Межа між державними та недержавними кіберзлочинцями продовжує стиратися. Наразі, основними акторами кіберзагроз залишаються Росія, Китай, Іран, Північна Корея та спонсоровані ними кіберзлочинці.
Перебуваючи поза сферою дії західного законодавства та правоохоронних органів хакери з цих країн переслідують різні цілі, а їх держави мають різноманітний набір мотивацій. Так, Північна Корея, потребує фінансової складової, щоб підтримувати режим Кім Чен Ина, в обхід міжнародних фінансових санкцій. Незважаючи на те, що держава використовує підрив і дезінформацію проти південнокорейських цілей, саме держава діє як злочинна група. В свою чергу Росія, Китай та Іран переслідують досягнення політичних, військових та промислових цілей. Уряд Росії зосереджений на шпигунстві (зокрема в енергетичному секторі), дезінформації та примусі. Російські кіберзлочинці зосереджені на фінансовій вигоді, і їхні дії толеруються (якщо вони не заохочуються) Кремлем. Китай бере участь у масовій крадіжці інтелектуальної власності. Іран зосереджується на Ізраїлі та країнах Перської затоки, а також на енергетичних компаніях.
Останнє опитування у сфері захисту від кіберзагроз показало, що 74% респондентів вважають, що за 18 місяців до опитування їхню організацію атакували спонсоровані державою хакери, при цьому 32% респондентів були дуже у цьому впевнені. І хоча 18% респондентів очікують, що це буде проблемою в майбутньому, 8% висловили думку, що вони взагалі не сподіваються на ефективне вирішення цієї проблеми (такої думки дотримуються респонденти, чия організація належить до переліку об’єктів критичної інфраструктури). За оцінками представників організації з сектору кіберзахисту, у середньому національна держава їх атакувала двічі протягом 18 місяців. 42% звинувачують групу кіберзлочинців, яка діє від імені невідомої національної держави. Цей відсоток трохи збільшується для тих організацій, які очікують зіткнутися з такою загрозою в майбутньому, до 44%. Це залишалося вірним для більшості проаналізованих країн, за винятком Німеччини та Австралії, де організації частіше підозрювали, що за інцидентом стоїть РФ (44% і 47% відповідно). Можливо, респонденти більше зосереджувалися на РФ, враховуючи розголос навколо інцидентів, приписуваних спонсорованим Росією хакерам, які сталися приблизно під час проведення опитування. В Австралії Китай також розглядається як ймовірна загроза: 46% респондентів підозрюють, що Китай стоїть за інцидентами, спрямованими проти їх організацій.
Крім того, що угруповання кіберзлочинців здійснюють атаки від імені уряду, існує поширена думка, що національні держави створюють свої арсенали кібератак у змові з міжнародними угрупованнями кіберзлочинців, обмінюючись інструментами, методами та кваліфікованими професіоналами.
Однак, у випадку очікування майбутніх інцидентів, респонденти перейшли до сприйняття Китаю як найбільш ймовірного актора (46%). Росія та групи кіберзлочинців, які діють від імені невідомих держав, йдуть з невеликим відривом — по 44%. Незважаючи на те, що різниця між відповідями організацій, які були об’єктами нападу протягом останніх 18 місяців, і тими, які очікуються, є незначною, відповіді показують, як організації оцінюють цю загрозу, що свідчить про їх готовність. Китай і Росія є країнами, які більшість організацій найчастіше називають нападниками. Це узгоджується з іншими дослідженнями, які показують, що вони найактивніше використовують кібератаки, ніж будь-який інший державний зловмисник. Хоча базова кількість респондентів у кожному секторі, які визначили найімовірнішого учасника майбутнього кіберінциденту, була низькою, відповіді вказують на відмінності у сприйнятті загроз та очікуваннях між секторами щодо ймовірного учасника минулого кіберінциденту та майбутнього кіберінциденту:
Сектори, які вважають Росію найімовірнішим учасником минулого кіберінциденту:
– медіа та телекомунікації (59%);
– банківські, фінансові послуги та страхування (45%);
– нафта, газ і комунальні послуги (35%);
Сектори, які вважають Росію найімовірнішим учасником майбутнього кіберінциденту:
– логістика та транспорт (75%);
– медіа та телекомунікації (53%);
– охорона здоров’я (43%);
Сектори, які вважають Китай найімовірнішим учасником минулого кіберінциденту:
– охорона здоров’я (52%)
– виробництво (51%)
– розповсюдження та транспорт (37%)
Сектори, які вважають Китай найімовірнішим учасником майбутнього кіберінциденту:
– ІТ та комп’ютерні послуги (70%)
– уряд (57%)
– виробництво (44%)
Цей розподіл за секторами відповідає моделі кібердій цих держав. Енергетика, наприклад, є ймовірною російською мішенню через важливість енергетичної галузі для Росії, тоді як атаки на телекомунікаційні компанії можуть підтримувати іншу шпигунську діяльність.
Основними цілями кіберзлочинців, наразі, залишаються дані, IP та архітектура безпеки мережі. 48% респондентів, які вважають, що стали жертвами інциденту, пов’язаного зі спонсорованими державами хакерів, вважали доступ до споживчих даних мотивацією для кібератак, за ними йшов доступ до конфіденційної інформації (46%) і крадіжка інтелектуальної власності (37%). Збір інформації про захист і процеси кібербезпеки, причому 42% заявляють, що кібератаки спрямовані на ці дані, можуть вказувати на особливий інтерес до збору інформації, яка може допомогти в майбутніх атаках. Що стосується персональних даних, хоча кіберзлочинці можуть використовувати ці дані для отримання фінансової вигоди, національні держави, схоже, отримують особисту інформацію для шпигунства чи контррозвідки.
10% опитаних організацій досі не мають стратегії кібербезпеки. Організації, які розробили стратегії боротьби з кіберінцидентами (особливо ті, які надають рекомендації щодо державних інцидентів) мають вищий рівень упевненості, розрізняючи державні та інші кіберінциденти. Лише 27% респондентів сказали, що вони повністю впевнені в здатності їхньої організації відрізнити кібератаки ворожої держави від інших кібератак. Респонденти опитування вказали, що обмежені навички, застарілі мережеві технології та інструменти безпеки підвищують вразливість. Більшість респондентів (понад 90%) кажуть, що вони ділилися інформацією про атаки, але не завжди повною інформацією про атаку чи її наслідки. Приблизно 9 із 10 респондентів вважають, що уряд їх країни має робити більше для підтримки організацій (91%) і захисту критичної інфраструктури (90%) від кібератак, які спонсоруються ворожою державою.
Комунікація між державним і приватним секторами має вирішальне значення для протидії кіберзагрозам, які спонсоруються ворожою державою. Уряди можуть надавати поради та інформацію, яка визначає як конкретні загрози та вразливі місця, так і ширші тенденції, і повідомляти компанії про розвиток подій, але це можна покращити лише за умови достатнього обміну інформацією з боку приватного сектору, щоб гарантувати, що уряд також буде в курсі інцидентів в сфері кібербезпеки.