Бенефициары взлома: кто выиграет от кибератаки на трубопровод Colonial Pipeline

Фото Yasin Ozturk / Anadolu Agency via Getty Images
Фото Yasin Ozturk / Anadolu Agency via Getty Images
Goldman Sachs назвал четыре компании по кибербезопасности, которые в долгосрочной перспективе могут получить выгоду на фоне атаки хакеров на крупнейший трубопровод США Colonial Pipeline. Одна из них — FireEye, которую пострадавшая сторона наняла устранять последствия взлома и расследовать киберинцидент. Еще три фирмы могут увидеть рост спроса на свои услуги, так как предлагают решения для защиты от такого же типа атак. Спрос на услуги российских компаний по кибербезопасности останется на прежнем уровне, считают эксперты

Большинство поставщиков софта для обеспечения кибербезопасности выиграют от увеличения спроса на их услуги и роста бизнеса в долгосрочной, а не краткосрочной перспективе, отмечают аналитики Goldman Sachs (GS) в записке (есть у Forbes) о последствиях хакерской атаки на американский трубопровод Colonial Pipeline от 10 мая 2021 года. Они называют четыре компании-бенефициара, которые продают решения по кибербезопасности. Среди них FireEye, которая задействована в ликвидации последствий от новой атаки, а также Crowdstrike Holdings, Palo Alto Networks и Tenable Holdings, которые получат косвенную выгоду от инцидента, так как у них есть решения для устранения последствий от такого рода атак, говорится в отчете.

Бенефициары

  • От хакерской атаки группировки DarkSide на крупнейший нефтепровод США напрямую выиграет компания FireEye, которую Colonial Pipeline наняла сразу после инцидента, чтобы устранить последствия взлома и расследовать это преступление, говорится в отчете. Новость о привлечении FireEye поддерживает ее репутацию как лучшей компании по реагированию на инциденты, отмечают аналитики GS.

FireEye — это компания-разработчик специализированной платформы для обеспечения безопасности на базе виртуальных машин, способная в реальном времени защищать от новейших кибератак предприятия и правительственные организации вне зависимости от их местонахождения, говорит партнер Capital Lab Евгений Шатов. Компания занималась расследованием взлома систем Минфина США и Национального управления по телекоммуникациям и информации (NTIA). «В дополнение к большему потенциальному спросу на высокодоходный бизнес компании такие события могут обеспечить эффект ореола для остальной части платформы FireEye», — считают в GS.

Прогноз GS цены акции на горизонте 12 месяцев: $27 (сейчас она составляет около $20). 

Ключевые риски для компании: конкуренция с другими игроками, проблемы в исполнении задач.

Утечка данных и риск отзыва лицензии: банки назвали главные угрозы от кибератак

  • Компания Crowdstrike Holdings специализируется на облачной безопасности. По словам Шатова из Capital Lab, она предоставляет ведущие в отрасли антивирусные средства нового поколения на базе машинного обучения, позволяющие предотвращать нарушения безопасности. 

Прогноз GS цены акции на горизонте 12 месяцев: $246 (сейчас одна бумага стоит $190). 

Ключевые риски для компании: высокая стоимость компании, которая может многократно снизиться, если ее акции перестанут быть популярными, а также зависимость от инфраструктуры третьих лиц и конкуренция на рынке.

Пароль 123: чем грозит утечка 20 Гб исходного кода и других данных корпорации Intel

  • Palo Alto Networks — один из лидеров в сегменте облачной кибербезопасности. Бизнес американской Palo Alto Networks представляет собой смесь традиционной компании в области кибербезопасности и современной облачной компании с элементами искусственного интеллекта, отмечает Шатов. Темпы роста облачного направления даже выше, чем у таких конкурентов, как Zscaler и Crowdstrike.

Выручка компании должна увеличиться на 70% в 2021 году. Компания ведет агрессивную стратегию увеличения доли на рынке, скупая более мелких конкурентов (например, Crypsis Group, Expanse, Bridgecrew) и предоставляя клиентам большие скидки для того, чтобы привязать их на долгий срок, добавляет партнер Capital Lab. 

Прогноз GS цены акции на горизонте 12 месяцев: $460 (нынешняя цена составляет $334 за акцию). 

Ключевые риски для компании: потенциальные перестановки в менеджменте компании, сбои в продажах из-за интеграции новых компаний и невозможность обеспечить рост чека, сложная конкурентная среда и быстро меняющийся технологический ландшафт.

«Злые» хакеры на свободе: кто и зачем взломал сервисы компании Garmin

  • Американская Tenable Holdings — самая быстрорастущая компания в сегменте управления уязвимостями (vulnerability management). Исходя из темпов развития, компания стремится занять первое место в этом сегменте, считает Евгений Шатов. В последнее время огромное внимание корпораций приковано к управлению уязвимостями: по мере подключения все большего числа виртуальных машин будет формироваться все больший спрос на продукты компании, сказал он.

Прогноз GS цены акции на горизонте 12 месяцев: $57 ($39 за бумагу в настоящий момент).

Ключевые риски для компании: изменение макроэкономических условий, вызывающее сокращение маржи, переход отрасли на платформенные решения и возможное замедление спроса на услуги компании.

Palo Alto, Crowdstrike и FireEye обычно оценены с небольшим дисконтом к другим компаниям из сектора программного обеспечения с аналогичным профилем роста, говорит директор департамента по работе с акциями УК «Система Капитал» Никита Емельянов. История показывает, что рост акций из-за новой кибератаки редко длится больше двух дней и со временем акции возвращаются на прежние значения, добавляет он.

Что изменится в России

Аналитики GS полагают, что новая атака приведет к росту государственной поддержки расходов на безопасность в США, поскольку такие инциденты способствуют тому, что все больше людей узнают о проблемах хакерских взломов. Опрошенные Forbes эксперты сомневаются, что атака на нефтепровод в США может как-то повлиять на спрос услуг компаний по кибербезопасности в России.

Единственное, что может измениться в России, — это усиление требований по безопасности, но такое происходит не быстро, говорит эксперт по информационной безопасности Cisco Алексей Лукацкий. «У нас вся нормативка и так достаточно жесткая, поэтому вряд ли кто-то будет принимать дополнительные регулирующие документы», — считает он. Также у российских надзорных регуляторов нет полномочий проводить какие-либо мероприятия после инцидента в США, отметил Лукацкий. «Единственное, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный ФСБ, теоретически может разослать бюллетень с призывом быть бдительными и с перечислением признаков данной атаки», — считает эксперт.

Как техноэнтузиаст из России собрал за сутки $1 млн на «тамагочи для хакеров»

Директор по консалтингу ГК InfoWatch Ирина Зиновкина говорит, что сейчас роста спроса на услуги компании нет, но его можно ожидать, когда клиенты будут составлять бюджеты на следующие годы. 

Рынок российских провайдеров кибербезопасности всегда были сильно ограничен из-за скептицизма насчет их способности отстоять свою независимость в случае заинтересованности российских спецслужб в их клиентах, считает Шатов из Capital Lab. По его словам, российские компании вынуждены довольствоваться уже насыщенным домашним рынком и не самым перспективным с точки зрения покупательной способности рынком СНГ. «Китай, Индия и прочие «незападные» партнеры уже имеют своих собственных сильных игроков» — говорит он.

Представители «Лаборатории Касперского», Group-IB и Positive Technologies отказались от комментариев.

Контекст

Оператор трубопровода Colonial Pipeline объявил о том, что подвергся хакерской атаке 7 мая. По оценкам компании, она поставляет примерно 45% транспортного топлива (бензина, авиакеросина), потребляемого на Атлантическом побережье США, длина трубопровода составляет 8850 км. В тот день компания уведомила поставщиков топлива, что отключит свои внутренние системы, чтобы сдержать заражение после атаки программы-вымогателя. 

В понедельник, 10 мая, Федеральное бюро расследований США подтвердило, что атаку на Colonial Pipeline провела преступная группировка под названием DarkSide. 

Атака пришлась на офисные системы: CRM, которая выставляет счета за прокачку нефтепродуктов, была зашифрована, Colonial Pipeline не смогла выставлять счета клиентам и на время приостановила свою деятельность, говорит Алексей Лукацкий из Cisco.

Colonial не обращалась к правительству за поддержкой после этого инцидента, рассказала заместитель советника по национальной безопасности США Энн Нойбергер. При этом компания не намерена платить выкуп киберпреступникам, сообщило в среду, 12 мая, издание The Washington Post со ссылкой на двух знакомых с ситуацией источников. Трубопроводная компания работает над восстановлением данных вместе с FireEye: если данные из резервных систем восстановить невозможно, то компания заново их создаст, поэтому платить выкуп нет смысла, считает один из источников издания. Однако в четверг, 13 мая стало известно, что Colonial все-таки заплатила вымогателям штраф в размере $5 млн, об этом сообщил Bloomberg со ссылкой на источники. 

Безопасность в приоритете: четыре принципа защиты данных в iPhone

Группировка DarkSide организовывает атаки с помощью шифровальщика-вымогателя — вируса, который зашифровывает данные компании и предлагает купить у нее «ключ», чтобы дешифровать информацию. Организация также загружает взломанные данные на свои собственные серверы. Если выкупа не будет, злоумышленники угрожают «слить» конфиденциальные сведения в публичное поле. Хакеры DarkSide заявляют, что не атакуют медицинские, учебные заведения, некоммерческие организации и государственные учреждения. Кроме того, группировка нацелена на англоговорящие страны и избегает бывшие советские республики. Размер выкупа, который требуют хакеры, варьируется от $200 000 до $2 млн.

По словам Лукацкого, подобных DarkSide организаций, которые используют шифровальщиков, сейчас несколько десятков в мире. 

Охотник на хакеров и враг Трампа: как миллионер из США ловит киберпреступников из России, Китая и Ирана

DarkSide появилась в середине 2020 года и, скорее всего, состоит из опытных киберпреступников, писало агентство Reuters. У группировки есть сайт в даркнете, пресс-центр и горячая линия для своих жертв. В 2020 году DarkSide перевела $10 000 в биткоинах двум благотворительным организациям, Children International и The Water Project, которые помогают нуждающимся детям в Индии, Колумбии, Замбии, Африке и других странах. DarkSide поддерживает «образ Робин Гуда», крадущего у корпораций и отдающего часть денег на благотворительность, пишет Associated Press.

Президент США Джо Байден заявил, что собирается обсудить с Владимиром Путиным необходимость расследования кибератаки на Colonial Pipeline. По его данным, эта атака не была связана с действиями Москвы, но происходила с территории России, сообщало CNBC. 

Скорее всего, DarkSide — это русскоязычные хакеры, так как они не атакуют российские компании и привлекают в качестве операторов-распространителей вируса только русскоговорящих людей, согласен Лукацкий. Он сомневается, что группировка связана с правительством. У организаторов явная финансовая мотивация, полагает эксперт и добавляет, что, согласно его данным, помимо Colonial, в апреле 2021 года DarkSide заразил еще 13 менее известных компаний.

Дополнительные материалы

Самые надежные российские банки — 2021. Топ рейтинга Forbes