Кібератаки на Україну: чи відіб’ємося наступного разу?

За останні півроку інформаційні системи державних установ та комерційних підприємств України зазнали декілька масових атак із використанням схожих методів та інструментів. Разом із тим протягом останнього десятиліття авторитетні світові засоби масової інформації доволі часто публікують на своїх шпальтах коментарі фахівців із кібербезпеки та намагаються дати оцінку нової реальності, де терміни «кіберзброя» та «кіберзахист» входять до активного словника всіх верств населення. Використання у сучасному суспільстві інформаційних технологій веде до особистої обізнаності та відповідальності кожної особи за збереження персональних даних, конфіденційної інформації, безпеку цифрових активів. Водночас вітчизняні державні та бізнес-кола вкотре виявилися не готовими до нападів інтернет-злочинців. Як можна запобігти протиправному втручанню в програмне забезпечення компаній, організацій та установ, спеціально для Mind пояснює експерт Комітету Американської торговельної палати в Україні з питань інформаційних технологій, спеціаліст «Microsoft Україна» Олексій Булигін. 

Спалах вірусної епідемії, спричиненої вірусом-вимагачем Ransom:Win32/Petya, 27 червня 2017 року, напередодні Дня Конституції України, набув для багатьох організацій катастрофічного масштабу, зважаючи на майже повне припинення роботи через втрату даних та виведення з ладу серверної та користувацької інфраструктури на декілька тижнів. За перші години вірусної атаки більше ніж 12 500 комп’ютерів були уражені, а точна кількість зруйнованих систем ще досі не відома. До того ж постраждали системи ще в 64 країнах,  зокрема в Бельгії, Бразилії, Німеччині, Росії, Сполучених Штатах Америки. Аналіз примірників підозрілого коду фахівцями Центру захисту від шкідливого коду Microsoft довів, що розповсюдження вірусу сталося через підсистему оновлення комерційного додатку фінансової звітності MEDoc. Такий самий висновок зробили фахівці Кіберполіції України, цей вектор атаки через оновлення додатку MEDoc  наведено у  загальнодоступному списку індикаторів компрометації (IOCs). Фактично, розгорнутий в організації додаток MEDос, як довірена система, дозволив вірусу обійти захисні системи периметру та атакувати зсередини мережі.

Під час атаки «нульового дня» було використано відомі впродовж тривалого часу механізми розповсюдження вірусу, хоча засоби протидії ретельно пророблені та доступні для впровадження:

• Викрадення облікових записів користувачів, включаючи записи з адміністративними привілеями, та їх повторне використання під час атаки (так звана атака Pass-the-Hash).
• Використання стандартного протоколу обміну файлами для розповсюдження вірусу в мережі на сервери та робочі станції.
• Використання штатних утиліт віддаленого виконання коду на комп’ютерах або вразливості Windows SMB Remote Code Execution Vulnerability CVE-2017-0144 (відома як EternalBlue) та CVE-2017-0145 (відома як EternalRomance).

При цьому варто зауважити, що вразливості EternalBlue та EternalRomance були виправлені в оновленні безпеки Microsoft MS17-010 у березні 2017 року.

Вказані деталі важливі для розуміння причин ефективності атаки та дають можливість відповісти на питання, чому одні компанії ще досі відновлюють ІТ-системи, а інші залишилися неураженими.

Головна та єдина причина масштабів того, що трапилось, – це недостатній фокус та увага до безпеки з боку як ІТ-персоналу, так і керівників організацій та підприємств. Інформаційна безпека в установі залежить від рівня взаємодії та зрілості принципових компонентів у ІТ-організації: персоналу, процесів, технологій.

Практика розробки, тестування та вдосконалення планів забезпечення безперервності бізнесу та відновлення критичних систем після аварійного збою існує впродовж декількох десятиліть. Систематична робота з реалізації таких планів, на превеликий жаль, в Україні запроваджена досить обмеженою кількістю організацій.

Щоб перешкодити можливим кібератакам, необхідно за допомогою фахівців з безпеки негайно розробити та почати впроваджувати план термінових, короткострокових та довгострокових дій інформаційної безпеки. Наприклад, почати з впровадження Securing Privileged Access, який описано в статті на сайті docs.microsoft.com.

Від ретельного аналізу ландшафту загроз для програмних додатків згідно з рекомендаціями стандарту ISO/IEC 27034, якісної та кількісної оцінки ризиків безпеки під час виконання сервісів аналізу експлуатаційних ризиків ІТ-систем, планування та використання сучасних засобів протидії кіберзагрозам, таких як аналіз поведінки користувачів та процесів у розподілених системах у рішенні Microsoft Advanced Threat Analytics, залежить розробка якісної стратегії інформаційної безпеки у організації.

Надалі така стратегія стає підставою для фінансування проектів вдосконалення систем захисту інформації, підбору та навчання персоналу, розробки й тестування планів аварійної зупинки та відновлення для критичних бізнес-систем, автоматизації встановлення оновлень безпеки та контролю конфігурацій робочих станцій, що в підсумку забезпечує якісну роботу установи чи організації.

Зокрема, забезпечення розробки ефективної системи кіберзахисту в Україні є одним з пріоритетів Комітету Американської торговельної палати в Україні з питань інформаційних технологій. Під час обговорення цього питання з представниками відповідальних органів державної влади, керівництво палати та її члени неодноразово наголошували на важливості використання ліцензійного програмного забезпечення органами державної влади, оскільки саме використання піратського «софту» може стати головною причиною проникнення програм-шкідників та вірусів до об’єктів критичної інфраструктури і держорганів.

Через це, з урахуванням масштабів ураження, заподіяної шкоди та продемонстрованих можливостей зразка нової генерації шкідливого коду, нам вкрай необхідно вже зараз зорієнтуватися на розвитку системи кібербезпеки, аби Україна змогла протистояти наступним атакам кіберзлочинців, тим самим забезпечивши економічну та політичну стабільність нашого суспільства.