Евгений Ющук, профессор УрГЭУ–СИНХ, член международного общества профессионалов конкурентной разведки SCIP
— Сколько стоит кибератака для того, кто ее совершает?
— Стоимость кибератак начинается от нуля, если у хакеров есть раскиданные заранее сетки так называемых зомби-компьютеров. На них может содержаться вирус, который берет под контроль чужой компьютер в любой точке мира, и слушает эфир на предмет поступления команды. В случае поступления команды — а она может быть на посещение некоего сайта — компьютер ее исполняет. Когда на сайт поступают тысячи обращений, он не успевает их обработать и падает под DDoS-атакой. Такая атака в моменте не стоит нисколько. Большинство хакеров, которые находят уязвимости впервые, работают сами по себе. Они просто сидят и ковыряются, пока не найдут «дырку». Затрат они никаких не несут. Вот если их нанимать, затраты заказчика уже это определяются их фантазией.
— Как работает найм хакеров?
— Существует двухуровневая система: есть люди, которые умеют искать уязвимости, и люди, которые умеют зарабатывать на них. Это могут быть и криминальные, и госструктуры. Те, кто хорошо ломают, не очень хорошо продают и наоборот. Иллюстрирует эту схему криминальный рынок с крадеными кредитными картами: хакер собрал их, нашел доступ, и пачкой продал тем, кто начинает снимать с них деньги. Потому что одно дело украсть карту, другое — заметать следы, снимая с нее деньги. Аналогичная ситуация сложилась, когда 250 тыс. аккаунтов «Твиттера» украли с хранилищ соцсети. Хакеры оптом продали эти аккаунты, а оптовики уже разделили их по языковым сегментам и пошли продавать в розницу. Мой аккаунт был одним из украденных. Мы тогда с жуликами дня три вели вместе мой «Твиттер»: они там размещали рекламу нехороших услуг, а я ее удалял.
— Можно ли заплатить не за работу хакера, а за готовый продукт для взлома?
— Да, существуют открытые биржи хакерских инструментов по взлому сайтов. Нашли хакеры дырку в сайте, поэксплуатировали ее, потом заскучали и продали инструмент взлома. На бирже его может купить любой желающий, в том числе школьники, которые с этого и начинают.
— Существует ли ущерб для компаний, помимо сиюминутного финансового?
— Что касается ущерба компаний, подвергшихся атакам, у них любая история в конечном счете про деньги. Иногда финансовый ущерб достигается в один ход, иногда — в несколько. Предположим, если у компании украли деньги со счета, это то, что они потеряли сейчас. Но если речь идет об их репутации — ведь она не сама по себе ценна для компании, а определяет степень доверия людей, властей,— то компрометация компаний приводит к PR- и GR-, а порой даже к семейным проблемам. Однако в конечном счете репутационные проблемы все же выливаются в деньги, иначе кому бы это было интересно.