Исследование PwC очень объемное, поэтому публикуется частями.
Сегодня информационная безопасность является неотъемлемой частью бизнес рисков. Теперь этот вопрос касается не только информационных технологий и специалистов по безопасности, в вопросы ИБ теперь вовлечены топ-менеджмент и советы директоров. Потребители также обеспокоены и желают быть в курсе о возможных инцидентах и угрозах безопасности.
Сообщения СМИ об инцидентах безопасности (инцидент безопасности определяется, как нежелательный инцидент, угрожающий ряду аспектов информационной безопасности) стали обычным явлением, как прогноз погоды, и в течение последних 12 месяцев практически каждый сектор промышленности по всему миру был подвержен какому-либо типу кибер угрозы. С увеличением количества инцидентов правительства государств становятся все более активными в оказании помощи организациям в борьбе с кибер преступностью. Например, ФБР обнародовало информацию о том, что 3000 компаний, в том числе банков, предприятий розничной торговли и военных подрядчиков стали жертвами кибер атак в 2013 году. Впоследствии Министерством юстиции США было предъявлено обвинение пятерым китайским военным хакерам в проведении экономического кибер шпионажа против американских компаний в секторах атомной энергетики, металлопромышленности и солнечной энергетики. Это был первый раз, когда США обвинили государственных должностных лиц в экономическом шпионаже с помощью внешних кибер атак в соответствии с разделом 1831 Закона об экономический шпионаже. Эта тенденция скорее всего продолжится, согласно прогнозу Шона Джойса (глава департамента консалтинга в PwC и бывший заместитель директора ФБР). «Я думаю, что мы увидим, как Министерство юстиции и ФБР продолжат реализацию агрессивной стратегии направленной против субъектов, которые приносят значительный экономический ущерб для экономики США», — говорит Джойс.
Нападения на крупные компании ритейл сектора достигли невероятных масштабов в прошлом году, в результате чего произошли кражи сотен миллионов записей платежных карт клиентов. Это привело к значительному росту количества судебных разбирательств и срочного введения нового стандарта платежных карт в США. В Великобритании инсайдером в компании была украдена информация о заработной плате и номерах банковских счетов 100’000 сотрудников сети супермаркетов, после чего эту информацию опубликовали онлайн. В Южной Корее также сообщают о кражах данных потребителей в огромных масштабах, 105 миллионов счетов платежных карт подверглись атакам. В Вердене, Германия, городские чиновники объявили о краже 18 миллионов адресов электронной почты, паролей и другой информации.
Вслед за разоблачениями Сноудена, атаки на розничные сети придали еще большей огласки проблемам информационной безопасности. Громкие разоблачения в слежке подтолкнули международные корпорации и даже правительства пересмотреть список поставщиков товаров и услуг, исключив оттуда компании, которые могут быть связаны с государственными органами. В частности в Symantec сообщили об обнаружении шпионажа за правительствами основных стран Евросоюза. Исходя из выбранных целей и крайне нетривиальных вредоносных программ, в Symantec сделали вывод, что координировала атаки группа при поддержке одного из государств. Геополитические конфликты, особенно между Россией и Украиной, выливаются во встречные атаки на государственные сайты и распространение вредоносных программ на устройства посольств.
Другие важные поставщики инфраструктуры также находятся под атаками. Группа хакеров успешно проникла в общественное коммунальное предприятие США через интернет и скомпрометировала систему управления, хотя вторжение было остановлено, прежде чем был нанесен какой-либо ущерб. Преступники, за спинами которых находятся третьи государства, используют сложные вредоносные программы для проникновения в промышленные системы управления сотен энергокомпаний в США и Европе.
Лидерами среди жертв кибер атак остаются компании финансового сектора. Атаки на фондовые биржи стали уже обыденным делом. Исследование 46 фондовых бирж по всему миру, проведенное Международной организацией комиссий по ценным бумагам (IOSCO) и Всемирной федерацией бирж показало, что более половины (53%) площадок подвергались кибер аткам. Банковский сектор тоже не отстает, во время одной из атак, кибер преступники ограбили банкоматы двух ближневосточных банков по всему миру на сумму $45 млн.
Мы также наблюдаем увеличение атак на так называемый сегмент «интернет вещей» – набирающие обороты экосистемы устройств, подключаемых к сети, и призванных облегчить нам жизнь, например, видеоняни, домашние термостаты, новые телевизоры и т.д. Эти подключенные к интернету устройства являются крайне уязвимыми для атаки, потому что в них не заложены даже элементарные системы безопасности, что подтверждает недавнее исследование HP Fortify on Demand. Компания HP исследовала 10 наиболее популярных соединенных устройств и подтверждает, что 70% из них содержат серьезные уязвимости.
IOActive опубликовали исследование, которое демонстрирует в деталях, как хакеры могут контролировать электронные блоки управления конкретных автомобилей и предлагает механизмы для обнаружения атак. Сообщается, что, что автомобили, которые содержат в себе десятки электронных устройств, связанных между собой, а в некоторых случаях соединяются с внешним миром через беспроводную связь, могут быть взломаны с последующим контролем тормозов, рулевого управления и даже двигателя.
Регуляторы
Некоторые из наиболее уважаемых и популярных мировых новостных организаций, в том числе The New York Times, The Financial Times, CNN, Reuters были скомпрометированы в прошлом году. Многие из самых известных атак были проведены хакерами, связанных с властями ближневосточного региона. Этот список далеко не полный, невозможно узнать точное количество компаний, которые подверглись атакам или были скомпрометированы, и этому есть несколько объяснений. Во-первых, часть компаний так и не узнают, что они были атакованы, во-вторых, компании бояться публично заявлять об инцидентах во избежание репутационных или материальных потерь, судебных исков и прочих проверок. К слову о проверках, регуляторы по всему миру начинают ужесточать правила и требования к компаниям в сфере информационной безопасности.
В качестве подтверждения вышесказанного можно привести пример планов Комиссии США по ценным бумагам и биржам о проведении тестов по информационной безопасности в более чем 50 брокер-дилерах и компаниях инвестиционного консалтинга. В Азии, Акт о защите персональных данных Сингапура устанавливает новые стандарты для сбора, использования и раскрытия личных данных. Организации, которые не будут соблюдать новые требования ожидает штраф до 1 млн SGD или $788’995.
В новом руководстве от Комиссии США по ценным бумагам и биржам есть несколько новых и уникальных требований, таких как наличие страховки от кибер атак и наличие возможности производить полную инвентаризацию всех инцидентов и нарушений. Руководство также требует, чтобы предприятия внедряли механизмы оценки риска, а также более эффективно оценивали риски и дью дилидженс вендоров.
Руководители транснациональных организаций в ожидании принятия европейских норм по защите данных (European Union Data Protection Regulation), финальная версия которых ожидается в 2015 году. Участники рынка ожидают ужесточение требований к компаниям, которые обрабатывают персональные данные, в частности проведение оценок рисков и аудитов систем информационной безопасности, и более чем двойное увеличение штрафов для скомпрометированных компаний (с 2% до 5% от годового оборота компании). Новые требования ЕС об уведомлениях в случае инцидентов безопасности позволят оценить ситуацию с кибер атаками в Европе более точно. По словам Джона Вудса (один ведущих сотрудников департамента практики кибер безопасности в юридической фирме Baker & McKenzie): «В США государственные законы об уведомлении в случаях инцидентов безопасности позволили обнаружить массу случаев атак и компрометаций, что привело к более серьезному отношению и более пристальному вниманию к информационной безопасности. Будет интересно понаблюдать, если европейские нормы возымеют такой же результат».
Мы также наблюдаем новые усилия правительства, чтобы помочь организациям улучшить свою информационную безопасность на добровольной основе. В США в 2013 году специальным приказом президента о повышении уровня информационной безопасности был создан стандарт Национального института стандартов и технологий (NIST). Версия 1.0 стандарта добровольно реализуется отдельными компаниями для оценки и улучшения ИБ, а также создает общую платформу для обсуждения, сотрудничества и тактики реагирования на кибер угрозы. Усилия частного сектора по продвижению безопасности представлены запуском инициативы компании Google – Project Zero, которая призвана продвигать безопасность путем выявления и блокировки неизвестных угроз, прежде чем хакеры могут ими воспользоваться. В Google говорят, что инженеры из Project Zero будут работать над повышением безопасности широко используемого программного обеспечения, а также изучать мотивы и приемы злоумышленников и проводить исследования в сфере эффективного мониторинга и ликвидации последствий компрометаций.
Рынок услуг в сфере информационной безопасности растет
В результате увеличения количества инцидентов (на 48% в 2014 по сравнению с 2013) и ужесточения требований регуляторов, компании и государственные органы вынуждены повышать уровень ИБ, чтобы защитить свои данные. Это в свою очередь дает импульс для роста количества решений и технологий в области информационной безопасности.
Исследовательская фирма Gartner прогнозирует, что глобальные расходы на ИТ-безопасность вырастут на 7,9% до $ 71’100’000’000 в 2014 году, и на 8,2% до $ 76’900’000’000 в 2015 году. Рост инцидентов безопасности и их освещение в СМИ помогли открыть поток инвестиций венчурного капитала в компании, которые предоставляют услуги в сфере ИБ. В течение первых шести месяцев 2014 года венчурные фонды проинвестировали $894’000’000 в США в стартапы сегмента информационной безопасности. Сумма почти аналогична инвестициям во все стартапы в 2013 году. Это превышает все инвестиции в сектор ИБ за последние 10 лет. В то же время, капитализация некоторых охранных фирм достигла новых максимумов в прошлом году.
Например, поставщик сетевой безопасности FireEye, после оценки в $304 млн во время IPO в 2013 году, в настоящее время имеет рыночную капитализацию в размере около $4,6 млрд. Palo Alto Networks (специализируется на ИБ корпоративного сектора) привлекла $260 млн в 2012 на IPO, и теперь имеет рыночную капитализацию в размере около $6,2 млрд.
В разгар бума вечнурного капитализма оценка некоторых компаний сегмента ИБ составляла пять-десять их годовых доходов. В данный момент на рынке происходит коррекция, все понимают, что сегмент превратился в «пузырь», и во избежание обвала инвесторы постепенно сокращают темпы инвестиций в ИБ. Это привело к тому, что некоторые компании потеряли до половины предыдущих оценок. Мы считаем, что программное обеспечение и рынок услуг в сфере ИБ продолжат рост т.к. топ-менеджмент и советы директоров понимают, что кибер атаки никогда не прекратятся, а требования регуляторов будут только ужесточаться.
Рынок венчурного капитала в сфере ИБ растет и в Европе:
— лондонская компания С5Capital собрали фонд ориентированный на ИБ в объеме $125 млн и объявила об инвестициях в компанию BalaBit 22 в объеме $8 млн;
— фонд Index Ventures открыл свои двери для компаний в сфере ИБ из Европы, Израиля и США, выделив на данный сегмент $550 млн. Фонд также проявлял активность в этом году в области слияний и поглощений в сегменте ИБ;
— FireEye приобрели Mandiant примерно за $1 млрд;
— Cisco Systems приобрели Sourcefire за $2,7 млрд.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ…
Сегодня информационная безопасность является неотъемлемой частью бизнес рисков. Теперь этот вопрос касается не только информационных технологий и специалистов по безопасности, в вопросы ИБ теперь вовлечены топ-менеджмент и советы директоров. Потребители также обеспокоены и желают быть в курсе о возможных инцидентах и угрозах безопасности.
Сообщения СМИ об инцидентах безопасности (инцидент безопасности определяется, как нежелательный инцидент, угрожающий ряду аспектов информационной безопасности) стали обычным явлением, как прогноз погоды, и в течение последних 12 месяцев практически каждый сектор промышленности по всему миру был подвержен какому-либо типу кибер угрозы. С увеличением количества инцидентов правительства государств становятся все более активными в оказании помощи организациям в борьбе с кибер преступностью. Например, ФБР обнародовало информацию о том, что 3000 компаний, в том числе банков, предприятий розничной торговли и военных подрядчиков стали жертвами кибер атак в 2013 году. Впоследствии Министерством юстиции США было предъявлено обвинение пятерым китайским военным хакерам в проведении экономического кибер шпионажа против американских компаний в секторах атомной энергетики, металлопромышленности и солнечной энергетики. Это был первый раз, когда США обвинили государственных должностных лиц в экономическом шпионаже с помощью внешних кибер атак в соответствии с разделом 1831 Закона об экономический шпионаже. Эта тенденция скорее всего продолжится, согласно прогнозу Шона Джойса (глава департамента консалтинга в PwC и бывший заместитель директора ФБР). «Я думаю, что мы увидим, как Министерство юстиции и ФБР продолжат реализацию агрессивной стратегии направленной против субъектов, которые приносят значительный экономический ущерб для экономики США», — говорит Джойс.
Нападения на крупные компании ритейл сектора достигли невероятных масштабов в прошлом году, в результате чего произошли кражи сотен миллионов записей платежных карт клиентов. Это привело к значительному росту количества судебных разбирательств и срочного введения нового стандарта платежных карт в США. В Великобритании инсайдером в компании была украдена информация о заработной плате и номерах банковских счетов 100’000 сотрудников сети супермаркетов, после чего эту информацию опубликовали онлайн. В Южной Корее также сообщают о кражах данных потребителей в огромных масштабах, 105 миллионов счетов платежных карт подверглись атакам. В Вердене, Германия, городские чиновники объявили о краже 18 миллионов адресов электронной почты, паролей и другой информации.
Вслед за разоблачениями Сноудена, атаки на розничные сети придали еще большей огласки проблемам информационной безопасности. Громкие разоблачения в слежке подтолкнули международные корпорации и даже правительства пересмотреть список поставщиков товаров и услуг, исключив оттуда компании, которые могут быть связаны с государственными органами. В частности в Symantec сообщили об обнаружении шпионажа за правительствами основных стран Евросоюза. Исходя из выбранных целей и крайне нетривиальных вредоносных программ, в Symantec сделали вывод, что координировала атаки группа при поддержке одного из государств. Геополитические конфликты, особенно между Россией и Украиной, выливаются во встречные атаки на государственные сайты и распространение вредоносных программ на устройства посольств.
Другие важные поставщики инфраструктуры также находятся под атаками. Группа хакеров успешно проникла в общественное коммунальное предприятие США через интернет и скомпрометировала систему управления, хотя вторжение было остановлено, прежде чем был нанесен какой-либо ущерб. Преступники, за спинами которых находятся третьи государства, используют сложные вредоносные программы для проникновения в промышленные системы управления сотен энергокомпаний в США и Европе.
Лидерами среди жертв кибер атак остаются компании финансового сектора. Атаки на фондовые биржи стали уже обыденным делом. Исследование 46 фондовых бирж по всему миру, проведенное Международной организацией комиссий по ценным бумагам (IOSCO) и Всемирной федерацией бирж показало, что более половины (53%) площадок подвергались кибер аткам. Банковский сектор тоже не отстает, во время одной из атак, кибер преступники ограбили банкоматы двух ближневосточных банков по всему миру на сумму $45 млн.
Мы также наблюдаем увеличение атак на так называемый сегмент «интернет вещей» – набирающие обороты экосистемы устройств, подключаемых к сети, и призванных облегчить нам жизнь, например, видеоняни, домашние термостаты, новые телевизоры и т.д. Эти подключенные к интернету устройства являются крайне уязвимыми для атаки, потому что в них не заложены даже элементарные системы безопасности, что подтверждает недавнее исследование HP Fortify on Demand. Компания HP исследовала 10 наиболее популярных соединенных устройств и подтверждает, что 70% из них содержат серьезные уязвимости.
IOActive опубликовали исследование, которое демонстрирует в деталях, как хакеры могут контролировать электронные блоки управления конкретных автомобилей и предлагает механизмы для обнаружения атак. Сообщается, что, что автомобили, которые содержат в себе десятки электронных устройств, связанных между собой, а в некоторых случаях соединяются с внешним миром через беспроводную связь, могут быть взломаны с последующим контролем тормозов, рулевого управления и даже двигателя.
Регуляторы
Некоторые из наиболее уважаемых и популярных мировых новостных организаций, в том числе The New York Times, The Financial Times, CNN, Reuters были скомпрометированы в прошлом году. Многие из самых известных атак были проведены хакерами, связанных с властями ближневосточного региона. Этот список далеко не полный, невозможно узнать точное количество компаний, которые подверглись атакам или были скомпрометированы, и этому есть несколько объяснений. Во-первых, часть компаний так и не узнают, что они были атакованы, во-вторых, компании бояться публично заявлять об инцидентах во избежание репутационных или материальных потерь, судебных исков и прочих проверок. К слову о проверках, регуляторы по всему миру начинают ужесточать правила и требования к компаниям в сфере информационной безопасности.
В качестве подтверждения вышесказанного можно привести пример планов Комиссии США по ценным бумагам и биржам о проведении тестов по информационной безопасности в более чем 50 брокер-дилерах и компаниях инвестиционного консалтинга. В Азии, Акт о защите персональных данных Сингапура устанавливает новые стандарты для сбора, использования и раскрытия личных данных. Организации, которые не будут соблюдать новые требования ожидает штраф до 1 млн SGD или $788’995.
В новом руководстве от Комиссии США по ценным бумагам и биржам есть несколько новых и уникальных требований, таких как наличие страховки от кибер атак и наличие возможности производить полную инвентаризацию всех инцидентов и нарушений. Руководство также требует, чтобы предприятия внедряли механизмы оценки риска, а также более эффективно оценивали риски и дью дилидженс вендоров.
Руководители транснациональных организаций в ожидании принятия европейских норм по защите данных (European Union Data Protection Regulation), финальная версия которых ожидается в 2015 году. Участники рынка ожидают ужесточение требований к компаниям, которые обрабатывают персональные данные, в частности проведение оценок рисков и аудитов систем информационной безопасности, и более чем двойное увеличение штрафов для скомпрометированных компаний (с 2% до 5% от годового оборота компании). Новые требования ЕС об уведомлениях в случае инцидентов безопасности позволят оценить ситуацию с кибер атаками в Европе более точно. По словам Джона Вудса (один ведущих сотрудников департамента практики кибер безопасности в юридической фирме Baker & McKenzie): «В США государственные законы об уведомлении в случаях инцидентов безопасности позволили обнаружить массу случаев атак и компрометаций, что привело к более серьезному отношению и более пристальному вниманию к информационной безопасности. Будет интересно понаблюдать, если европейские нормы возымеют такой же результат».
Мы также наблюдаем новые усилия правительства, чтобы помочь организациям улучшить свою информационную безопасность на добровольной основе. В США в 2013 году специальным приказом президента о повышении уровня информационной безопасности был создан стандарт Национального института стандартов и технологий (NIST). Версия 1.0 стандарта добровольно реализуется отдельными компаниями для оценки и улучшения ИБ, а также создает общую платформу для обсуждения, сотрудничества и тактики реагирования на кибер угрозы. Усилия частного сектора по продвижению безопасности представлены запуском инициативы компании Google – Project Zero, которая призвана продвигать безопасность путем выявления и блокировки неизвестных угроз, прежде чем хакеры могут ими воспользоваться. В Google говорят, что инженеры из Project Zero будут работать над повышением безопасности широко используемого программного обеспечения, а также изучать мотивы и приемы злоумышленников и проводить исследования в сфере эффективного мониторинга и ликвидации последствий компрометаций.
Рынок услуг в сфере информационной безопасности растет
В результате увеличения количества инцидентов (на 48% в 2014 по сравнению с 2013) и ужесточения требований регуляторов, компании и государственные органы вынуждены повышать уровень ИБ, чтобы защитить свои данные. Это в свою очередь дает импульс для роста количества решений и технологий в области информационной безопасности.
Исследовательская фирма Gartner прогнозирует, что глобальные расходы на ИТ-безопасность вырастут на 7,9% до $ 71’100’000’000 в 2014 году, и на 8,2% до $ 76’900’000’000 в 2015 году. Рост инцидентов безопасности и их освещение в СМИ помогли открыть поток инвестиций венчурного капитала в компании, которые предоставляют услуги в сфере ИБ. В течение первых шести месяцев 2014 года венчурные фонды проинвестировали $894’000’000 в США в стартапы сегмента информационной безопасности. Сумма почти аналогична инвестициям во все стартапы в 2013 году. Это превышает все инвестиции в сектор ИБ за последние 10 лет. В то же время, капитализация некоторых охранных фирм достигла новых максимумов в прошлом году.
Например, поставщик сетевой безопасности FireEye, после оценки в $304 млн во время IPO в 2013 году, в настоящее время имеет рыночную капитализацию в размере около $4,6 млрд. Palo Alto Networks (специализируется на ИБ корпоративного сектора) привлекла $260 млн в 2012 на IPO, и теперь имеет рыночную капитализацию в размере около $6,2 млрд.
В разгар бума вечнурного капитализма оценка некоторых компаний сегмента ИБ составляла пять-десять их годовых доходов. В данный момент на рынке происходит коррекция, все понимают, что сегмент превратился в «пузырь», и во избежание обвала инвесторы постепенно сокращают темпы инвестиций в ИБ. Это привело к тому, что некоторые компании потеряли до половины предыдущих оценок. Мы считаем, что программное обеспечение и рынок услуг в сфере ИБ продолжат рост т.к. топ-менеджмент и советы директоров понимают, что кибер атаки никогда не прекратятся, а требования регуляторов будут только ужесточаться.
Рынок венчурного капитала в сфере ИБ растет и в Европе:
— лондонская компания С5Capital собрали фонд ориентированный на ИБ в объеме $125 млн и объявила об инвестициях в компанию BalaBit 22 в объеме $8 млн;
— фонд Index Ventures открыл свои двери для компаний в сфере ИБ из Европы, Израиля и США, выделив на данный сегмент $550 млн. Фонд также проявлял активность в этом году в области слияний и поглощений в сегменте ИБ;
— FireEye приобрели Mandiant примерно за $1 млрд;
— Cisco Systems приобрели Sourcefire за $2,7 млрд.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ…
