Кіберзлочинність в Україні зростає: дані звіту PricewaterhouseCoopers
На кожному другому українському підприємстві керівництво виявляє економічні злочини. У той же час у світі від них потерпає тільки кожна третя компанія.
До п’яти найпоширеніших форм економічних злочинів в Україні належать дії, які чинять за допомогою інформаційних технологій. Про це свідчать свіжі дані всесвітнього огляду-2011 «Динаміка економічної злочинності в компаніях», оприлюдненого днями відомою аналітичною компанією PricewaterhouseCoopers (PwC). Наша країна вперше брала участь у такому опитуванні 2009 року, коли нарешті набралася необхідна кількість (65) підприємств, керівники яких погодилися відповісти на запитання експертів.
Шахраї озброюються технологіями
Згадування про кібер-злочини в контексті української економіки вперше з’явилися тільки тепер, у свіжому звіті PwC. І це не дивно: співробітники та організації весь час використовують Інтернет із широким вибором спілкування в соціальних мережах. Тим самим вони піддають себе ризику потенційних атак шахраїв із будь-якого куточка світу.
На тлі проблем розкрадання даних і витоку інформації, комп’ютерних вірусів і атак хакерів особлива увага в огляді-2011 приділяється значенню цього виду злочинності і його впливу на господарську діяльність у всьому світі. На думку фахівців PwC, є п’ять основних видів кібер-атак, мета й методи яких іноді збігаються.
У першу чергу це фінансові злочини й шахрайство організованих груп, що займаються розкраданням коштів та інших активів за допомогою сучасних технологій. Другим іде шпигунство. На сьогодні корпоративна пошта й файли, а також традиційні об’єкти інтелектуальної власності (результати наукових досліджень і розробок) становлять велику цінність для успішної конкуренції. Розкрадання інтелектуальної власності — це постійна небезпека. Жертви можуть навіть не здогадуватися про те, що трапилося, до моменту раптової появи піратських копій на ринку або реєстрації патенту на результати досліджень і розробок іншою організацією.
Далі експерти називають воєнні дії — збройні конфлікти між різними країнами, а також спроби заволодіти організаціями приватного сектора, особливо такими важливими інфраструктурними об’єктами національного масштабу, як енергетична, телекомунікаційна й фінансова системи.
Тероризм перегукується із загрозою воєнних дій. Атаки чинять терористичні групи (із можливою підтримкою з боку держави) з метою заволодіння стратегічно важливими приватними або державними інфраструктурними об’єктами.
Активізм за своєю природою нагадує деякі інші категорії, але атаки при цьому відбуваються з ідейно-романтичних мотивів — в ім’я «справедливості» тощо. Такі от сучасні комп’ютерні Юрії Дєточкіни.
Не всі з названих п’яти видів кібер-атак типові для України. Однак зовсім точно можна говорити, що загроза кібер-злочинності — це реальна проблема, яка може негативно вплинути й уже впливає на бізнес-клімат та економіку в країні.
Бережися клієнтів і постачальників?
За результатами опитування, на кібер-злочинність припадає 23% випадків шахрайства у світі, 17% — в Україні. Дані також свідчать про те, що кібер-злочини стають витонченішими, що ускладнює їхнє виявлення й запобігання. Це може призвести до ще більших збитків і втрат у майбутньому. 36% респондентів в Україні вважають, що кіберзлочинність — це зовнішня загроза, 24% — внутрішня. На думку 34% загроза може йти як ззовні, так і зсередини організації. Ці показники трохи відрізняються від результатів Всесвітнього огляду, оскільки в організаціях інших країн відзначають, що ризик такої злочинності переважно йде ззовні (46%), і тільки 13% переконані, що злочин коїли співробітники фірм і корпорацій. Основними кібер-шахраями визнані клієнти й постачальники.
Серед головних передбачуваних країн походження кібер-злочинності українські респонденти відзначили Гонконг і Китай, Росію та США. Однак у значній кількості українських компаній уважають, що загроза може йти від будь-якої країни світу, у тому числі й України. Світова статистика підтверджує результати опитування в нашій країні. До списку передбачуваних країн походження кібер-злочинності потрапили Гонконг і Китай, Індія, Нігерія, Росія, США та Україна.
Ці небезпечні соціальні мережі
58% опитаних в Україні й 60% у світі заявили, що в їхніх організаціях не ведеться моніторинг відвідування соціальних мереж або їм невідомо про існування такого. Ця статистика насторожує, оскільки ці сайти можуть призвести до істотних ризиків безпеки у разі зловживань із боку співробітників. Як відомо, молоде покоління активно відвідує соціальні мережі. Відсутність контролю з боку роботодавця над поширенням конфіденційної інформації може спричинити проблеми, пов’язані з кібер-злочинністю.
При цьому треба визнати, що для багатьох користувачів соціальних мереж звичайна справа — недбале ставлення до особистої інформації, що може переноситися й на інформацію, яка належить компанії. У молодих фахівців може бути абсолютно неправильне уявлення про ризики, яким такі сайти піддають організації, і для них, на думку експертів PwC, треба організовувати й проводити відповідні тренінги. Як відзначається, соціальні мережі можуть і не бути джерелом кібер-злочинності, однак є імовірність їхнього використання для підвищення ефективності засобів соціальної інженерії, спрямованих на скоєння кібер-злочинів або сприятливих для фішингу. Приклад тому — застосування соціальних мереж для збору інформації про конкретну людину або співробітника (так звана техніка «точкового фішингу») або для установлення шкідливих програм на комп’ютер користувача з метою полегшення подальшого доступу до баз корпоративних даних.
Краде… начальство?
На думку 67% опитаних, в Україні відділ інформаційних технологій (ІТ) — найбільш ризиковий підрозділ із погляду кібер-злочинності як внутрішньої загрози. І це не дивно, оскільки саме співробітники відділу ІТ мають необхідні навички й можливості для скоєння таких злочинів (наприклад, зайві права доступу до систем із можливістю видалення журналу записів подій, що ускладнює процес виявлення незаконних дій).
Однак відзначимо ще один цікавий факт: серед інших підрозділів, які піддають організації ризику кібер-злочинності, респонденти назвали відділи фінансів (47%), маркетингу й продажів (37%), юридичний (27%), а також представників вищого керівництва (29%).
Схожа тенденція спостерігається і в інших країнах. Найменш ризиковими визнані відділ інформаційної та фізичної безпеки (16%), а також — управління персоналом (10%). При цьому не треба забувати, що шахраями можуть виявитися співробітники будь-якого відділу, констатують автори Всесвітнього огляду.
…а винний стрілочник?
З’ясувалася дивна річ: у світі нема загальноприйнятого визначення кібер-злочинності. Це ускладнює виявлення таких злочинів і своєчасної реакції на них, особливо у випадках, коли організаціям невідомо про небезпеку. Більш того, неповне розуміння «концепції супротивника» може звести нанівець усі спроби боротьби з нею.
Судячи з відповідей українських респондентів, вітчизняні підприємства й корпорації воліють вдаватися до послуг досвідчених співробітників усередині організації для розв’язання проблем і тільки потім звертатися по допомогу до зовнішніх експертів і правоохоронних органів.
Традиційно кібер-безпеку відносять до сфери ІТ, що веде до недостатньої взаємодії між співробітниками бізнес-підрозділів і фахівцями з інформаційної безпеки. Результати ж Всесвітнього огляду стану інформбезпеки в 2011 році, підготовленого PwC, свідчать про те, що забезпечення кібер-безпеки — це не тільки розв’язання технічних проблем, а й один з обов’язків бізнес-підрозділів.
На запитання про те, хто має відповідати за усунення загроз кібер-злочинності, більше половини опитаних (67%) назвали директора з ІТ або директора з технологій і тільки 13% — генерального директора або членів правління організації. Це означає, що незалежно від того, чи входить директор з ІТ до складу правління, він не розділяє спільну відповідальність із гендиректором або правлінням у цілому.
Тільки 20% респондентів заявили, що генеральний директор і члени правління обговорюють оцінку таких ризиків щонайменше раз на рік. 32% опитаних відповіли, що це обговорення проводиться за необхідності, у той час як 25% відзначили, що оцінка цих ризиків у їхній організації взагалі не проводиться.
Тож поки живуть на світі такі Буратіно, на них завжди знайдуться свої кібер-коти Базиліо й кібер-лисиці Аліси.
Злочин без покарання
«Типовий суб’єкт економічних злочинів в Україні — чоловік із вищою освітою віком 31–50 років, який працює в організації до п’яти років», — сказав Борис Краснянський, керуючий партнер «PwС-Україна». Він відзначив, що фінансові збитки від економічних злочинів в Україні 2011 року становили від $100 тис. до $5 млн. При цьому кожен п’ятий співробітник, який скоїв шахрайство, не був покараний — у 20% випадків організації не вжили ніяких заходів проти шахраїв.