2 меры по борьбе с киберпреступностью, против которых выступают предприятия

25 августа руководители Apple, Amazon, Microsoft и других ведущих американских компаний собрались в Белом доме, чтобы провести мозговой штурм по поводу растущей проблемы вымогательства выкупа и других видов киберпреступлений. Администрация Байдена активно добивается улучшения сотрудничества между государственным и частным секторами, чтобы остановить всплеск цифровых атак из России, Китая и других стран.

Однако предприятия с опаской относятся к некоторым мерам, которые, по мнению экспертов, могли бы стать разумными способами повышения защиты США от кибератак, которые недавно вывели из строя такие крупные компании, как Colonial Pipeline и мясокомбинат JBL. Одним из простых изменений может стать требование к компаниям сообщать о кибератаках правительству — особенно если они заплатят выкуп. Поскольку многие кибератаки остаются тайными, правительство не имеет полного представления о проблеме и многих деталях, которые могли бы помочь в защите. Двухпартийное законодательство в Конгрессе потребует от любой компании, связанной с критически важной инфраструктурой, сообщать о взломах.

Некоторые политики пошли бы дальше и запретили выплату выкупов, чтобы устранить стимул к прибыли, который движет всей подпольной индустрией выкупных программ; если вы не можете получить выкуп, нет смысла держать кого-то в заложниках. Бывший посол США в России Майкл Макфол заявил в июне, что Соединенные Штаты и другие западные правительства должны «криминализировать выплату выкупа» хакерам и предъявить обвинения киберпреступникам, чтобы усилить давление на Россию и другие страны, которые их укрывают.

Бизнес, однако, выступает против мер, которые усиливают регулирование и повышают затраты, даже если такие меры позволят некоторым компаниям сэкономить миллионы долларов на выкупах. Интересы бизнеса помогли проиграть законопроект 2012 года, который установил бы стандарты кибербезопасности для ключевых отраслей. Торговая палата США, крупнейшее деловое лобби, хочет, чтобы правительство взяло на себя бремя по созданию фонда для жертв киберпреступлений и ужесточению правоприменения, но не поддерживает ужесточение стандартов для самих компаний.

[Вы были вовлечены в атаку ransomware? Мы хотели бы услышать об этом].

Одной из причин уязвимости американских компаний перед киберпреступлениями является нежелание некоторых предприятий тратить средства на свою защиту. «Компании в основном относятся к этому как к убыткам для бизнеса», — говорит Скотт Бетел, генеральный директор компании Integrity ISR, занимающейся кибербезопасностью. «Они не хотят тратить деньги на серьезную защиту от них. В случае с ransomware у нас нет достаточно мощных брандмауэров». Сколько бы они ни попросили, мы заплатим».

Многие компании имеют страховку, покрывающую расходы на киберпреступления, что является одновременно и защитой, и проблемой. Хотя страхование помогает компаниям покрыть убытки, оно также может создавать ложное чувство безопасности и не стимулировать к созданию жесткой цифровой защиты. В апрельском отчете целевой группы по борьбе с вымогательскими программами приводились доказательства того, что хакеры специально выбирают компании, застраховавшие себя от вымогательства, поскольку у них больше шансов получить крупную выплату. Компания Colonial воспользовалась страховкой, чтобы выплатить по крайней мере часть выкупа в размере 4,4 миллиона долларов, который она заплатила хакерской группе в июне. Рабочая группа рекомендовала улучшить координацию между страховыми компаниями, чтобы установить стандарты безопасности для компаний, покупающих страховку, и обмениваться данными о хакерских организациях.

Вопрос о том, должны ли правительства запрещать выплаты за выкупное ПО, более сложный. Аргумент в пользу запрета довольно прост: если компании не смогут платить, хакеры перестанут их атаковать. Однако с практической точки зрения последствия запрета могут быть ужасными. Хакеры могут закрыть некоторые компании, не способные платить, нанеся ущерб клиентам, работодателям и акционерам. В конечном итоге атаки могут прекратиться, но только после того, как будет нанесен значительный побочный ущерб.

Правительства могли бы создать фонды для помощи жертвам ransomware, но это вызвало бы вопросы справедливости, если бы средства направлялись фирмам со слабой защитой от атак. Рабочая группа по борьбе с вымогательством утверждает, что прежде чем запрещать выплаты выкупа, правительство должно установить стандарты кибербезопасности и обеспечить страхование ответственности для компаний, которые пострадали от сбоев в работе по вине хакеров. Любой запрет должен вводиться поэтапно, начиная с критически важных отраслей и предприятий.

В июне Байден подписал указ, обязывающий компании, предоставляющие ИТ-услуги федеральному правительству, сообщать о киберпреступлениях. Для того чтобы оградить этот указ от судебных апелляций и распространить его на другие компании в более широком смысле, потребуется законодательство Конгресса. Встреча руководителей компаний 25 августа принесла некоторые дальнейшие изменения. Компании Microsoft и Google заявили, что в течение следующих пяти лет они потратят миллиарды долларов на повышение уровня кибербезопасности. Компания Amazon заявила, что будет открывать свои внутренние тренинги по кибербезопасности для общественности. Страховая компания Coalition заявила, что сделает свои инструменты оценки киберрисков общедоступными. Государственный орган по установлению стандартов будет теснее сотрудничать с промышленностью для защиты цепочек поставок.

Это начало. Но остается неясным, будет ли Конгресс уделять первоочередное внимание вопросам, требующим принятия законодательства, таким как обязательство сообщать об атаках. Байден заявил, что киберпреступность, направленная против американских компаний, стала настолько серьезной, что может вызвать «настоящую войну со стрельбой» с Россией или другим противником. Руководители американских компаний не хотят этого, но они также не хотят нести ответственность за дорогостоящую и сложную проблему, если дядя Сэм может решить ее за них.

Рик Ньюман — автор четырех книг, в том числе «Отступники: Как победители переходят от неудач к успеху». Следите за ним в Твиттере: @rickjnewman. Вы также можете присылать конфиденциальные советы и нажмите здесь, чтобы получать истории Рика по электронной почте.