Кибератака и финансовые показатели: разбираем на примере Maersk

Кибератака и финансовые показатели: разбираем на примере Maersk

В 2017 году Maersk Group (точнее, ее дочерняя структура Damco) подверглась атакам печально известного вируса-шифровальщика NotPetya. Мы изучили финансовую отчетность организации и выяснили, какой ущерб нанесли злоумышленники большому Maersk и конкретно компании-жертве.

image

27 июня 2017 года датская компания Moller-Maersk, занимающаяся морскими контейнерными перевозками, стала одной из многочисленных жертв вируса NotPetya. Атаке непосредственно подверглась компания Damco – дочерняя структура Maersk Group, расположенная в Нидерландах. Шифровальщик проник во внутренние системы и заразил ряд сетей – они, конечно, были отключены, но уже после того как вирус распространился на значительное число компьютеров. По имеющейся информации, было заражено 17 из 76 грузовых терминалов, то есть практически четверть. Тем не менее Maersk утверждает, что во время кибератаки компания контролировала находившиеся в море контейнеровозы и никто из сотрудников не пострадал. Через 8 дней после атаки компании удалось возобновить приём и оформление онлайн-заявок, однако некоторые терминалы (например, в Индии) всё ещё продолжали обрабатывать их вручную.

Позже Maersk предварительно оценила финансовые потери от кибератаки в $200–300 млн. При этом в датской компании указали, что, поскольку вирус продолжал действовать и в июле, потери от него скажутся и на отчетности за третий квартал, что в результате подтвердилось – по итогам 2017 года сумма потерь от инцидента составила $610-650 млн.

Damco: главная жертва и ее убытки

Инцидент случился в самом конце июня 2017, но действие вируса продолжалось и в июле, в связи с чем произошедшее отразилось на финансовых показателях третьего квартала. В этот период, согласно финансовой отчётности, прибыль Damco до уплаты процентов и налогов составила 6 млн долларов (годом ранее этот показатель достигал 19 млн долларов).

Подразделение экспедирования грузов и управления цепочками поставок Damco зафиксировало основной убыток в размере 8 млн долларов за первую половину 2017 года по сравнению с прибылью в размере 12 млн долларов за тот же период год назад из-за проблем с логистикой, вызванных кибератакой, а также более низкой прибыльностью за океаном.

В целом же по сравнению с 2016 годом ситуация, описывающая финансовое положение Damco, выглядела следующим образом:

Хотя выручка Damco и увеличилась по сравнению с 2016 годом на 161 млн долларов, то есть на 6%, убыток за тот же период составил 36 млн долларов. При этом годом ранее компания фиксировала прибыль в 31 млн долларов. Таким образом, можно констатировать, что доходность компании уменьшилась на целых 200%. Это, в первую очередь, связано с последствиями кибератаки.

Размер денежного потока от операционных активностей также продемонстрировал резкую отрицательную динамику: -101 млн долларов по сравнению с 4 млн долларов в предыдущем периоде (-104%).

Как отреагировал большой Maersk

В годовом отчёте Maersk одновременно с этим отмечается увеличение финансовых расходов (на 55,5%), которые в 2017 году составили 1998 млн долларов по сравнению с 1285 млн долларов годом ранее. Часть расходов была направлена на проведение восстановительных работ после кибератаки. Однако стоит отметить, что восстановить повреждённые системы и приостановленные процессы удалось быстро, но определённый ущерб тем не менее был нанесён. Также здесь хотелось бы обратить внимание на снижение прибыли от продажи внеоборотных активов почти на 19%, на что, разумеется, повлияло замедление работ в компании, вызванных кибератакой. Примечательно, что на фоне произошедшего инцидента чистый денежный поток за 2017 год снизился более чем на 400%, а остатки на банковских счетах уменьшились почти в два раза, что в целом указывает пускай и не на критичные, но всё же существенные последствия для всего холдинга в целом, который был вынужден выделить немалые финансовые ресурсы на ликвидацию последствий, вызванных кибератакой. И если выручка и общий доход Maersk всё же продемонстрировали положительную динамику (хотя очевидно, что в противном случае прирост мог быть гораздо больше), что обеспечивается за счёт большого числа филиалов и дочерних компаний, которые не подверглись кибератаке, то ряд параметров, преимущественно связанных с расходами, существенно возросли, так или иначе повлияв на общую экономику холдинга. Специалисты Maersk среди основных причин, оказавших влияние, называют:

  • непосредственно саму кибератаку (причём она упоминается первой);
  • ослабление ставок;
  • рост цен на бункерное топливо особенно в четвёртом квартале.

В целом же мы можем наблюдать следующую картину в сравнении с 2016 годом:

Что же касается динамики цен на акции Maersk в течение лета 2017 года, то выглядит она следующим образом:

Наглядно видно, что акции компании никак не отреагировали (либо отреагировали незначительно) на произошедший инцидент, который случился 27 июня. Несколько позже, во второй декаде августа можно наблюдать существенное снижение цен на акции, которое могло быть спровоцировано информацией о том, что Maersk Oil & Gas AS, дочерняя компания Maersk, будет продана французской Total SA, а также причинами, уже упомянутыми выше.

Интересно отметить тот факт, что после произошедшего инцидента киберриски были включены в перечень операционных рисков компании, разработан и внедрён ряд стратегий и инициатив, связанных с обеспечением ИБ, противодействием кибератакам и усилению ИТ-инфраструктуры. Также был оформлен киберполис для минимизации возможных расходов в случае наступления киберинцидента. Спустя 4 года, в 2021 году, на международном уровне были приняты новые требования по кибербезопасности в судоходстве, формированию и внедрению которых также способствовал факт кибератаки на Maersk.

Ущерб от атак в разных отраслях

Завершая анализ финансовых показателей Maersk в контексте произошедшей кибератаки, хотелось бы посмотреть на то, как наступление киберинцидентов влияет на те или иные показатели. Приведённые ниже цифры получены на базе различных исследований, проведённых в том числе в компании «Ростелеком-Солар»:

1) Согласно данным IronNet Cybersecurity (2021 Cybersecurity Impact Report), годовая прибыль компании, пострадавшей в результате довольно крупной кибератаки типа supply-chain, снижается в среднем на 11%.

2) В случае прямой атаки на банк, т.е. при осуществлении воздействия непосредственно на саму компанию, годовой доход снижается почти на 16%.

3) Анализ финансовых показателей ряда компаний нефтегазовой отрасли, пострадавших от кибератак, показал, что в первый год доход уменьшается примерно на 5-6%, а чистая прибыль может снизиться на 50% и даже более, доходя до 400%.

4) Для логистических и экспедиционных компаний в составе крупного холдинга снижение уровня дохода в годовом эквиваленте может превышать 200%. Такие цифры весьма оправданы, т.к. подавляющее большинство бизнес-процессов в логистике связано с обработкой заявок и непосредственно вовлечено в деятельность других компаний. Даже малейшая их приостановка приводит к нарушению логистических цепочек, невозможностью совершать отправку грузов вовремя и, как следствие, к существенным последствиям, в т.ч. финансовым. Очевидно, что если компания ведёт бизнес самостоятельно и не является частью холдинга, то, возможно, ущерб будет примерно такой же, но расходы значительно увеличатся, равно как и длительность всего процесса восстановления.

Мораль

  1. Даже крупные международные компании не могут гарантировать абсолютную безопасность своей ИТ-инфраструктуры и порой допускают ошибки.
  2. Относительно непродолжительный простой (важно подчеркнуть, что полностью работа приостановлена не была, более того сотрудниками компании не был утерян контроль за перевозками) в совокупности с быстрым восстановлением работоспособности систем, не сопровождавшиеся утечкой данных и физическим повреждением инфраструктуры, обошёлся Maersk порядка в 600 млн долларов.
  3. На фоне того, что фактически Maersk – это группа компаний, в общей сложности финансовые показатели компании за год, в котором произошёл киберинцидент, продемонстрировали положительную динамику. Но если говорить о тех, что связаны с расходами и денежными потоками за год, то здесь можно увидеть существенные изменения со знаком минус.
  4. После наступления киберинцидента компания Maersk не только внесла киберриски в перечень операционных рисков, но и оформила киберполис, что своего рода явилось инновационным подходом как к определению, так и обеспечению кибербезопасности, где страхование – один из способов её усиления. Более того важно отметить, что страхование остаточных рисков представляет собой инструмент минимизации экономических последствий киберинцидента, что является весьма немаловажным для такой крупной международной компании, как Maersk.
  5. Для любого бизнеса требуется формирование матрицы рисков, в которую будут включены и просчитаны киберриски, а также разработана модель реагирования на киберинциденты и ликвидацию и/или минимизацию их последствий.

Дарья Кошкина, руководитель направления аналитики киберугроз, компания "Ростелеком-Солар"


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!