Бизнесу нападения хакеров опосредованно грозят ухудшением доступа к кредитам и удорожанию обслуживания долга. Аналитики рейтингового агентства Moody’s изучили возможные риски кибератак для кредитных рейтингов компаний 35 секторов с общей суммой долга $70 трлн.
«Мы рассматриваем киберриски как событийный риск, который может оказать существенное воздействие на секторы и отдельные организации. Утечка данных и нарушение бизнес-процессов — два основных типа событийного риска от кибератак, у которых, на наш взгляд, есть потенциал существенного воздействия на финансовые условия и перспективы ведения бизнеса компаний»,— отмечает Дерек Вадала, глава подразделения по киберрискам в Moody’s Investors Service.
Степень риска Moody’s оценивало, основываясь на двух факторах:
- уязвимость к кибератакам;
- воздействие, которое может оказать атака (например, нарушение важных бизнес-процессов, утечка данных, репутационные риски).
Среди критериев для оценки уязвимости — размер и направление бизнеса, а также чувствительность данных, которые могут быть украдены. Для оценки воздействия — влияние на бренд, финансовое воздействие и регуляторные последствия. Все компании Moody’s разделило на пять групп от низкого уровня риска до высокого, причем отдельно оценивалась степень риска по уязвимости и по воздействию.
Самым высоким оказался уровень риска четырех секторов:
- банки;
- компании, специализирующиеся на операциях с ценными бумагами;
- компании, занимающиеся инфраструктурой финансового рынка;
- медицинские учреждения, такие как больницы и лаборатории.
По подсчетам Moody’s, общая сумма задолженности этих четырех секторов достигает $11,7 млрд.
Для всех четырех секторов риски оказались высокими и с точки зрения уязвимости, и с точки зрения воздействия. Для этих секторов важны технологии, а работают они с весьма конфиденциальной информацией.
Так, например, розничные банки часто становятся жертвой кибератак, и хакеры могут получить доступ к данным о счетах клиентов. Помимо этого, репутационные издержки могут быть высоки, так как клиенты придают большое значение конфиденциальности финансовой информации.
Компании, работающие с ценными бумагами, также часто подвергаются кибератакам, целью которых является кража или серьезное нарушение их деятельности. Нередко целью атаки оказываются и финансовые инфраструктурные сервисы.
В случае с медицинскими учреждениями речь идет о хранении конфиденциальных данных пациентов. При этом, в отличие от финансового сектора, они обычно вкладывают меньше средств в кибербезопасность.
В группу с относительно высоким уровнем риска Moody’s включил девять секторов с общей суммой задолженности $9,7 трлн. Среди них ритейл, транспорт, производственный и телекоммуникационный секторы.
Еще 11 секторов с общей задолженностью $3 трлн отнесены к группе со средним уровнем риска. Это в том числе управляющие активами, страховые компании, аэропорты и высшие учебные заведения.
Относительно низок уровень риска у семи секторов с общей задолженностью на $46,5 трлн. В их числе правительственные учреждения, органы местной власти, школы и нефтегазовая отрасль. Самые низкие риски у четырех секторов с задолженностью $1,8 трлн. Это сырьевая и сельскохозяйственная сферы, недвижимость, платные дороги и государственно-частное партнерство.