Хакерские атаки: чем грозит бездействие бизнесу?

WannaCrypt зашифровывал все файлы на компьютерах и требовал выкуп в биткоинах. 27 июня мир снова охватила  масштабная вирусная эпидемия под названием Petya, которой особенно остро были подвержены Украина и Россия. Потери оказали огромны: в частности, с вирусом  WannaCrypt боролись РЖД, Центробанк, МВД, МЧС и крупнейшие операторы связи. От Petya в России пострадали нефтегазовые компании «Роснефть», «Башнефть», а также Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold), Магнитогорский металлургический комбинат, кредитные организации и сеть медицинских клиник «Инвитро» – вирус на несколько дней вывел системы из строя.

Как в будущем предотвратить угрозы вируса, и чем опасно бездействие, нам рассказал аналитик и системный архитектор Студии инновационных технологий «SIT Челябинск» Николай Ильинов.

Николай, известно, что от вирусов пострадали крупнейшие компании, у которых, наверняка, не один системный администратор в штате. Как вы считаете, почему так происходит?

На вопрос, почему так происходит, я бы ответил поговоркой: «пока гром не грянет». Объективно, на это влияет много факторов: у компании нет ресурсов, чтобы заниматься безопасностью, это дорого, нет специалистов, плохо выстроены рабочие процессы в компании. Кроме того, компании могли пострадать от данных вирусов по-разному: в одних случаях были заражены критически важные системы (например, бухгалтерия, клиентские базы) и потеряны данные, в других – просто вышло из строя оборудование, не нанеся большого ущерба. В том случае, где было заражение, но потери важных данных и денег не произошло, можно считать допустимым риском.

Если система пострадала от кибератаки, кто виноват?

Безусловно, руководители и исполнители, которые не задумывались о вопросах безопасности и состояния их IT-инфраструктуры. В первом случае картина такова: руководители в попытках оптимизировать бюджет и снизить затраты на квалифицированных специалистах привлекают людей, которые лишь поверхностно обсуживают IT-инфраструктуру. Да, высококвалифицированный IT-персонал – это затраты, но не стоит забывать и о качестве обслуживания. Такая компания будет иметь хороший портфель реализованных проектов, безупречную репутацию и материально-техническое обеспечение высокого уровня.

В случае с виной IT-департаментов, которые не следили за своевременными  обновлениями, неправильно настраивали протоколы безопасности и неграмотно вели построение корпоративной сети в целом – здесь важно создавать сегментированную архитектуру сети. В случае угрозы, при грамотном построении сети пострадает всего один компьютер или сегмент.

Существует ли угроза нового вируса?

Угроза есть всегда. Занимаясь вопросами безопасности, мы можем снизить риск, но исключить его абсолютно невозможно, поскольку вирусы эволюционируют. Многие IT-специалисты просто не успевают  на них реагировать, не говоря о том, чтобы предвосхитить.

Нашумевшие вирусы отличаются друг от друга? Как они работали?

У каждого вируса существуют свои особенности кибератак. Например, WannyCry — это червь-шифровальщик, отличительной особенностью которого является функция саморазмножения, обычно отсутствующая у классических шифровальщиков.

Petya – модифицированый вирус, который использует те же уязвимости и пути проникновения в пользовательские системы, но при этом является другим видом. Он шифрует все данные в системе без возможности восстановления.

Отмечу, что оба вируса используют одну из уязвимостей в ОС MS "Microsoft Security Bulletin MS17-010 - Critical". Эта уязвимость повышает свои привилегии до административных. Говоря простым языком, это означает, что для заражения вам даже не требуется никуда кликать и ничего открывать. Достаточно просто иметь компьютер без установленных обновлений безопасности от MS, подключенный в сеть.

Каковы цели вирусов? Чего добиваются хакеры?

Цели вирусов всегда определяются их создателями. Но в конченом итоге цель одна – это получение денежной прибыли или нанесение экономического урона жертвам атаки. Если это технический вопрос, то цель вирусов – зашифровать данные, чтобы после потребовать за них выкуп.

Вирусы WannaСrypt и Petya удалось остановить?

К сожалению, вирусы остановить невозможно, но притормозить их распространение – вполне реально. Так WannaСrypt на сегодняшний день уже не несет прежней угрозы, а вот распространение  Petya до сих пор происходит, поскольку в сети по-прежнему есть компьютеры без установленных обновлений.

Каковы последствия атак?

Аналитические зарубежные компании считают урон в сотнях миллионах долларов, в России из-за атак многие компании потеряли важные данные и были вынуждены остановить работу. Не исключено, что кто-то и вовсе будет вынужден закрыть бизнес. И если сегодня руководство не обеспокоится вопросами безопасности, потери будут продолжаться.

Возможно ли устранить последствия кибератак?

Какие-то данные можно восстановить из резервных копий, однако, дешифрование зашифрованных вирусом файлов практически невозможно.

С учетом опыта атаки WCry, возможно ли было предвосхитить Petya, чтобы не повторять негативную историю?

Безусловно, можно было снизить риски, установив критические обновления безопасности, ограничив доступ в сеть и обучив людей компьютерной грамотности. Но на это нужно время, средства и желание.

Россия стала второй после США по количеству кибератак по оценкам экспертов Positive Technologies. Как отечественным компаниям научиться более осознано подходить к защите?

В нашей стране информатизация происходит очень стремительно, а компьютерная грамотность отстает. Выход один – обучать людей.  Однако, главный  фактор – это уязвимость IT-структур, которая  зависит от  многих вещей. Если коротко, необходимо соблюдать основные правила: грамотно подходить к вопросам построения корпоративной сети, настраивать программное обеспечение, соблюдать физическую безопасность, то есть не допускать сторонние носители информации и людей к важному серверному оборудованию. И, конечно, важно пользоваться только лицензионным ПО, использовать антивирусы для защиты ПК, всегда устанавливать обновления безопасности, соблюдать регламенты и вести непрерывное обучение сотрудников. Выполняя эти требования, можно существенно снизить риски и осложнить работу злоумышленника, поскольку защита и взлом – это всегда противостояние.

Кто должен, в первую очередь, заботится об IT -безопасности? И возможно ли проверить уровень безопасности уже созданной IT-архитектуры?

Идеальный вариант – иметь в компании  отдел по информационной безопасности, поскольку один человек не справится со всеми необходимыми тестами. Более простой вариант – это обратиться за помощью в специализированную компанию.

Существует ли какой-то лайфхак – как вести себя, если атака все-таки произошла?

Главное – не паниковать,  сделать резервные копии и сразу обратиться к специалистам за советом и помощью. Ни в коем случае нельзя откладывать этот вопрос на потом – на счету каждая минута, и может получиться так, что «потом» защищать будет нечего. И это касается не только бизнеса, но и обычных граждан.