Атаки на нефтегаз: оцениваем экономические последствия

Атаки на нефтегаз: оцениваем экономические последствия

Дарья Кошкина, руководитель направления аналитики киберугроз компании «Ростелеком-Солар»

В своих исследованиях мы часто говорим о том, какой серьёзный финансовый и репутационный ущерб наносят кибератаки компаниям. И когда мы говорим о репутации, то имеем в виду не только девальвацию товарного знака, отток клиентов и т.п., но и падение кредитного рейтинга, увеличение страховых взносов. К репутационной сфере можно отнести и отклонение показателей глобального влияния компании от нормальных значений. Разумеется, это справедливо в большинстве своём для крупных организаций, играющих немаловажную роль в мировой экономике.

Насколько ущерб от кибератаки сопоставим с физическим воздействием? Для ответа на этот вопрос проанализируем несколько различных кейсов в нефтяной отрасли.

Кейс №1. Saudi Aramco: крупный киберинцидент

Учитывая то, какое место компания Saudi Aramco занимает на мировой арене, являясь одним из крупнейших поставщиком нефти, компания представляет собой «лакомый кусок» для киберпреступников, в т.ч. работающих на иностранные государства, и потому зачастую подвергается различного рода атакам. Безусловно, система безопасности реализована в Saudi Aramco на достаточно высоком уровне и позволяет выявлять подавляющее большинство атак ещё на стадии проникновения в инфраструктуру. Однако порой злоумышленникам всё же удаётся обойти рубежи защиты и нанести ущерб, как мы увидим, не столько самой компании, сколько всей мировой экономике, одним из базисов которой являются цены на нефть.

15 августа 2012 года в СМИ была обнародована информация о том, что в Saudi Aramco произошёл киберинцидент, в результате которого было отключено порядка 30 тыс. компьютеров. В блоге Касперского утверждается, что атака «включала в себя заражение вредоносным ПО, а также последующую DDoS-атаку на веб-сайты, уничтожение данных на 30 000 машин[1], а также, возможно, самих машин». Представители же компании заявляли, что сайт был отключен исключительно в качестве меры предосторожности, однако в открытых источниках имеется информация, что даже спустя несколько недель сотрудники сталкивались с определёнными проблемами в работе ряда систем и не имели доступа к некоторым данным. Фирма также добавила, что ее основной бизнес по добыче и разведке нефти не пострадал от атаки.

Сообщается, что компьютерные сети государственной нефтедобывающей компании Саудовской Аравии Aramco в течение целого месяца подвергались кибератакам, целью которых был полный паралич работы саудоаравийского нефтяного сектора[2]. В атаке по политическим причинам заподозрили Иран, но данное обстоятельство для нас сейчас не настолько важно – нас интересует то, каким образом этот инцидент отразился на мировых ценах на нефть.

Слова представителей Saudi Aramco о том, что основной бизнес никак не пострадал, а отключение сайте было лишь превентивной мерой, подтверждают и основные финансовые показатели компании, в частности на фоне тех, что были годом ранее:

Показатель

2011 год (млн SAR)

2012 год (млн SAR)

Выручка и прочие доходы, связанные с продажами

30,569,598

33,646,259 (+ 10,1%)

Чистая прибыль/Убыток

2,213,159

2,561,066 (+ 15,1%)

Расходы

6,524,623

7,176,644 (+ 10%)

Операционная прибыль

30,569,598

33,646,259 (+ 10,1%)

Так, видно, что ни один из представленных параметров не продемонстрировал отрицательную динамику. Единственное, на что стоит обратить внимание, – это увеличение расходов на 10%, на что в том числе мог повлиять и произошедший киберинцидент. Если сайт действительно какое-то время не работал, а ряд рабочих мест был повреждён, то, безусловно, это влечёт за собой необходимость проведения технических работ по восстановлению, что связано с дополнительными затратами.

Как уже было сказано выше, возможно, самого инцидента по факту и не было, а новостной фон вокруг компании был лишь PR-кампанией. И если речь действительно идёт о ней, то скорее всего она имела политический или скорее геополитический характер, т.к. речь идёт о крупнейшей в мире нефтяной компании и, следовательно, ценах на нефть. В этом ключе будет интересно проследить, как менялись цены на нефть марки Brent в сложившемся информационном поле:

Дата

Цена ($ за баррель)

Прирост (+/-)

10.08.2012

112,95

-

14.08.2012

114,03

+ 0,95%

15.08.2012

116,25

+ 1,91%

16.08.2012

116,9

+ 0,56%

17.08.2012

113,71

- 2,81%

20.08.2012

113,7

- 0,01%

27.08.2012

112,26

- 1,28%


Как видим, мировой рынок тут же отреагировал на случившееся: 16 августа цены на нефть достигли своего максимума с апреля месяца. Средние показатели за несколько месяцев 2012 года в итоге составляют:

- июль – 104,4$ (с максимумом 107,8$)

- август – 112,48$ (с максимумом 116,9$)

- сентябрь – 112,34$ (с максимумом 116,9$)

- октябрь – 108,49$ (с максимумом 115,8$)

- ноябрь – 110,35$ (с максимумом 111,7$)

К июльским показателям (даже ниже) цены на нефть вернулись лишь в апреле 2013 года.

Кейс №2. Saudi Aramco: бобмардировка месторождения

Ещё один примечательный инцидент с Saudi Aramco произошёл в сентябре 2019 года, когда в ночь на 14 сентября 10 беспилотных летательных аппаратов атаковали нефтяное месторождение Хураис и предприятие первичной очистки нефти на месторождении Абкаик. После бомбардировки начался пожар, который удалось быстро потушить. Тем не менее государственная нефтяная компания Saudi Aramco объявила о сокращении добычи нефти вдвое: на 5,7 млн баррелей в сутки. Компания добывала меньше обычного две недели. В конце сентября ей удалось восстановить добычу, но среднесуточный показатель за сентябрь все равно уменьшился: 8,6 млн баррелей в сутки.

Т.к. это довольно серьёзный инцидент, то и последствия у него были не менее серьёзные, выразившиеся в резком росте цен на нефть марки Brent, что видно из таблицы ниже:

Дата

Цена ($ за баррель)

Прирост (+/-)

12.09.2019

60,38

-

13.09.2019

60,22

- 0,27%

15.09.2019

68,12

+ 11,60%

16.09.2019

69,02

+ 1,30%

17.09.2019

64,55

- 6,92%

18.09.2019

63,60

- 1,49%

26.09.2019

62,74

- 1,37%


По сообщениям СМИ, цены на ноябрьские фьючерсы на нефть марки Brent в тот момент достигли $71,95 за баррель – такой беспрецедентный рост не фиксировался с 1988 года. Однако мы видим, что ситуация быстро взяла курс на стабилизацию: спустя неделю после того, как Saudi Aramco открыла данные о ходе восстановительных работ, цены на нефть снова начали падать.

Разумеется, атака дронов на компанию не могла не повлечь за собой и падение курса акций: индекс биржи на момент открытия упал более чем на 2,5%, до минимума в 7629,49 пункта (предыдущие торги закрылись на уровне 7831,80 пункта).

Если же посмотреть на изменение ключевых финансовых показателей, вызванное произошедшим инцидентом, то здесь можно наблюдать следующую картину:

Показатель

2018 год (млн SAR)

2019 год (млн SAR)

2020 год (млн $)

Выручка и прочие доходы, связанные с продажами

1,347,017

1,236,785 (- 8,2%)

862,091 (- 30%)

Чистая прибыль/Убыток

416,518

330,693 (- 20,6%)

183,763 (- 55,9%)

Расходы

- 201,176

- 225,170 (+ 11,9%)

- 181,116 (- 19,6%)

Операционная прибыль

798,405

674,871 (- 15,5%)

383,360 (- 52%)

Единственным увеличившимся параметром являются расходы, что неизбежно в подобной ситуации, когда требуется ликвидация весьма серьёзных последствий, вызванных бомбардировкой. Все же остальные показатели продемонстрировали отрицательную динамику, что также логично, в особенности на фоне столь существенного сокращения объёмов добычи нефти. Безусловно, компания не могу выйти на те же показатели, что и годом ранее, даже несмотря на свои масштабы, общемировую деятельность и распределённую сеть. Разумеется, эти факторы отразились на том, что Saudi Aramco, не ушла, как говорится, «в минус» и так или иначе доход имел место быть. Однако нельзя не отметить, что снижение ключевых финансовых показателей в среднем на 15% является пускай и не колоссальным, но весьма существенным. Интересно, что наиболее существенные изменения в негативную сторону произошли уже в следующем, 2020 году, и, безусловно, сформированы они были в том числе в результате произошедшего инцидента, однако важно понимать, что и ряд других факторов, связанных с общемировыми тенденциями, мог оказать существенное влияние на финансовые показатели Saudi Aramco.

Итак, мы видим, что для любой крупной компании, играющей важную роль в мировой экономике, подобного рода инциденты, в т.ч. направленные на повреждение ИТ-инфраструктуры, наносят существенный урон и негативно сказываются на её репутации, ценах на акции и глобальных экономических процессах. Да, динамика цен на нефть показывает, что ситуация с дрон-атакой имела куда более серьёзные последствия. Но, во-первых, между инцидентами прошло семь лет: за это время информационные технологии претерпели существенные изменения, став важным, если не ключевым, инструментом ведения любого бизнеса, особенно такого крупного. Вполне логично предположить, что кибератака 2012 года, случись она в 2019 или позже, нанесла бы куда более существенный ущерб. Во-вторых, мы видим, что после дрон-атаки стабилизация произошла куда быстрее, в то время как кибератака и её последствия имели более продолжительный характер.

Для сравнения проанализируем ещё один кейс, который произошёл уже в 2021 году.

Кейс №3. Суэцкое столпотворение

23 марта 2021 года в Суэцком канале контейнеровоз сел на мель и перекрыл канал, в результате чего образовалась пробка. Последние суда прошли 3 апреля, т.е. пробка растянулась на 10 дней. Управление Суэцкого канала оценило нанесенный ему ущерб в $1 млрд. Ущерб компаниям-владельцам других судов, потерпевших убытки в результате простоя, выплатят их страховщики.

Из-за блокировки канала было зафиксировано кратковременное подорожание нефти, а также рост цен на морские перевозки и страховых тарифов. Нефть марки Brent подорожала на новостях об остановке движения в Суэцком канале на Лондонской бирже ICE почти на 3%, до $62,7 за баррель. Если же посмотреть динамику цен по дням, то она будет выглядеть следующим образом:

Дата

Цена ($ за баррель)

Прирост (+/-)

22.03.2021

64,62

-

23.03.2021

60,79

- 6%

24.03.2021

64,41

+ 6%

25.03.2021

61,95

- 4%

26.03.2021

64,57

+ 4%

29.03.2021

64,98

+ 1%

30.03.2021

64,14

- 1%

31.03.2021

62,74

- 2%

01.04.2021

64,86

+ 3%

05.04.2021

62,15

- 4%

06.04.2021

62,74

+ 1%

07.04.2021

63,16

+ 1%


Мы видим, что цены на нефть повели себя крайне нестабильно и по аналогии с предыдущими случаями продемонстрировали резкий скачок. Но здесь также налицо довольно быстрая стабилизация по сравнению кибератакой 2012 года.

Кейс №4. Norsk Hydro и шифровальщик

В марте 2019 года Norsk Hydro[3] подверглась крупной хакерской атаке с использованием вымогательского ПО, в результате чего около 500 серверов и 3 тыс. компьютеров на территории Норвегии, Бразилии и Катара были заблокированы. Разумеется, данный инцидент привёл к приостановке и/или замедлению ряда процессов, связанных с продажами, на протяжении марта и апреля 2019 года. Поэтому здесь можно говорить о том, что основной ущерб составила упущенная прибыль ввиду невозможности принимать и обрабатывать поступающие заявки.

Интересно, что расследование по данному делу, в которое вовлечены правоохранительные органы почти десяти стран, идёт до сих пор. Безусловно, существенно затормозила ведение дела пандемия, затруднив перемещения, однако немаловажную роль в данном обстоятельстве играет и сложность правового регулирования ведения дел, связанных с киберпреступностью. Даже на территории Евросоюза нет единого регламента, унифицирующего действия компетентных служб, как нет и общих норм квалификации киберпреступности.

Итак, по имеющимся сведениям, злоумышленники присутствовали в инфраструктуре Norsk Hydro порядка 3 месяцев. Т.к. информации в открытых источниках немного, то смеем предположить, что они были обнаружены ИБ-специалистами компании, после чего и зашифровали системы, затребовав выкуп. В финансовом отчёте за 2019 год сообщается, что убыток от кибератаки составил порядка 650-750 млн норвежских крон (63-73 млн евро), в отчёте за 2020 год данные были актуализированы: 800 млн-1 млрд норвежских крон (79-99 млн евро). Стоит отметить, что по состоянию на конец 2019 года 216 млн крон (почти 21 млн евро) были компенсированы страховой компанией, общая же сумма страхового покрытия, включая выплату в 2020 году, составила 769 млн норвежских крон (чуть более 48 млн евро), т.е. в общей сложности страхование киберрисков позволило Norsk Hydro компенсировать более 80% убытков, причинённых в результате кибератаки, что позволяет говорить об эффективности данного финансового инструмента в части работы с последствиями кибератак. Здесь также хотелось бы отметить, что свою систему ИБ Norsk Hydro, как и многие компании, стала активно наращивать уже после инцидента, запустив на 2020-2022 гг. программу Cyber Response, нацеленную на поддержание основной (центральной) ИТ-инфраструктуры и контроль систем, вовлечённых в бизнес-процессы. Одновременно с этим были запущены иные инициативы, направленные на повышение надёжности информационных систем и ИТ-инфраструктуры и реорганизацию команды ИБ-специалистов, включая их обучение.

Посмотрим, как менялись финансовые показатели до, во время и после кибератаки (однако надо учитывать, что 2020 год в целом не является особо репрезентативным, т.к. прошёл в условиях пандемии, что также подтверждается падением спроса на алюминий в 2020 году на 1,7%):

Показатель

2018 год (млн NOK)

2019 год (млн NOK)

2020 год (млн NOK)

Доход

159,377

149,766 (- 6,4%)

138,118 (- 8,4%)

Доход от продажи алюминия

11,322

10,037 (- 12,8%)

11,968 (+ 16,1%)

Чистая прибыль/Убыток

4,323

-2,370 (- 282,4%)

1,660 (+ 242,8%)

Общая выручка и доход

160,913

151,007 (- 6,6%)

145,861 (- 3,5%)

Общие оборотные активы

54,998

53,665 (- 2,5%)

60,055 (+ 10,6%)

Итак, мы видим, что все базовые финансовые показатели Norsk Hydro продемонстрировали отрицательную динамику, в особенности прибыль, которая сократилась почти в 3 раза, в то время как все остальные в среднем уменьшились на 7%. С одной стороны, это весьма существенный откат назад, а с другой – он не настолько критичный, чтобы такая крупная мировая компания, как Norsk Hydro, не смогла преодолеть подобный «локальный» кризис. Так, по ряду показателей уже через год после киберинцидента компания вышла или по крайней мере приблизилась к тому уровню, что был до атаки. Стоит отметить, что выручка и доход по состоянию на конец 2020 года не достигли тех значений, что были в 2018 году, однако на это явно оказали влияние пандемия и падение спроса на алюминий, т.е. общемировые тенденции.

Посмотрим, как менялись цены на акции компании:

Дата

Стоимость акции (USD)

Изменение стоимости

11.01.2019

4,71

-

22.02.2019

4,05

- 14,0%

08.03.2019

3,84

- 5,2%

29.03.2019

4,10

+ 6,8%

12.04.2019

4,41

+ 7,6%

10.05.2019

3,89

- 11,8%

07.06.2019

3,72

- 4,4%

12.07.2019

3,63

- 2,4%

16.08.2019

2,96

- 18,5%

06.09.2019

3,41

+ 15,2%


Ещё в феврале стоимость акций резко снизилась: возможно, это вызвано тем, что уже на тот момент злоумышленники проникли в инфраструктуру Norsk Hydro, т.к., по имеющейся информации[4], это как раз произошло в декабре, и уже в этот период могли начаться определённые перебои и затруднения в работе систем. Вместе с тем прямой зависимости между атакой, вызванным ею простоем и ценами на акции Norsk Hydro выявить весьма затруднительно, особенно учитывая, что в мае и на протяжении всего лета 2019 года происходило скачкообразное падение стоимости, которое могло быть спровоцировано уже иными факторами и событиями.

Подводя итог, можно сказать, что данный кейс лишь подтверждает наш вывод, что крупные киберинциденты отбрасывают компании назад по финансовым показателям и возврат к прежним значениям занимает порядка трёх лет. Разумеется, такие серьёзные мировые игроки, как Norsk Hydro, зачастую справляются несколько быстрее, но тем не менее подобные прецеденты и для них не проходят бесследно.

Кейс №5. Масштабная атака на Saipem

В начале декабря 2018 года кибератаке подверглась итальянская нефтегазовая компания Saipem, в результате которой было затронуто порядка 300 серверов и 100 компьютеров, расположенных на Ближнем Востоке, в Индии и Италии, а также часть инфраструктуры в Шотландии. Интересен тот факт, что в ходе атаки злоумышленниками использовалась обновлённая версия вируса Shamoon, которым в 2012 году была атакована нефтяная компания Saudi Aramco, ко всему прочему являющаяся клиентом Saipem. В целом же отмечается большое сходство между двумя этими кампаниями, что даёт основания полагать, что за ними стоит одна и та же группа лиц. Тут также стоит отметить, что не исключено, что это была атака именно на целую отрасль, а не на конкретную компанию, т.к. примерно в это же время произошли две подобные атаки на нефтегазовые организации в Саудовской Аравии и ОАЭ[5].

По словам представителей Saipem, никакие данные утрачены не были[6], т.к. имелись все необходимые резервные копии, а затронуты были лишь рабочие станции сотрудников, но не системы, контролирующие работу промышленного оборудования. Через 5 дней после обнаружения инцидента работоспособность повреждённых серверов и компьютеров была восстановлена практически полностью.

Для начала посмотрим, как на произошедший инцидент отреагировали цены на нефть марки Brent, т.к. Saipem – одна из крупнейших в мире компаний в сфере нефтесервисного обслуживания и перебои в её работе едва ли могут остаться незамеченными, особенно с учетом того. что от неё зависит других мировых игроков – её клиентов:

Дата

Цена ($ за баррель)

Прирост (+/-)

03.12.2018

61,69

-

09.12.2018

61,97

+ 0,5%

10.12.2018

59,97

- 3,3%

11.12.2018

60,20

+ 0,4%

14.12.2018

60,28

+ 0,1%

18.12.2018

56,26

- 7,1%

20.12.2018

54,35

- 3,5%

24.12.2018

50,47

- 7,7%

31.12.2018

53,80

+ 6,2%


Серьёзных изменений и скачков мы здесь не наблюдаем. Инцидент был выявлен 8–9 декабря, именно 9 числа цена за один баррель нефти увеличилась на 0,5%, однако уже на следующий день снизилась. В течение всего месяца наблюдались перманентные изменения как в одну, так и в другую стороны, однако куда менее существенные, чем, например, в кейсе с арабской Saudi Aramco (скорее всего, это объясняется отличиями в профилях деятельности компаний).

Чтобы понять, в какой степени кибератака отразилась на экономике Saipem, проанализируем финансовые показатели компании. Цифры демонстрируют следующую картину:


Показатель

2017 год (млн )

2018 год (млн )

2019 год (млн )

2020 год (млн )

Выручка и прочие доходы

8,999

8,526 (- 5,3%)

9,099 (+ 6,7%)

7,342 (- 19,3%)

Чистая прибыль/Убыток

- 328

- 472 (- 43,9%)

12 (+ 102,5%)

- 1,136 (- 109%)

Покупки, услуги и прочие расходы

- 6,465

- 6,055 (+ 6,3%)

- 6,234 (- 3,0%)

- 5,185 (+ 16,8%)

Скорректированная операционная прибыль

440

534 (+ 21,4%)

609 (+ 14%)

23 (- 96,2%)

Как мы уже неоднократно отмечали, 2020-й год не является особо показательным по известным причинам – в целом для большинства компаний он был сложным, убыточным и своего рода перестроечным. По показателям 2018 года, т.е. сразу после кибератаки, видно, что прибыль существенно снизилась – она и в предыдущем периоде была отрицательной, но здесь уменьшилась ещё на 50%. Менее существенное снижение произошло по параметру «Выручка и прочие доходы»: чуть более 5%. Вместе с тем мы можем видеть, что Saipem довольно быстро преодолела все последствия кибератаки, продемонстрировав существенную положительную динамику по всем показателям в 2019 году, по ряду параметров даже улучшив значения 2017 года (до атаки), что означает, что данный инцидент для компании не был чрезвычайно существенным, но вместе с тем одномоментно повлёк за собой определённые экономические последствия.

Выводы

Какой на основании этого можно сделать вывод? Злоумышленники атакуют всех: от мала до велика, а подавляющее большинство киберинцидентов негативно сказывается на финансовых показателях компании, подвергшейся атаке. Чем серьёзнее инцидент, тем на более длительный период растягиваются эти последствия – в среднем на 2-3 года, как показывают наши исследования в различных секторах экономики. Безусловно, крупным корпорациям преодолеть подобные последствия гораздо легче, т.к. в большинстве случаев это распределённая сеть из большого числа филиалов и дочерних компаний, которые суммарно так или иначе обеспечивают минимальный уровень, не позволяя продемонстрировать существенное снижение по основным финансовым показателям (здесь в качестве примера можно привести уже проанализированный нами кейс с Maersk). Для организаций малого и среднего бизнеса ситуация становится гораздо сложнее, т.к. фактически помощи им ждать неоткуда – выкарабкиваться из этой «кибердыры» приходится самостоятельно, что сделать с пошатнувшейся после инцидента репутацией весьма непросто (здесь можно вспомнить уже любимый нами пример с региональным банком, который спустя два года так и не вернулся к тем показателям, что были до атаки).

Следует также отметить, что даже крупные промышленные организации, являющиеся мировыми игроками, начинают принимать какие-либо меры, наращивать систему безопасности и противодействия киберугрозам лишь после произошедших инцидентов, преимущественно весьма крупных и оказавших влияние на экономику компаний. Стоит полагать, что подобные истории могут стать хорошим примером для многих топ-менеджеров, которые ещё не решились в рамках своей компании развернуть или нарастить систему ИБ, всё ещё сомневаясь в её экономической эффектности и целесообразности.

Развитие кибербезопасности в современном мире – это уже не роскошь и не прихоть, а обязательный элемент для гармоничной и эффективной работы любого бизнеса. Опыт многих компаний показывает, что с кибератаками сталкиваются и страдают от их последствий любые компании: мелкие и крупные, промышленные и финансовые и т.д. вне зависимости от суммы оборотных средств. Думать, что вы никому не интересны или, напротив, так известны, что к вам никто не сунется – опрометчиво и контрпродуктивно. Мы видим, что европейские, американские, азиатские компании формируют и поддерживают кибербезопасность в рамках стратегических программ развития, и это не просто правильно и нормально, а жизненно необходимо. У каждой организации вне зависимости от сферы деятельности есть недопустимые риски, и лишь грамотно выстроенная система защиты позволяет сделать их недопустимыми на практике. Мы уже неоднократно в своих материалах и на различных выступлениях отмечали, что развитие бизнеса идёт рука об руку с развитием системы ИБ, которая в настоящее время трансформируется и интегрируется в риск-ориентированный подход управления предприятием, что позволяет выстроить максимально эффективную и гибкую модель менеджмента, где каждое из направлений, включая ИБ, приносит прибыль и оправдывает сделанные вложения.



[1] О количестве стало известно уже почти полгода спустя, в декабре 2012 года

[2] https://neftegaz.ru/news/incidental/260342-a-al-saadan-kompyuternye-seti-aramco-podvergalis-kiberatake-dlya-ostanovki-dobychi-nefti-v-saudovsko/

[3] Компания больше известна как производитель алюминия, однако задействована также и в нефтегазовой отрасли.

[4] https://www.securitylab.ru/news/526817.php

[5] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shamoon-destructive-threat-re-emerges-new-sting-its-tail

[6] https://www.securitylab.ru/news/496926.php


Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь