Настоящая цена кибератак — и слабые места бизнеса, которые позволяют им случаться

Этот текст — перевод материала BBC, подготовленный специально для Tproger и адаптированный для русскоязычной IT-аудитории. В тексте также присутствуют другие реалии британского бизнеса и логистики — они поясняются по ходу перевода.

Автор: Тео Леггетт, международный бизнес-корреспондент, The true cost of cyber attacks - and the business weak spots that allow them to happen

Первый день сентября должен был открыть один из самых активных периодов года для Jaguar Land Rover.

Это был понедельник, и запуск новых номерных знаков серии 75 (в Великобритании номерные серии выходят дважды в год и являются важным фактором спроса, поскольку покупатели хотят машину со свежим номером) предполагал всплеск покупательской активности.

На заводах в Солихалле и Хейлвуде, а также на моторном предприятии в Вулверхэмптоне персонал ожидал работы «в полный оборот».

Однако, когда утренняя смена прибыла на место, её отправили домой. Производственные линии с тех пор остаются остановленными.

Хотя в ближайшие дни заводы, как ожидается, начнут работу, запуск будет происходить медленно и под строгим контролем. Восстановление нормального объёма выпуска может занять ещё месяц. Настолько серьёзным оказался эффект от крупной кибератаки, которая поразила JLR в конце августа.

Компания сотрудничает с разными экспертами по кибербезопасности и полицией для проведения расследования, но финансовый ущерб уже нанесён. Потери мировой выработки за более чем месяц стали фактом.

Аналитики оценивают убытки в 50 млн фунтов стерлингов в неделю.

Для компании, которая получила прибыль в размере 2,5 млрд фунтов стерлингов в прошлом финансовом году и принадлежит индийскому гиганту Tata Group, эти потери, вероятно, будут болезненными, но не смертельными.

Однако JLR — не единственный случай.

С начала этого года произошла целая волна кибератак, нацеленных на крупный бизнес, включая таких розничных ритейлеров, как Marks & Spencer и Co-op, а также поставщика ключевых систем для аэропортов.

Среди других громких жертв оказалась сеть детских садов Kido, а в прошлом году инциденты, связанные с Southern Water и компанией, предоставлявшей услуги по анализу крови для NHS (государственная система здравоохранения Великобритании), вызвали серьёзные опасения по поводу уязвимости критически важной инфраструктуры и услуг (в Великобритании NHS считается «сердцем» госуслуг, поэтому атака на поставщика лабораторных данных воспринимается как угроза национальному масштабу).

В целом, по оценкам государственного опроса о кибернарушениях, 612 000 предприятий и 61 000 благотворительных организаций по всей Великобритании стали целями атак.

Так сколько же стоят такие атаки для бизнеса и экономики?

И может ли быть так, что, как выразился один эксперт, крупные атаки этого года стали результатом накопительного эффекта своеобразного бездействия в области кибербезопасности со стороны государства и бизнеса, который теперь начинает приносить болезненные последствия?

Пирамида затронутых поставщиков

Особенность атаки такого масштаба, как та, что поразила JLR, заключается в том, насколько широко могут распространиться её последствия.

Компания находится на вершине пирамиды поставщиков, в которой — тысячи организаций. Они варьируются от крупных международных корпораций, таких как Bosch, до маленьких фирм с несколькими сотрудниками (в британской автомобильной индустрии множество узкопрофильных производителей деталей работают почти исключительно на одного заказчика), включая компании, полностью зависящие от JLR.

Для многих из этих фирм остановка производств представляла очень реальную угрозу их существованию.

В письме канцлеру от 25 сентября Комитет по бизнесу и торговле предупредил, что у небольших компаний «может остаться в лучшем случае неделя денежного потока для поддержки своей деятельности», тогда как более крупные «могут начать серьёзно испытывать трудности в течение двух недель».

Отраслевые аналитики выразили обеспокоенность тем, что если компании начнут банкротиться, небольшие сбои могут быстро перерасти в массовую волну — потенциально нанеся постоянный ущерб высокотехнологичной инженерной индустрии страны (имеется в виду риск цепной реакции, когда падение одного поставщика срывает производство других, и всё рушится каскадно).

Возобновление производства само по себе не означает, что кризис завершён.

Слишком поздно. Все наши компании прожили шесть недель с нулевыми продажами, но при этом с сохранением всех расходов. Сектор по-прежнему отчаянно нуждается в денежных средствах.

Дэвид Робертспредседатель базирующейся в Ковентри компании Evtec, являющейся прямым поставщиком JLR и насчитывающей около 1 250 сотрудников

Российские киберпреступники или западные подростки

Недавний отчёт IBM, изучивший утечки данных примерно у 600 организаций по всему миру, показал, что средняя стоимость инцидента составляла 4,4 млн долларов (или 3,3 млн фунтов стерлингов).

Однако JLR далеко не единственный случай крупномасштабных кибератак. Атаки на Marks & Spencer и сеть супермаркетов Co-op в этом году оцениваются в 300 млн и 120 млн фунтов соответственно.

В апреле 2025 года злоумышленникам удалось получить доступ к IT-системам Marks & Spencer через стороннего подрядчика, вынудив компанию отключить некоторые сети (в Великобритании использование subcontractors широко распространено, и цепочка доверия часто становится уязвимостью).

Хакеры заразили сети компании программой-вымогателем (ransomware), которая зашифровала или перемешала (scrambled) данные.

Поначалу казалось, что нарушения будут незначительными — перестали работать системы бесконтактной оплаты, а также клиенты не могли воспользоваться услугой «click and collect» (это популярный формат покупки в британском ритейле: заказ онлайн — получение в офлайн-точке).

Однако спустя несколько дней пришлось остановить всю онлайн-торговлю — а она в обычное время составляет около трети бизнеса компании.

Эта ситуация была описана как «почти как отрубить себе конечность», по выражению Найны МакИнтош, бывшего члена исполнительного комитета Marks & Spencer и основательницы сети Hope Fashion.

Перед компанией встала распространённая на сегодняшний день дилемма: восстановить все компьютерные системы с нуля или заплатить хакерам миллионы фунтов стерлингов выкупа за антидот.

Marks & Spencer отказалась сообщать, выплатила ли она преступникам деньги.

Ущерб был не только финансовый. Позднее ритейлер признал, что в результате атаки были украдены данные клиентов.

Возможно, это включало телефонные номера, домашние адреса и даты рождения, хотя, по словам компании, платёжные реквизиты или данные карт похищены не были (обычно в отчётах такого рода отдельно подчёркивают, что PCI-данные не утекли — чтобы успокоить клиентов и регуляторов).

К дополнительному позору в СМИ Marks & Spencer, хакеры заявили, что отправили требование выкупа напрямую генеральному директору, используя учётную запись одного из сотрудников.

Когда была атакована сеть супермаркетов Co-op, ответственность взяла на себя та же группа хакеров.

Как они утверждали, это была попытка вымогательства: заражение сетей компании вредоносным ПО, чтобы вынудить её заплатить за восстановление.

Однако IT-сети были отключены достаточно быстро, чтобы избежать значительных повреждений.

По словам преступников, которые с раздражением описали это в разговоре с BBC, «они сами выдернули свой шнур — обрушив продажи, они сожгли логистику и подорвали стоимость акций» (здесь видно злорадство — хакеры подчеркивают, что даже без их действий компания бы пострадала, пытаясь защититься).

По словам Джейми МакКолла, эксперта по кибербезопасности из исследовательской группы Королевского института объединённых служб (RUSI), нет ничего удивительного в том, что крупные бизнесы становятся мишенью.

Он объясняет, что хакерам стало очень легко получить доступ к программам-вымогателям (ransomware), которые могут блокировать или шифровать сети жертвы до тех пор, пока не будет выплачен выкуп.

Слабые места крупного бизнеса

Уязвимость таких компаний, как Jaguar Land Rover и Marks & Spencer, во многом объясняется тем, как работают их цепочки поставок.

Автопроизводители давно используют так называемую систему «just-in-time delivery» (поставки точно в срок), при которой запчасти не хранятся на складе, а поступают от поставщиков ровно в тот момент, когда они нужны на производственной линии.

Это снижает затраты на хранение и минимизирует потери, но требует точной координации всех аспектов цепочки поставок. Если компьютерные системы выходят из строя, последствия оказываются крайне разрушительными (поскольку весь поток связан, каждый простой мгновенно «замикается» в производственную остановку).

Аналогично, такой ритейлер, как Marks & Spencer, опирается на тщательно скоординированную цепочку поставок, чтобы гарантировать наличие нужного количества свежих продуктов в нужных магазинах — что делает систему столь же уязвимой (к примеру, если прогнозируемые объёмы поставок «замораживаются» из-за недоступности IT-систем, логистика теряет способность перераспределять товар вовремя).

(Прим. перевода: в британской торговле отказ IT-систем часто приводит не только к отсутствию товара на полках, но и мгновенным финансовым потерям из-за штрафов логистическим партнёрам.)

Другие отрасли также применяют эту модель: электроника и высокие технологии, поскольку хранение продукции в запасе дорого и рискованно из-за её быстрого устаревания. То же самое касается других промышленных компаний, таких как аэрокосмические. Поэтому они в некоторой степени более уязвимы к сбоям в цепочке поставок, вызванным кибератаками.

Элизабет Растведущий экономист в Oxford Economics

Однако она отмечает, что это не характерно, например, для фармацевтической отрасли, где регуляторы требуют от компаний поддерживать минимальный уровень запасов (поэтому такие компании менее чувствительны к краткосрочным сбоям).

Накопительный эффект бездействия

В конце сентября атака с использованием программы-вымогателя на американскую компанию Collins Aerospace, занимающуюся авиационными технологиями, вызвала серьёзные проблемы в ряде европейских аэропортов, включая лондонский Heathrow, после того как были выведены из строя системы регистрации пассажиров и обработки багажа.

Проблему удалось решить относительно быстро, но до этого значительное количество рейсов пришлось отменить.

Отраслевые источники предупреждают, что воздушное пространство Европы и ключевые аэропорты настолько перегружены, что нарушение в одной зоне может быстро распространиться на другие — и затраты при этом накапливаются стремительно (например, задержки рейсов в одном аэропорту приводят к сбоям в расписании множества авиалиний).

Но эта ситуация указывает на более серьёзный вопрос: что произойдёт, если кибератака на критическую инфраструктуру парализует финансовые системы, транспорт или энергетические сети, потенциально приведя к огромным экономическим убыткам — или даже к более тяжёлым последствиям?

Я думаю, худший сценарий, вероятно, связан с чем-то, что затрагивает финансовые услуги или энергоснабжение, из-за потенциального каскадного эффекта в одной из этих двух сфер. Хорошая новость заключается в том, что финансовый сектор является наиболее регулируемой отраслью в Великобритании с точки зрения кибербезопасности. И, как мне кажется, показательно, что практически не было очень серьёзных кибератак на западный банк.

Джейми МакКолланалитик RUSI 

Какой будет результат атаки на энергетическую отрасль, не совсем ясно.

Исследование, проведённое Lloyds Bank в 2015 году под названием «Business Blackout», моделировало последствия гипотетической атаки на энергосистему США и пришло к выводу, что экономические потери могут превысить 1 трлн долларов (742 млрд фунтов стерлингов).

Тем не менее МакКолл считает, что в Великобритании, вероятно, есть достаточный запас мощности в энергосистеме для того, чтобы справиться с киберинцидентом (речь идёт о наличии резервных ресурсов, которые можно включить при частичной потере управления системой).

Реакция правительства, угрозы ИИ и скрытые точки отказа

Джейми Макколл считает, что за последние 15 лет в Великобритании наблюдался «довольно попустительский подход (laissez-faire) к кибербезопасности», и сменявшие друг друга правительства уделяли этому вопросу мало внимания. Он полагает, что крупные атаки этого года могут быть «накопительным эффектом бездействия в сфере кибербезопасности как со стороны правительства, так и со стороны бизнеса, и теперь это начинает по-настоящему сказываться».

В мае Национальный центр кибербезопасности (NCSC), входящий в состав GCHQ (Центра правительственной связи Великобритании), опубликовал отчет, в котором предупредил о растущем влиянии киберугроз со стороны хакеров, использующих инструменты на основе искусственного интеллекта.

Однако больше всего Джейми Макколла беспокоят те виды атак, от которых мы еще не придумали, как защититься.

Меня бы больше беспокоила компания, которая является единственным поставщиком определенной услуги, но о которой мы мало что знаем, и которая не регулируется как критическая национальная инфраструктура. Атака на одну из этих менее гламурных, но ключевых для экономики точек может иметь огромные последствия для всей экономики. Вот что не дает мне спать по ночам. Единственная точка отказа, о которой мы пока не подозреваем.

Если вам был интересен этот перевод и тема кибератак в бизнесе зацепила — расскажите, что думаете об ответственности компаний за безопасность. Обсудим в комментариях.