Альманах По Кибербезопасности На 2023 Год: 100 Фактов, Цифр, Прогнозов И Статистики

Прошлое, настоящее и будущее киберпреступности. Спонсируется Evolution Equity Partners

Если бы это измерялось как страна, то киберпреступность, которая, по прогнозам Cybersecurity Ventures, нанесет ущерб в 2023 году в мире на общую сумму 8 трлн долларов США, стала бы третьей по величине экономикой в мире после США и Китая, превысив богатство целых наций.

Cybersecurity Ventures рада выпустить это специальное третье ежегодное издание Альманаха кибербезопасности, справочника, содержащего наиболее актуальные статистические данные и информацию для понимания киберпреступности и рынка кибербезопасности.

У нас есть что-то для всех, включая студентов, родителей, научные круги, правительство, правоохранительные органы, предприятия малого и среднего бизнеса, компании из списка Fortune 500 и Global 2000, ИТ-работников, экспертов по кибербезопасности, руководителей служб безопасности, зала заседаний и высшего звена.

Последний выпуск Альманаха по кибербезопасности представляет собой познавательное путешествие по заслуживающим внимания инцидентам безопасности и хакерам, стоящим за ними, а также всеобъемлющий обзор важнейших исторических дат, ценную статистическую информацию, ландшафт киберзащиты, тенденции инвестиций в кибербезопасность и многое другое.

УЩЕРБ От КИБЕРПРЕСТУПНОСТИ

• Cybersecurity Ventures ожидает, что глобальные расходы на киберпреступность будут расти на 15 процентов в год в течение следующих трех лет, достигнув 8 триллионов долларов США в мире в этом году и 10,5 триллионов долларов США ежегодно к 2025 году, по сравнению с 3 триллионами долларов США в 2015 году.
• По данным Всемирного экономического форума, киберпреступность и кибербезопасность впервые вошли в топ-10 наиболее серьезных глобальных рисков на следующее десятилетие. Киберпреступность, занимающая 8-е место, теперь стоит бок о бок с такими угрозами, как изменение климата и вынужденная миграция.
• В 2018 году Министерство юстиции США заявило, что было зарегистрировано менее одного из семи киберпреступлений. В некоторых странах указанный показатель был еще ниже. Cybersecurity Ventures считает, что практика отчетности о незаконной киберактивности улучшается, но в 2023 году мы по-прежнему сталкиваемся с ситуацией, когда правоохранительным органам сообщается менее чем о 25 процентах киберпреступлений, совершенных во всем мире.
• По данным IBM, средняя стоимость утечки данных, включая потерю бизнеса, обнаружение и эскалацию, уведомление и реагирование после взлома, в 2022 году составила 4,35 миллиона долларов США, что на 2,6 процента больше, чем в 2021 году (4,24 миллиона долларов США). Эта цифра была получена путем усреднения затрат по видам деятельности, связанных с 550 организациями, пострадавшими от утечек данных в 17 странах (включая США, Канаду, Японию и Австралию) и 17 отраслях, таких как здравоохранение, финансы и энергетика.

ПРОГРАММЫ-вымогатели

• Согласно прогнозам, глобальная стоимость программ-вымогателей достигнет 20 миллиардов долларов США в 2021 году по сравнению с 325 миллионами долларов США в 2015 году. Cybersecurity Ventures ожидает, что к 2031 году затраты на ущерб от программ-вымогателей превысят 265 миллиардов долларов США ежегодно.
• По прогнозам Cybersecurity Ventures, в 2021 году бизнес становился жертвой атаки программ-вымогателей каждые 11 секунд по сравнению с 14 секундами в 2019 году. Частота атак программ-вымогателей на правительства, предприятия, потребителей и устройства будет продолжать расти в течение следующих пяти лет и, как ожидается, к 2031 году увеличится до каждых двух секунд.
• CNA Financial произвела самую крупную выплату за всю историю программ-вымогателей. Чикагская компания выплатила 40 миллионов долларов киберпреступной группе Phoenix, предположительно выходцам из России.
• В последнем выпуске ежеквартального отчета “Кто есть кто среди программ-вымогателей” Cybersecurity Ventures проанализировала 42 банды программ-вымогателей.

КРИПТОПРЕСТУПНОСТЬ

• Только в 2025 году криптопреступность, включая мошенничество с выездом, махинации и кражи, обойдется миру в 30 миллиардов долларов США, прогнозирует Cybersecurity Ventures, и будет расти на 15 процентов ежегодно. Это почти вдвое больше, чем 17,5 миллиардов долларов, потерянных в 2021 году.
• Центр рассмотрения жалоб на интернет-преступления ФБР (IC3) сообщает, что в 2022 году мошенничество с инвестициями было самой дорогостоящей преступной схемой, о которой сообщалось. Количество жалоб увеличилось с 1,45 миллиарда долларов США в 2021 году до 3,31 миллиарда долларов США в 2022 году. Среди инвестиционных мошенничеств мошенничество с криптовалютами выросло с 907 миллионов долларов США в 2021 году до 2,57 миллиарда долларов США в 2022 году, увеличившись на 183 процента.
• ФБР получает больше всего жалоб на мошенничество с криптовалютами от жертв в возрасте от 30 до 49 лет, которые сталкиваются со всем – от добычи ликвидности до мошенничества в социальных сетях и фальшивых предложений о трудоустройстве. Большинство из них оказываются мошенниками с инвестициями в криптовалюту.
• За последние годы преступники использовали децентрализованные биржи (DEX), перекрестные мосты и сервисы обмена монетами, чтобы скрыть незаконные криптодоходы на сумму не менее 4 миллиардов долларов США.
• Согласно эллиптическому анализу, более 22 миллионов криптоадресов были напрямую связаны с Россией. Многие из этих кошельков связаны с преступной деятельностью, связанной с украино-российской войной, включая адреса, используемые для сбора пожертвований для российских военных и наемников.
• В 2022 году объемы незаконных транзакций с криптовалютами росли второй год подряд, достигнув рекордного уровня в 20,6 миллиарда долларов США, который Chainalysis называет оценкой с нижней границей. Кроме того, доля всей криптовалютной активности, связанной с незаконной деятельностью, выросла впервые с 2019 года с 0,12 процента в 2021 году до 0,24 процента в 2022 году.

ОСНОВНЫЕ ВЗЛОМЫ

• Одна из самых значительных утечек данных, зарегистрированных на сегодняшний день в 2023 году, принадлежит T-Mobile. В январе телекоммуникационный гигант раскрыл кражу личной информации, принадлежащей 37 миллионам текущих счетов клиентов с постоплатой и предоплатой, что стало возможным благодаря использованию API. Второе нарушение произошло в мае.
• В феврале 2023 года Cloudflare обнаружила и предотвратила крупнейшую из когда-либо зарегистрированных распределенных атак типа “отказ в обслуживании” (DDoS). DDoS-атака с частотой 71 миллион запросов в секунду (rps), получившая название “гиперволюметрическая”, на 54 процента превышает ранее зарегистрированную атаку с частотой 46 миллионов rps в июне 2022 года.
• Одна из крупнейших утечек данных в истории произошла с Yahoo. Инцидент с безопасностью, произошедший в 2013 году, затронул все три миллиарда учетных записей пользователей фирмы. Всего за три месяца до раскрытия информации в 2015 году технологический гигант выявил отдельное нарушение, затронувшее по меньшей мере 500 миллионов учетных записей.

РАСХОДЫ На КИБЕРБЕЗОПАСНОСТЬ

• Cybersecurity Ventures прогнозирует, что глобальные расходы на продукты и услуги в области кибербезопасности превысят 1,75 трлн долларов США в совокупности за пятилетний период с 2021 по 2025 год, увеличившись на 15 процентов в годовом исчислении.
• Согласно прогнозам Cybersecurity Ventures, к 2027 году глобальные расходы на обучение сотрудников по вопросам безопасности (ранее одна из самых недорасходованных статей бюджета на кибербезопасность) превысят 10 миллиардов долларов США по сравнению с примерно 5,6 миллиардами долларов США в 2023 году.
• Согласно прогнозам, расходы на продукты и услуги в области информационной безопасности и управления рисками вырастут на 11,3 процента и составят более 188,3 миллиарда долларов США в 2023 году. Gartner заявляет, что удаленная и гибридная работа, доступ к сети с нулевым доверием (ZTNA) и внедрение облачных моделей доставки влияют на увеличение расходов.

КИБЕРСТРАХОВАНИЕ

• По прогнозам Cybersecurity Ventures, рынок киберстрахования вырастет до 14,8 млрд долларов США в 2025 году и превысит 34 млрд долларов США к 2031 году, исходя из совокупного годового темпа роста (CAGR) в 15 процентов, рассчитанного за 11-летний период (с 2020 по 2031 год).
• В период с 2017 по 2021 год 98процентов претензий по киберстрахованию, отслеживаемых NetDiligence, были предъявлены малыми и средними предприятиями с годовым доходом менее 2 миллиардов долларов США. Большинство заявлений было подано в связи с инцидентами с программами-вымогателями и компрометацией деловой электронной почты (BEC).
• В отчете Marsh о тенденциях в области киберпокупок в США указывается, что стоимость киберстрахования по-прежнему растет, хотя и проявляет признаки замедления. Цены на киберстрахование выросли в среднем на 11 процентов в США в течение первого квартала 2023 года по сравнению с 28 процентами в первом квартале 2022 года.
• После замедления в 2022 году количество претензий, связанных с программами-вымогателями, выросло на 77 процентов в первом квартале 2023 года в США по сравнению с четвертым кварталом 2022 года.
• В отчете Всемирного экономического форума “Перспективы глобальной кибербезопасности на 2023 год” было установлено, что малые предприятия с меньшей вероятностью будут иметь киберстрахование по сравнению с более крупными организациями. В частности, 48 процентов небольших организаций сообщили об отсутствии киберстрахования, в то время как только 16 процентов крупных организаций указали то же самое. Кроме того, 57 процентов организаций, насчитывающих более 100 001 сотрудника, не раскрыли бы, подавали ли они претензии в течение последних двух лет. Из компаний, признавших претензии (21 процент), 14 процентов добились успеха, тогда как 7 процентов потерпели неудачу.

ЗАЛ ЗАСЕДАНИЙ

• Согласно недавнему опросу KPMG, в котором приняли участие 1325 руководителей компаний, 77% считают информационную безопасность стратегической функцией и потенциальным конкурентным преимуществом. Геополитическая неопределенность усиливает обеспокоенность по поводу корпоративных кибератак у 73 процентов руководителей.
• Специалисты по управлению рисками и страхованию назвали киберинциденты главным глобальным бизнес-риском в Барометре рисков Allianz 2023 года, за которым последовали перерывы в работе и макроэкономические проблемы, такие как инфляция и дефляция. Ежегодный опрос включал мнения экспертов из 23 отраслей промышленности в 94 странах и территориях.
• Последствия кибератак стали достоянием совета директоров, и Gartner прогнозирует, что к 2024 году 75 процентов руководителей компаний будут нести личную ответственность за атаки на киберфизические системы (CPSS) – инциденты, приводящие к физическому ущербу и вреду окружающей среде или уничтожению имущества.
• Формальные взаимодействия между правозащитниками и лидерами бизнеса становятся все более частыми: по данным Всемирного экономического форума, 56 процентов руководителей служб безопасности ежемесячно или чаще встречаются со своим советом директоров.

ВЕНЧУРНЫЙ КАПИТАЛ

• В 2022 году Cybersecurity Ventures собрала более 15,7 миллиардов венчурного капитала, выделенного компаниям, занимающимся кибербезопасностью.
• Согласно PitchBook, одними из самых активных глобальных инвесторов, вовлеченных в венчурный капитал в области кибербезопасности с 2017 года, являются Evolution Equity Partners, Insight Partners, Plug and Play Tech Center, Accel и Sequoia Capital.
• Исчерпывающий список венчурных компаний по всему миру можно найти в ежедневном отчете Cybersecurity Ventures о венчурных капиталах. Эти инвесторы возглавляют раунды финансирования всех уровней для начинающих компаний, начинающих игроков и высокопоставленных лиц и участвуют в них. 15 из этих фирм были выявлены журналом Cybercrime в его первом ежегодном выпуске “Кто есть кто из венчурных компаний в области кибербезопасности”.

РАБОЧИЕ МЕСТА В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ

• По данным Cybersecurity Ventures, в 2023 году в мире будет 3,5 миллиона незаполненных рабочих мест в сфере кибербезопасности. Этого количества свободных мест достаточно, чтобы заполнить 50 стадионов НФЛ. Мы прогнозируем такое же количество открытий в 2025 году, поскольку несоответствие между спросом и предложением сохраняется.
• Уровень безработицы в сфере кибербезопасности на наиболее опытных должностях составляет нулевой процент и, вероятно, останется таким в ближайшие годы.
• Ожидается, что только в Индии к 2025 году будет создано 1,5 миллиона новых рабочих мест в сфере кибербезопасности. По данным NASSCOM, к 2030 году индийский рынок кибербезопасности приблизится к оценке в 500 миллиардов долларов США.
• По данным Cyber Seek, проекта, поддерживаемого Национальной инициативой по образованию в области кибербезопасности (NICE), программы Национального института стандартов и технологий (NIST) Министерства торговли США, в США в общей сложности занято более 1,1 миллиона человек, и имеется более 755 000 незаполненных вакансий.
• Бюро статистики труда США прогнозирует, что занятость “аналитиков по информационной безопасности” вырастет на 35 процентов с 2021 по 2031 год по сравнению со средним темпом роста в 5 процентов для всех профессий. В мае 2021 года средняя годовая заработная плата составляла 102 600 долларов.
• 10 процентов бизнес-лидеров и 13 процентов киберлидеров считают, что им не хватает персонала и навыков для выполнения важнейших ролей; согласно Глобальному прогнозу Всемирного экономического форума по кибербезопасности на 2023 год, 32 процента бизнес-лидеров и 34 процента киберлидеров заявили, что в некоторых областях существуют пробелы в обучении и навыках.

БОЛЬШИЕ ТЕХНОЛОГИИ

• Microsoft запустила национальную кампанию совместно с общественными колледжами США, чтобы помочь привлечь 250 000 человек к работе в сфере кибербезопасности к 2025 году, что составляет половину дефицита рабочей силы в стране. Microsoft также увеличивает свои инвестиции в кибербезопасность до 20 миллиардов долларов в течение следующих пяти лет, по сравнению с 1 миллиардом долларов в год, который они тратят на кибербезопасность с 2015 года.
• Ссылаясь на данные о нехватке навыков Cybersecurity Ventures, редмондский гигант также недавно объявил о новом партнерстве в рамках своей программы Ready4Cybersecurity в Азии, чтобы улучшить доступ к навыкам кибербезопасности и карьере для недопредставленных групп. Цель программы – к 2025 году аттестовать 100 000 молодых женщин и недопредставленную молодежь в области кибербезопасности.
• В 2021 году Google объявила об инвестициях в кибербезопасность в размере более 10 миллиардов долларов до 2025 года. Усилия будут включать в себя оказание помощи в обеспечении безопасности цепочки поставок и усиление безопасности с открытым исходным кодом. Google также сообщает, что они обучают 100 000 американцев жизненно важным профессиям, связанным с конфиденциальностью данных и безопасностью.
• В мае 2023 года Amazon заявила, что компания увеличивает инвестиции в Фонд безопасности с открытым исходным кодом (OpenSSF), выделив дополнительно 10 миллионов долларов в течение следующих трех лет.
• IBM обязалась предоставить 30 миллионам человек возможности для обучения, чтобы восполнить пробелы в навыках в технологическом секторе, включая кибербезопасность, к 2030 году. Партнерские отношения распространяются на НПО, ориентированные на недостаточно обеспеченную молодежь, женщин и ветеранов вооруженных сил.

ЖЕНЩИНЫ В КИБЕРБЕЗОПАСНОСТИ

• В 2022 году женщины занимали 25 процентов рабочих мест в сфере кибербезопасности во всем мире по сравнению с 20 процентами в 2019 году и примерно 10 процентами в 2013 году. По прогнозам Cybersecurity Ventures, к 2025 году женщины будут составлять 30процентов глобальной рабочей силы по кибербезопасности, а к 2031 году их доля возрастет до 35 процентов.
• Опрос BCG женщин-выпускников STEM показал, что 68процентов прошли курс, связанный с кибербезопасностью, во время учебы. Однако 37 процентов респондентов расценили кибербезопасность как область, в которой сложно достичь баланса между зарплатой, вкладом в общество и поддержанием баланса между работой и личной жизнью.
• Широко распространено мнение, что большинство киберпреступников – мужчины. Недавний отчет Trend Micro развенчивает этот миф и показывает, что примерно 30 процентов участников форума киберпреступников – женщины.

ОБУЧЕНИЕ По КИБЕРБЕЗОПАСНОСТИ

• По прогнозам Cybersecurity Ventures, к 2027 году глобальный рынок тренингов по повышению осведомленности в области безопасности превысит 10 миллиардов долларов в год по сравнению с примерно 5,6 миллиардами долларов в 2023 году, исходя из 15-процентного роста в годовом исчислении.
• CISSP (Certified Information Systems Security Professional) – ведущий в мире сертификат кибербезопасности, выданный Международным консорциумом по сертификации безопасности информационных систем, также известным как (ISC) 2. По состоянию на июль 2022 года в мире насчитывается 156 054 члена (ISC) 2, имеющих сертификат CISSP.
• Журнал Cybercrime выделяет 12 актуальных сертификатов безопасности для ИТ-работников в 2023 году, которые ценны для работодателей. К ним относятся CompTIA Network +, сертифицированный специалист по безопасности OffSec Offensive (OSCP), зарегистрированный CREST тестер проникновения (CRT), сертифицированный Советом ЕС этический хакер (CEH), сертифицированный специалист OffSec (OCSP) и практический тестер проникновения в сеть TCM Security (PNPT).

ГЛАВНЫЕ СОТРУДНИКИ по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (CISO)

• Первый в мире CISO был учрежден в 1994 году, когда гигант финансовых услуг Citigroup (тогда Citicorp) создал специализированный офис кибербезопасности после серии кибератак со стороны российских хакеров.
• В 2022 году 100 процентов компаний из списка Fortune 500 использовали CISO или эквивалент по сравнению с 70 процентами в 2018 году.
• По данным Cisco, руководители служб безопасности сообщают о трех основных областях своей ответственности: CISO или лидерство в области безопасности (35 процентов), оценка рисков и управление ими (44 процента) и конфиденциальность данных и управление ими (33 процента).).
• В ходе опроса 125 специалистов по кибербезопасности и реагированию на инциденты (IR) VMware обнаружила, что группы безопасности испытывают напряжение. В общей сложности 65 процентов респондентов заявили, что кибератаки участились с начала российско-украинской войны; 47 процентов испытали эмоциональное выгорание или сильный стресс за последние 12 месяцев, а 69 процентов заявили, что эти условия заставили их задуматься об уходе со своих должностей.
• По оценкам Gartner, к 2025 году почти половина руководителей в области кибербезопасности сменят роли — и 25 процентов полностью перейдут на другие роли — из-за стресса, психологического давления и эмоционального выгорания, среди прочих факторов.
• Гендерный разрыв остается пропастью, когда мы рассматриваем высшие роли в сфере кибербезопасности. Например, женщины занимают только 17 процентов должностей главных сотрудников по информационной безопасности (CISO) в компаниях из списка Fortune 500.

ФИНАНСЫ

• В 60 процентах случаев организация сталкивалась с нарушением безопасности, финансовые трудности приводили к повышению цен для клиентов.
• По данным LexisNexis, ежегодное воздействие глобального мошенничества в настоящее время превышает 1 триллион долларов. Каждый доллар, потерянный в результате мошенничества, привел к убыткам финансовых компаний США в размере 4,23 доллара в 2022 году.
• Согласно частному исследованию, на которое ссылается Исследовательская служба Конгресса, 25 процентов вредоносных атак нацелены на компании, предоставляющие финансовые услуги. Стоимость киберпреступности для каждой компании составляет более 18 миллионов долларов США для финансовых услуг, что примерно на 40 процентов выше средней стоимости для других секторов.
• 60 процентов руководителей в области кибербезопасности, отвечая на вопросы, заданные в Индексе готовности к кибербезопасности Cisco, заявили, что за последние 12 месяцев у них произошел инцидент в области кибербезопасности, и 41 процент пострадавших заявили, что это обошлось их организациям по меньшей мере в 500 000 долларов США.

ЗДРАВООХРАНЕНИЕ

• По прогнозам Cybersecurity Ventures, в течение следующих пяти лет мировой рынок кибербезопасности в сфере здравоохранения будет расти на 15 процентов в годовом исчислении и достигнет 125 миллиардов долларов к 2025 году.
• Кроме того, IBM утверждает, что средняя стоимость утечки данных в сфере здравоохранения, включая больницы и поликлиники, увеличилась почти на 1 миллион долларов США до 10,10 миллиона долларов США в 2022 году. Правительство США считает здравоохранение критически важной инфраструктурой.
• Согласно исследованию JAMA Health Forum, атаки программ-вымогателей на организации здравоохранения удвоились за последние пять лет, причем наиболее распространенной жертвой стали медицинские учреждения.

ПОЛЬЗОВАТЕЛИ Интернета

• Каждый день к Интернету подключается примерно на миллион больше людей. По оценкам Cybersecurity Ventures, в 2022 году к Интернету были подключены шесть миллиардов человек, и мы прогнозируем, что в 2030 году будет более 5 миллиардов пользователей Интернета, включая 90 процентов населения в возрасте шести лет и старше.
• Согласно последним данным GSMA Intelligence, сегодня в мире насчитывается 48 миллиардов уникальных пользователей мобильных телефонов. Безопасность мобильной связи и риски, связанные с гибридной рабочей силой, являются главной заботой технологических лидеров, наряду с уязвимостями центров обработки данных и облаков.

ПОВЕРХНОСТЬ АТАКИ

• По прогнозам Cybersecurity Ventures, к 2025 году объем глобального хранилища данных превысит 200 зеттабайт. Сюда входят данные, хранящиеся в частных, общедоступных и коммунальных инфраструктурах, частных и общедоступных облачных центрах обработки данных, персональных устройствах и устройствах IoT (Интернет вещей).
• По нашим оценкам, в 2025 году миру потребуется обеспечить безопасность 338 миллиардов строк нового программного кода по сравнению со 111 миллиардами строк нового кода в 2017 году. Наша оценка основана на 15-процентном росте нового кода по сравнению с предыдущим годом.
• Citi прогнозирует, что к 2030 году объем рынка метавселенных может составить от 8 до 13 триллионов долларов США по мере расширения применения метавселенных. Исследования показали, что в 2021 году компании метавселенной столкнулись на 80процентов с большим количеством атак ботов и на 40 процентов с атаками людей, чем многие другие онлайн-компании.
• Мобильные устройства продолжают заменять ноутбуки и настольные системы для многих функций, включая производительность, банковское дело, платежи, развлечения и общение. По оценкам BlackBerry, в 2022 году мобильные устройства генерировали 59,54 процента всего интернет-трафика.
• Более 70 процентов мобильных устройств по всему миру работают под управлением операционной системы Android.
• Программы непрерывного управления выявлением угроз (CTEM) для управления поверхностью атаки станут решающими. Gartner прогнозирует, что к 2026 году организации, уделяющие приоритетное внимание инвестициям в безопасность CTEM, столкнутся с двумя третями меньше нарушений.

АВТОМОБИЛЬНАЯ БЕЗОПАСНОСТЬ

• По оценкам исследования, цитируемого BlackBerry, к 2023 году на дорогах будет 775 миллионов подключенных автомобилей, что увеличит потенциальную поверхность атаки в отрасли, которая уже страдает от утечек данных, программ-вымогателей и атак, связанных с оборудованием.
• По данным Upstream, в 2022 году количество атак на автомобильные API увеличилось на 380 процентов, что составляет 12 процентов от общего числа инцидентов. Кроме того, 63 процента инцидентов были совершены актерами в черных шляпах, тогда как остальные были совершены защитниками в белых шляпах.
• LV= Общий страховой анализ данных о претензиях показывает, что 48 процентов автомобильных краж были транспортными средствами, оснащенными технологией бесключевого доступа.
• По текущим оценкам, по данным Национального центра производственных наук, количество микрочипов в среднем автомобиле составляет от 1000 до 3000.

ЦЕПОЧКИ ПОСТАВОК

• По оценкам Gartner, к 2025 году 60 процентов организаций цепочки поставок и их главные сотрудники по цепочкам поставок будут считать риск кибербезопасности существенным фактором, определяющим при проведении транзакций третьими сторонами и деловых взаимодействий.
• Исследование Всемирного экономического форума утверждает, что более трети организаций стали “сопутствующим ущербом” в результате кибератак третьей стороны. 9 из 10 ИТ-лидеров обеспокоены киберустойчивостью таких третьих сторон.
• Цепочка поставок программного обеспечения стала основной мишенью для субъектов угроз. По данным Sonatype, за последние три года было зафиксировано ежегодное увеличение числа атак в среднем на 742 процента.
• Согласно недавнему опросу KPMG, в котором приняли участие 1325 руководителей компаний, 76 процентов руководителей КОМПАНИЙ теперь считают, что защита экосистемы своих партнеров и цепочки поставок так же важна, как и создание киберзащиты собственной организации.

АУТЕНТИФИКАЦИЯ

• Согласно последним подсчетам Cybersecurity Ventures, в 2021 году люди и машины по всему миру использовали более 300 миллиардов паролей.
• Только 1-3 процента транзакций в США передаются через 3DS, финансовый протокол, предназначенный для аутентификации пользователей.
• В 2022 году Microsoft ежесекундно отслеживала 1287 атак с использованием паролей, что составляет более 111 миллионов атак ежедневно.
• По оценкам Ponemon Institute research, средние потери бизнеса из-за всех типов недостатков аутентификации составили от 39 до 42 миллионов долларов США в 2022 году. Более того, 66 процентов опрошенных сотрудников службы ИТ-безопасности говорят, что трудно или очень трудно отличить сотрудников и клиентов от киберпреступников-самозванцев, использующих украденные учетные данные.

ФЕДЕРАЛЬНОЕ БЮРО РАССЛЕДОВАНИЙ

• Список киберпреступников-изгоев ФБР быстро расширился: в настоящее время в списке агентства “Самые разыскиваемые киберпреступники” значатся 120 человек — по сравнению со 105 людьми в 2022 году и всего 63 лицами в 2019 году. Они разыскиваются за преступления, включая компьютерное вторжение, мошенничество с использованием электронных средств, кражу личных данных, отмывание денег, вымогательство с помощью программ-вымогателей и многое другое.
• Центр рассмотрения жалоб на интернет-преступления ФБР (IC3) сообщает, что в 2022 году было получено 800 944 жалобы, связанные с киберпреступностью и кибермошенничеством, что на 5 процентов меньше, чем в 2021 году (847376 жалоб). Однако количество жалоб, которые IC3 получает ежегодно, более чем удвоилось с 2018 года.
• С момента создания IC3 поступило более 7,3 миллиона жалоб, 3,6 миллиона из которых были получены за последние 5 лет, что соответствует общим потерям в размере 27,6 миллиарда долларов США.
• По данным IC3, фишинг является преступлением номер один, о котором сообщается: в 2022 году поступило 300 497 жалоб, а предполагаемый ущерб составил 52 миллиона долларов США. Однако инвестиционные схемы впервые сообщили о самых больших финансовых потерях для жертв, при этом связанные с ними долларовые потери составили 3,3 миллиарда долларов США, увеличившись на 127 процентов по сравнению с аналогичным периодом прошлого года.

МАЛЫЙ БИЗНЕС

• “В США насчитывается 30 миллионов малых предприятий, которым необходимо обезопасить себя от фишинговых атак, шпионского вредоносного ПО, программ-вымогателей, кражи личных данных, крупных взломов и хакеров, которые могут поставить под угрозу их безопасность”, – говорит Скотт Шобер, автор популярных книг “Взломано снова” и “Кибербезопасность – дело каждого”.
• 43 процента кибератак нацелены на малые предприятия, из которых 60 процентов жертв выходят из бизнеса в течение шести месяцев.
• Чем меньше компания, тем меньше ресурсов нужно выделять на обеспечение безопасности — или это миф? В отчете Cisco, посвященном практике малого и среднего бизнеса (от 250 до 500 сотрудников), говорится, что менее чем в 1 проценте нет никого, кто занимается безопасностью; в 72 процентах есть сотрудники, занимающиеся поиском угроз, по сравнению с 76 процентами крупных организаций; и в 56 процентах есть ежедневная или еженедельная процедура исправления. В общей сложности 86процентов имеют четкие показатели для оценки эффективности процесса обеспечения безопасности по сравнению с 90 процентами более крупных аналогов.

ЗНАЕТЕ ЛИ ВЫ?

• В настоящее время насчитывается более 3500 активных групп угроз, в том числе более 900 новых, отслеженных Mandiant в 2022 году.
• По словам исследователей, организации получают уведомления о нарушениях со стороны внешних организаций в более чем 60 процентах инцидентов, при этом глобальное среднее время ожидания внутренних обнаруженных инцидентов в 2022 году составляет 13 дней. В 2021 году глобальное среднее время пребывания в сети составило 18 дней.
• Пять отраслей, наиболее подверженных кибератакам за последние семь лет, – это здравоохранение, производство, финансовые услуги, государственное управление и транспорт. Cybersecurity Ventures прогнозирует, что розничная торговля, нефть и газ, энергетика и коммунальные услуги, СМИ и развлечения, юриспруденция и образование (K-12 и высшее образование) завершат топ-10 отраслей на 2023 год.
• Киберпреступность все чаще направлена против состоятельных частных лиц и семейных офисов. Согласно исследованию, проведенному Barclays Private Bank, более четверти семей со сверхвысоким состоянием (UHNW), семейных офисов и семейных предприятий со средним состоянием в 1,1 миллиарда долларов США подверглись кибератаке.
• Штрафы за нарушения эпохального закона Европейского союза о неприкосновенности частной жизни продолжают расти. Согласно исследованию юридической фирмы DLA Piper, с января 2022 года органы ЕС по защите данных выплатили штрафы на общую сумму 1,74 миллиарда долларов США за нарушения Общего регламента ЕС по защите данных (GDPR). Это примерно на 1,25 миллиарда долларов больше, чем годом ранее.

НЕМНОГО ИСТОРИИ

• Первая в мире национальная сеть передачи данных была построена во Франции в 1790-х годах. Это была механическая телеграфная система, состоящая из цепочек башен, каждая из которых имела систему подвижных деревянных рычагов наверху. Французская телеграфная система была взломана в 1834 году парой воров, которые украли информацию о финансовом рынке, фактически проведя первую в мире кибератаку.
• До компьютерного взлома существовал фрикинг. “ph-” означал телефон, и фрикам нравилось переделывать систему тонов, которые телекоммуникационные компании использовали для междугородного набора. Воссоздание звуковых сигналов для каждого номера с правильной высотой тона может означать бесплатный звонок, а не дорогостоящую плату. В 1957 году Джо Энгрессиа (Joybubbles), слепой 7-летний мальчик с отличным слухом, слышит высокий звуковой сигнал на телефонной линии и начинает насвистывать в такт с частотой 2600 Гц, что позволило ему общаться по телефонным линиям и стать первым в США телефонным хакером или “телефонным фрикером”.
• Современное определение слова “взломать” впервые было придумано в Массачусетском технологическом институте в апреле 1955 года, а первое известное упоминание о компьютерном взломе появилось в выпуске журнала The Tech за 1963 год.
• Первый компьютерный вирус Creeper был назван в честь персонажа мультсериала “Скуби-Ду”. Creeper был написан в 1971 году программистом BBN Бобом Томасом в качестве эксперимента по самодублирующемуся коду.
• Первый заметный инцидент с программами-вымогателями был вызван троянцем для борьбы со СПИДом. “Отец программ-вымогателей” Джозеф Попп раздал примерно 20 000 участников конференции Всемирной организации здравоохранения по СПИДу вредоносные дискеты, содержащие троянца. Жертвам было сказано отправить 189 долларов корпорации PC Cyborg на почтовый ящик в Панаме. Хотя это была простая вредоносная программа, инструменты расшифровки были доступны быстро.
• Brain – это стандартное отраслевое название компьютерного вируса, который был выпущен в своей первой форме в январе 1986 года и считается первым компьютерным вирусом для персонального компьютера IBM (IBM PC) и совместимых с ним устройств.

ПО МАТЕРИАЛАМ журнала “КИБЕРПРЕСТУПНОСТЬ”

• Более 250 фильмов о хакерах и кибербезопасности с 1956 по 2022 год представлены в последнем выпуске “Путеводителя по фильмам о хакерах”, опубликованном журналом Cybercrime Magazine.
• Кевин Митник был самым неуловимым кибератакой в истории, которого CNN, Fox News и другие престижные телеканалы назвали “Самым известным хакером в мире”. Журнал Cybercrime называет Митника “Величайшим шоуменом в области кибербезопасности на Земле” и выпустил пять оригинальных короткометражных фильмов о нем.
• В списке, опубликованном в журнале Cybercrime Magazine, насчитывается более 90 отраслевых ассоциаций кибербезопасности по всему миру.
• Как показано в журналах CNN, Forbes и Inc., BookAuthority составляет список “100 лучших книг по кибербезопасности всех времен”, основанный на рекомендациях лидеров мнений и экспертов. В этот список включена книга “Женщины знают кибер: 100 очаровательных женщин, борющихся с киберпреступностью”, опубликованная Cybersecurity Ventures, и она послужила вдохновением для документального фильма, подготовленного журналом Cybercrime Magazine.
• Журнал Cybercrime публикует самый большой в мире список женщин, занимающихся кибербезопасностью, в Twitter @WomenKnowCyber. В списке представлено более 7000 девушек и женщин, и каждый день их добавляется все больше.
• Каждый год Cybersecurity Ventures публикует свой список стартапов в области кибербезопасности Pure Cyber 100, получивших венчурное финансирование в размере 100 миллионов долларов или более за последние два года.
• Первая и единственная в мире интернет-радиостанция 7x24x365, посвященная киберпреступности и кибербезопасности, WCYB Cybercime Radio, была запущена в прямом эфире с Лонг-Айленда (Нортпорт, Нью-Йорк) 15 июля 2021 года для аудитории по всему миру. Все факты, цифры, прогнозы и статистика из Альманаха кибербезопасности будут транслироваться на WCYB в 2023 году. Следите за обновлениями!

Саусалито, Калифорния. – 24 мая 2023 года

– Стив Морган является основателем и главным редактором Cybersecurity Ventures. Чарли Осборн, главный редактор, внес свой вклад в Альманах по кибербезопасности.

Перейдите сюда, чтобы прочитать все мои блоги и статьи, посвященные кибербезопасности. Перейдите сюда, чтобы прислать мне советы по истории, отзывы и предложения.

Author: admin