11.10.2018

За 5 минут до катастрофы бизнеса

5 минута. У системного администратора Александра раздается звонок. У маркетолога Людмилы Викторовны что-то выскочило на экране.

4 минута. Александр пытается удаленно подключиться к компьютеру Людмилы Викторовны, но у него не получается.

3 минута. Раздается звонок от главного бухгалтера – не может зайти в 1С. Александр пытается подключиться к серверу, но у него не получается.

– Совпадение? Не думаю! – начинает что-то подозревать Александр.

2 минута. Все телефоны Александра накрывает шквал звонков с одинаковыми проблемами – ничего не работает, а на экране надпись на английском. Александр уже понял, в чем дело, т.к. на его экране тоже надпись на английском с требованием перевести XXX биткойнов на счет злоумышленника. Александр в панике бежит в серверную выдергивать провода из серверов.

последняя минута. В зависимости от скорости бега Александра, его компетентности и ответственности, ваша компания теряет всю или почти всю информацию. Александра ждут бессонные ночи, лишение премий, возможно, даже увольнение. Остальные сотрудники расходятся по домам на неопределенный срок. Занавес!

Две недели назад очередная волна атак шифровальщиков-вымогателей пришла в Беларусь. Если в прошлый раз это коснулось в большей степени соседних стран, Украины, России, то в этот раз, если судить по статистике нашей компании и производителей систем информационной безопасности, под удар попала именно Беларусь. Пострадали все: и производственники, ритейлеры, и IT-шники. Вирус-шифровальщик, которого уже окрестили Travolta_John или GUN (а именно такой текст содержится в названиях всех файлов на зараженных компьютерах) безжалостно уничтожил информацию на сотнях серверов и тысячах рабочих станций. А пока потерпевшие пытаются восстановить данные, а правоохранители разобраться в ситуации и найти виновных, мы попытаемся определить причины и сделать выводы из ситуации.

Сколько стоит

Шифровальщик-вымогатель – это вирус, который шифрует все данные на ваших компьютерах и вымогает деньги за возможность их расшифровать обратно. Не надейтесь: даже если заплатите –  расшифровать не удастся. Здесь по нулям.

Вопрос в другом: сколько стоит информация вашей компании? Сколько стоит час\день\неделя простоя? Сколько стоит репутация? Что если у вас несколько дней не будет работать 1С? Если вы не сможете несколько дней отгружать продукцию, так как не сможете выписать ни одной накладной?

Почему так происходит

Были это китайские или белорусские (или любые другие) школьники, целенаправленная хакерская атака на экономику страны или отдельное предприятие – вряд ли получится доподлинно установить, да и проблема вовсе не в этом. Механизмы проникновения злоумышленников просты, можно даже сказать, банальны и хорошо изучены. Более того, уже давно изобретены эффективные механизмы борьбы как с самими зловредами, так и с последствиями атак. Собственно, игнорирование\экономия на этих средствах защиты, нерадивость ИТ-специалистов и пресловутый человеческий фактор – все это в итоге приводит к печальным последствиям. К причинам также необходимо добавить:

  • Небезопасные настройки программного обеспечения;
  • Использование устаревшего программного обеспечения, которое не поддерживается производителями (например, Windows XP);
  • Отсутствие обновлений или несвоевременное обновление программного обеспечения;
  • Использование пиратского программного обеспечения.

Пока гром не грянул – «нет бюджета… ну до этого же как-то работало… мы никому не нужны… у нас ничего ценного нет…». Когда гром грянул – «что нам делать… все пропало… заводы стоят… ИТ-безопасность это важно…» и бюджеты резко находятся.

Как бороться

К сожалению, 100% защиты не существует, можно говорить только о снижении рисков. Тем не менее, в отрасли сложился определенный шаблон, на основе которого строится информационная безопасность. На сегодня для любой компании является обязательными наличие таких систем, как:

  1. Установка антивируса с централизованным управлением на ВСЕХ компьютерах и серверах, корректная настройка политик и своевременное обновление антивирусных баз, чтобы бороться со всеми известными угрозами – защита от 65% угроз;
  2. Надежная защита периметра локальной сети с помощью файрволлов нового поколения (Next Generation Firewall), которые позволяют анализировать проходящий трафик между локальной сетью и Интернетом, блокировать вирусы попытки проникновения злоумышленников в локальную сеть, отлавливать ботов на зараженных компьютерах пользователей, запрещать пользователям майнить биткойны и доступ к неблагонадежным сайтам и т.д. – защита от 20% угроз;
  3. Для борьбы с новыми угрозами, о которых еще не знают антивирусы (шифровальщики также относятся к этой категории), использование «песочницы» (Sandbox); – защита от 9% угроз, но именно эти угрозы самые опасные;

Для борьбы с оставшимся 1% угроз необходимы системы более высокого уровня, но они нужны не всем. А чтобы приведенные выше системы работали эффективно, необходимо проведение таких мер, как:

  1. Установка обновлений безопасности операционных систем и программного обеспечения;
  2. Отказ от использования пиратского и устаревшего программного обеспечения, которое больше не поддерживается производителями;
  3. Обеспечение надежного резервного копирования и восстановления данных, чтобы в случае успешной атака была возможность быстро (за пару часов) восстановить данные с минимальными потерями;
  4. Грамотная настройка перечисленных выше систем и всей остальной ИТ-инфраструктуры;
  5. Обучение сотрудников компании;

В качестве одной из мер может выступать переход на использование облачных технологий. Не переживайте за сохранность ваших данных в облаке – шифровальщики намного быстрее сожрут данные на ваших локальных серверах, чем до них доберется ФБР или китайская разведка в облаке (серьезно, в это еще кто-то верит?). Облачные провайдеры дорожат своей репутацией и обеспечивают наивысший уровень защиты своих сервисов. Использование облачных технологий с РБ НЕ запрещено (указ 60 не про это)!

Не в каждой компании найдутся специалисты, чтобы грамотно настроить все системы. Хорошей практикой является проведение аудита информационной безопасности, в ходе которого специально обученные люди проверят настройки всех ваших систем и дадут рекомендации по устранению выявленных недочетов.

Еще один вариант, который подойдет компаниям, у которых нет в штате хорошо подготовленных ИТ-специалистов и специалистов по информационной безопасности – отдать ИТ-безопасность нам на аутсорсинг (Security as a Service).

Это далеко не весь перечень возможных мер, а лишь необходимый минимум. К сожалению, у 90% компаний нет даже такой элементарной защиты.

Вывод

Если вы цените свою информацию, стоит задуматься над ее сохранностью прежде, чем ее уничтожит Travolta_John.