопроса:
1
Сколько будет стоить компании выход из строя всех IT-систем хотя бы на неделю?
2
Сколько кибератак компания испытала за последнюю неделю?
Если вы знаете ответ на второй вопрос, это приблизит вас к пониманию того, насколько вероятно наступление ответа на первый вопрос (недельный простой систем – довольно мягкое последствие кибератаки, откровенно говоря).

Если вы не знаете ответа на второй вопрос, но на вашей визитке указано «СЕО», напишите нам, расскажем бесплатно и без смс (и запасайтесь успокоительным).