Самым высоким оказался уровень риска четырех секторов: банки; компании, специализирующиеся на операциях с ценными бумагами; компании, занимающиеся инфраструктурой финансового рынка; медицинские учреждения. В Moody’s считают, что для организаций всех четырех секторов риски высоки и с точки зрения уязвимости, и с точки зрения воздействия на бизнес. Именно эти отрасли наиболее зависимы от технологий и оперируют конфиденциальной информацией.
Так, в случае успешной кибератаки на банк хакеры могут получить доступ к информации о счетах клиентов. Кроме того, кредитной организации грозят высокие репутационные потери, поскольку клиенты банков прежде всего ценят конфиденциальность. Такие же риски несут организации, работающие с ценными бумагами. Они также часто подвергаются кибератакам, отмечают в Moody’s.
Для медицинских организаций кибератака означает риск разглашения конфиденциальных сведений о пациентах. При этом медучреждения, как правило, вкладывают меньше средств в кибербезопасность, говорится в исследовании.
В группу с относительно высоким уровнем риска аналитики включили ретейл, транспортную сферу, производственный и телекоммуникационный секторы.
Сырьевая отрасль, сельское хозяйство, сектор государственно-частного партнерства и платные дороги, по мнению аналитиков Moody’s, несут самые низкие риски.
Аналитики оценивали общую уязвимость компаний к хакерским атакам и их воздействие (финансовые и репутационные потери, нарушение важных бизнес-процессов). По таким критериям Moody’s изучили возможные риски кибератак для компаний 35 секторов. В агентстве пояснили, что рассматривают киберриски как вариант событийного риска, который может оказать существенное воздействие на секторы и отдельные организации, передает «Коммерсант».
В ЦБ ранее выступили с инициативой включить потери банковских клиентов от хакерских атак и мошенничества с использованием социальной инженерии в категорию операционных рисков.
Также на Уральском форуме по финбезопасности зампред ЦБ Василий Поздышев сообщил, что в 2020 году регулятор планирует «изменить систему расчета достаточности капитала в части операционных рисков, где значительной составляющей будет киберриск». Компонент потерь банка (IML), отражающий качество управления операционными рисками и используемый для расчета достаточности капитала, может включить и клиентские потери.
По данным Банка России, в 2018 году киберпреступники похитили с банковских счетов юрлиц 1,46 млрд руб., физлиц – 1,38 млрд руб. Больше всего рядовые граждане пострадали от атак с использованием методов социальной инженерии. На такие инциденты приходится 97% всех несанкционированных списаний.