За последние полгода информационные системы государственных учреждений и коммерческих предприятий Украины подверглись нескольким массовым атакам с использованием схожих методов и инструментов. Вместе с тем в последнее десятилетие авторитетные мировые средства массовой информации довольно часто публикуют на своих страницах комментарии специалистов по кибербезопасности и пытаются дать оценку новой реальности, где термины «кибероружие» и «киберзащита» входят в активный словарь всех слоев населения. Использование в современном обществе информационных технологий ведет к личной осведомленности и ответственности каждого человека за сохранение персональных данных и конфиденциальной информации, безопасность цифровых активов. В то же время отечественные государственные и бизнес-круги оказались неготовыми к нападениям интернет-преступников. Как можно предотвратить противоправному вмешательству в программное обеспечение компаний, организаций и учреждений, специально для Mind объясняет эксперт Комитета Американской торговой палаты в Украине по вопросам информационных технологий, специалист Microsoft Украина Алексей Булыгин.
Вспышка вирусной эпидемии, вызванной вирусом-вымогателем Ransom: Win32/Petya, 27 июня 2017 года, накануне Дня Конституции Украины, приобрела для многих организаций катастрофический масштаб, учитывая почти полное прекращение работы из-за потери данных и вывода из строя на несколько недель серверной и пользовательской инфраструктуры. За первые часы вирусной атаки больше 12 500 компьютеров были поражены, а точное количество разрушенных систем до сих пор неизвестна. К тому же пострадали системы еще в 64 странах, в частности в Бельгии, Бразилии, Германии, России, Соединенных Штатах Америки. Анализ экземпляров подозрительного кода специалистами Центра защиты от вредоносного кода Microsoft доказал, что распространение вируса произошло через подсистему обновления коммерческого приложения финансовой отчетности MEDoc. Такой же вывод сделали специалисты киберполиции Украины: этот вектор атаки через обновление приложения MEDoc приведен в общедоступном списке индикаторов компрометации (IOCs). Фактически развернутое в организации приложение MEDос, как доверенная система, позволило вирусу обойти защитные системы периметру и атаковать изнутри сети.
Во время атаки «нулевого дня» были использованы известные уже длительное время механизмы распространения вируса, хотя средства противодействия тщательно проработаны и доступны для применения:
При этом следует заметить, что уязвимости EternalBlue и EternalRomance были исправлены в обновлении безопасности Microsoft MS17-010 в марте 2017 года.
Указанные детали важны для понимания причин эффективности атаки и дают возможность ответить на вопрос, почему в одних компаниях до сих пор восстанавливают IТ-системы, а в других они остались непораженными.
Главная и единственная причина масштабов случившегося – это недостаточное внимание к безопасности со стороны как IТ-персонала, так и руководителей организаций и предприятий. Информационная безопасность в учреждении зависит от уровня взаимодействия и зрелости основных компонентов в IТ-организации: персонала, процессов, технологий.
Практика разработки, тестирования и совершенствования планов обеспечения непрерывности бизнеса и восстановления критических систем после аварийного сбоя существует в течение нескольких десятилетий. Систематическая работа по реализации таких планов, к сожалению, в Украине введена достаточно ограниченным количеством организаций.
Чтобы воспрепятствовать возможным кибератакам необходимо с помощью специалистов по безопасности немедленно разработать и начать внедрять план срочных, краткосрочных и долгосрочных действий информационной безопасности. Например, начать с внедрения Securing Privileged Access, описанного в статье на сайте docs.microsoft.com.
От тщательного анализа ландшафта угроз для приложений в соответствии с рекомендациями стандарта ISO/IEC 27034, качественной и количественной оценки рисков безопасности во время выполнения сервисов анализа эксплуатационных рисков IТ-систем, планирования и использования современных средств противодействия киберугрозам, таких как анализ поведения пользователей и процессов в распределенных системах в решении Microsoft Advanced Threat Analytics, зависит разработка качественной стратегии информационной безопасности в организации. В дальнейшем такая стратегия становится основанием для финансирования проектов совершенствования систем защиты информации, подбора и обучения персонала, разработки и тестирования планов аварийной остановки и восстановления для критических бизнес-систем, автоматизации установки обновлений безопасности и контроля конфигураций рабочих станций и в итоге обеспечивает качественную работу учреждения или организации.
В частности, обеспечение разработки эффективной системы киберзащиты в Украине является одним из приоритетов Комитета Американской торговой палаты в Украине (далее – Палата) по вопросам информационных технологий. При обсуждении данного вопроса с представителями ответственных органов государственной власти, руководством Палаты и ее членами неоднократно отмечалась важность использования лицензионного программного обеспечения органами государственной власти, поскольку именно использование пиратского «софта» может стать главной причиной проникновения программ-вредителей и вирусов на объекты критической инфраструктуры и госорганов.
Поэтому, с учетом масштабов поражения, причиненного ущерба и продемонстрированных возможностей образца нового поколения вредоносного кода, нам крайне необходимо уже сейчас ориентироваться на развитии системы кибербезопасности, чтобы Украина смогла противостоять следующим атакам киберпреступников, тем самым обеспечив экономическую и политическую стабильность в обществе.