УправлениеБезопасность

Эпидемия вымогательства

Илья Борисов | 16.11.2020

Эпидемия вымогательства

По аналогии с вирусами атаки киберпреступников мутируют и подстраиваются под текущую обстановку и средства защиты. Поэтому жизненно важным абсолютно для всех компаний, организаций, государственных учреждений будет вопрос обеспечения киберустойчивости и кибериммунитета.

2020-й год войдет в историю, как год пандемии, вызванной вирусом COVID-19. Меры, принимаемые как на уровне государств, так и на уровне отдельных компаний, привели к изменениям практически во всех отраслях человеческой деятельности. Информационная безопасность не стала исключением.

Кризис, с одной стороны, показал, насколько современные цифровые технологии действительно меняют наш мир в лучшую сторону, а с другой – насколько эти технологии и их пользователи уязвимы.

Ограничения на передвижение и на количество сотрудников в офисах потребовали от бизнеса стремительной адаптации. Вопрос перехода на новые способы работы стал вопросом выживания. Требования к скорости трансформации не могли не сказаться на уровне безопасности.

Вышеперечисленное открыло для преступников новые области для атак, особенно в связи с тем, что на работу на дому перевели не большое количество офисных сотрудников коммерческих компаний, которые, как правило, имеют базовые знания в области ИБ, но и школьников, педагогов и лиц из группы риска, многие из которых вынуждены были работать на собственных устройствах.

Атаки и потери

С начала пандемии злоумышленники стали все активнее использовать уже, казалось бы, несколько подзабытый вид атак, основанный на вымогательстве (Ransomware).

Существенная разница заключается в том, что если несколько лет назад основными жертвами вымогателей становились обычные пользователи, то сейчас в фокусе атакующих находятся крупные организации из разных отраслей промышленности, в том числе медицинские и образовательные. В первую очередь это связано с возможностью получить большую сумму выкупа.

В 2020-м от вымогателей пострадали такие гиганты рынка, как Honda, Mitsubishi, Canon, Evraz, десятки крупных вузов, в первую очередь американских и британских, медицинские учреждения. Общая сумма потерь, по оценкам различных экспертов, за первые три квартала текущего года превысила $70 млрд. И наверное, самой публичной, обсуждаемой и показательной стала атака на компанию Garmin.

Во второй половине дня 23 июля 2020 года компания Garmin официально сообщила о возникновении проблем с сервисом Garmin Connect, сайтом и мобильным приложением. Проблема затронула и кол-центры компании, в результате чего оказались недоступными все инструменты и способы коммуникаций между клиентами и службой поддержки – звонки, онлайн-чаты и электронная почта.

Восстановление сервисов потребовало около пяти дней и, по неподтвержденным официально слухам, Garmin заплатила выкуп в размере $10 млн, чтобы получить ключ для расшифрования собственных данных. Помимо этого, компания понесла и серьезные репутационные потери.

Успехи в реализации подобных атак привели к тому, что злоумышленники стали использовать более продвинутую тактику – двойное вымогательство.

Теперь, прежде чем зашифровать данные жертвы, атакующие извлекают большое количество конфиденциальной информации и угрожают опубликовать ее, если их требования о выкупе не будут удовлетворены.

Это тройной капкан. Компания не только не может продолжать свою обычную деятельность и терпит убытки, но и вынуждена принимать во внимание риски утечки персональных данных и коммерческой информации в публичный доступ. В том числе к прямым конкурентам.

Утечки и перебой в работе сервисов во многих странах требуют уведомления регуляторов в области ИБ и защиты персональных данных, что по результатам расследования может привести к существенным штрафам. В случае медицинских учреждений – последствия могут быть еще серьезнее, так как на кону стоят человеческие жизни.

Десятого сентября в результате атаки на сеть Университета Генриха Гейне в Дюссельдорфе были зашифрованы около 30 серверов университетской клиники, что практически полностью парализовало работу больницы. В процессе перевода пациентов в соседние клиники умерла 78-летняя женщина.

Впервые в истории полиция открыла уголовное расследование за причинение смерти по неосторожности, вызванное кибератакой.

Следует отметить, что после публикации сообщения о смерти вымогатели немедленно предоставили больнице ключи дешифрования без каких-либо условий.

На протяжении последних месяцев все чаще стали появляться сообщения о случаях вымогательства, где в качестве угрозы используется потенциальная DoS-атака на сервисы компании. Таким образом злоумышленники заставляют платить не только за уже реализованные атаки, но и за возможность чувствовать себя в относительной безопасности.

Платить или не платить

Страх, убытки и давление регуляторов заставляют часть организаций платить выкуп немедленно, чтобы не допустить потери или раскрытия данных и серьезно сэкономить на восстановлении работоспособности.

Однако такая практика формирует порочный круг – чем чаще компании платят, тем интенсивнее становятся подобные атаки.

Универсального ответа платить или нет – не существует. Но очевидно, что в большинстве случаев вступить в переговоры с вымогателями выгодно, как минимум для того, чтобы получить дополнительные данные об атаке, снизить цену выкупа или найти альтернативный вариант.

Как защищаться

Атаки с целью выкупа принципиально отличаются от других сценариев монетизации. Способы проникновения в сеть компании, закрепления и распространения в подавляющем большинстве случаев хорошо известны. Тоже относится и к потенциальным атакам типа «отказ в обслуживании».

Поэтому и подходы к защите во многом остаются прежними.

Управление уязвимостями

В случае с погибшей пациенткой клиники в Дюссельдорфе немецкие власти утверждают, что хакеры воспользовались уязвимостью в программном обеспечении виртуальной частной сети Citrix, которая была публично известна с января, но которую ИТ-подразделение университета/больницы не смогло устранить.

Своевременная установка обновлений является важным компонентом защиты от атак с целью получения выкупа, поскольку киберпреступники часто используют эксплойты для недавно опубликованных обновлений программного обеспечения, атакуя системы, на которых эти обновления еще не установлены.

В современных компаниях, где существует высокая степень цифровизации процессов, обновления могут быть столь же опасны, как и атаки злоумышленников. Именно поэтому важно выстраивать процессы тестирования «заплаток» и новых версий ПО, контроля уязвимых активов и реализовать меры по снижению рисков без установки обновлений, когда такая установка потенциально может привести к нарушению непрерывности бизнес-процессов.

Повышение осведомленности пользователей (Security Awareness)

Обучение пользователей тому, как выявлять атаки, направленные на получение выкупа, имеет решающее значение. Большинство современных кибератак начинается с сообщения по электронной почте, которое, как правило, не имеет вредоносных программ, а содержит сообщение, побуждающее пользователя перейти по вредоносной ссылке. Повышение осведомленности и формирование культуры кибербезопасности – ключевой фактор предотвращения таких атак.

Планы по восстановлению после сбоев и непрерывности бизнеса (DRP/BCP)

Резервное копирование – один из столпов обеспечения безопасности систем и данных, но, как показывает практика, до сих пор многие компании на момент атаки либо не имеют необходимых копий, либо же эти копии тоже оказываются уязвимыми. У многих компаний отсутствуют детальные планы по восстановлению бизнес-процессов в случае возникновения инцидентов.

Критически важно, чтобы и ИТ-службы, и бизнес-подразделения были готовы к различным сценариям нарушения работы компании и быстро и эффективно реагировали на них.

Выводы

Изменения в подходах к организации работы хотя и вызваны пандемией, останутся после ее окончания – работа из дома и цифровизация бизнес-процессов.

Киберпреступники никуда не денутся, а отрасль информационной безопасности будет по-прежнему испытывать давление из-за недостатка квалифицированных кадров как на техническом, так и на руководящем уровне. Поэтому решения по автоматизации работы службы ИБ будут пользоваться спросом, так же как и провайдеры услуг MSSP.

Кибербезопасность все чаще будет на повестке высшего менеджмента организаций, и можно ожидать усиления регулирования отрасли, что, в свою очередь, приведет к необходимости выработки новых компетенций у руководителей департаментов информационной безопасности и служб ИТ.

На смену вымогательству обязательно придет другой способ совершения киберпреступлений. По аналогии с вирусами атаки киберпреступников мутируют и подстраиваются под текущую обстановку и средства защиты. Поэтому жизненно важным абсолютно для всех компаний, организаций, государственных учреждений будет вопрос обеспечения киберустойчивости и кибериммунитета. И как бы пафосно это ни звучало, речь уже идет не только о потере денег, речь идет о человеческих жизнях и благополучии всего общества.

Информационная безопасность

Журнал: Журнал IT-Manager [№ 11/2020], Подписка на журналы

Об авторах

Илья Борисов

Илья Борисов

Директор по ИБ «Thyssenkrupp Industrial Solutions»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Десять лет назад мы говорили о будущем цифры и управления с Пеккой Вильякайненом - технологическим предпринимателем и опытным инноватором. То будущее, о котором мы говорили тогда, наступило. День за днем, со скоростью времени.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

ТехноКлуб «Дефицит чипов: как выжить в новой реальности?»
Зеленоград, конгресс-центр ОЭЗ «Технополис Москва»
Бесплатно
04.08.2021
10:30
У лояльных хмурый день светлей.
ОНЛАЙН
09.08.2021 — 10.08.2021
19:00
Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00