Взяти за правило резервне копіювання даних. Як відбивали кібератаку та що робити далі?

Станом на 10 липня 2017-ого року кіберполіція отримала близько 3 тис. звернень щодо блокування роботи комп’ютерних систем через вірусну атаку, яка розпочалася в Україні 27 червня. З офіційними заявами – вже понад 1,5 тис, з них близько 200 заяв – це державний сектор, інша частина – приватний сектор.

Підбиваємо підсумки наймасштабнішої кібератаки в історії України.

Опитування експертів було здійснене проектом “Інтернет-свобода”, а також виданням Liga.net під час круглого столу, який відбувся 30 червня.

Чи відбила Україна кібератаку?

Ми дійсно відбили другу хвилю. Але у випадку першої хвилі (яка розпочалася 27 червня – ред.) це важко назвати “відбили”. 

Наведу просту аналогію із танком. Уявіть, що Україна – це танк, який рухається. І ось по танку стріляють з гранатомета. Танк вибухає і повністю вигорає, і екіпаж, і обладнання. Після цього танк везуть на ремонт і змінюють йому всю внутрішню начинку. І танк знову йде в бій. Це ось те, що відбулося. Нас пробили і все, що ми змогли, – це відновити систему із резервних копій. Це важко назвати “відбити атаку”, – вважає Микита Книш, експерт з кібербезпеки, засновник проекту з інформаційної безпеки “ProtectMaster”. 

“Разом з тим, варто розуміти, що хакери використовували так звану “Zero-day вразливість” – це ті вразливості, про які не знала навіть компанія Microsoft. Реальних дій, які можна було б здійснювати для захисту, в принципі не було. Рекомендували тільки відмовитися від використання певного програмного забезпечення”, – доповнює Микита Книш.

Подальші дії?

1. “Мати резервні копії важливих даних. Тоді, якщо вірус все зашифрує, – у вас буде копія важливих даних і ви зможете відновити роботу організації.
2. Бути готовими до атак: для цього потрібно розбудувати в своїй організації систему управління ризиками інформаційної безпеки. Це справа не айтішників – а найвищого керівництва, рішення з цього приводу приймає керівництво і відповідальне за наслідки теж керівництво.
3. Мати план дій на випадок інциденту. Принаймні щоб розуміти, хто що має робити, кому телефонувати тощо”, – пояснює експерт з цифрової безпеки Микола Костинян.

 

Так відреагувала Україна на кібератаку

Наскільки швидко реагувала кіберполіція?

Кіберполіція непогано інформувала населення, голова Департаменту кіберполіції вчасно виступив, пояснив, в чому суть проблеми. Кіберполіція разом із СБУ одразу створили штаб оперативного реагування і почали збирати необхідну інформацію. Через нестачу людей їм довелося звертатися за допомогою до приватного сектору – компаній, які займаються інформаційною безпекою.

Негативна риса, на мій погляд, – те, що державні структури одразу шукають винних – “руку Кремля” чи звинувачують конкретну компанію в тому, що вона допомагала поширювати вірус. Насправді компанію “M.E.doc” просто зламали”, – оцінює роботу кіберполіції експерт з кібербезпеки Микита Книш.

Що робити, аби кібератаки не повторилися?

“Треба розуміти, що на даний момент захиститися від шкідливих програм на 100% неможливо. Захист від кібератак – це методи мінімізації можливих шляхів проникнення і розповсюдження програмного забезпечення зловмисників в IT-інфраструктурі організації. Це створення максимально несприятливих умов для зловмисників для того, щоб на будь-якому з етапів взаємодії зловмисника з інфраструктурою жертви можна було виявити присутність хакера.

Всі ці методи реалізовуються з допомогою комплексного захисту. Це і технічні заходи, і, в першу чергу, перевірені й затверджені процеси взаємодії підрозділів інформаційних технологій і інформаційної безпеки.

До технологій можна віднести:

  • SIEM (системи управління інформаційною безпекою);
  • фаєрволи, IDS/IPS (системи безпеки периметру і сегментацїі мереж);
  • DLP (системи попередження витоку конфіденційної інформації);
  • VPN (безпечні канали зв’язку з філіалами);
  • OTP (генерація одноразових паролів);
  • антивіруси (стандартний антивірусний захист), patching (процес управління встановленням оновленого програмного забезпечення);
  • бекапи (створення резервних копій інформації й інфраструктури);
  • awareness (процес навчання користувачів інформаційній безпеці);
  • pentest (незалежний аналіз захищеності) і т.д.

Зараз немає необхідності купувати всі системи безпеки, встановлювати інфраструктуру і підтримувати все своїми силами, частину з них можна купити як сервіс з гарантованою технічною підтримкою і швидкою реакцією на інциденти”, – Сергій Маковець, директорій із технологій ISSP.

Провести IT-аудит інфраструктури всієї країни. Після аудиту вводити єдині регламенти реагування в таких ситуаціях, щоб вирішити проблеми в організаційному безладі всередині країни. Це можливо лише в рамках державно-приватного партнерства. Я вважаю, що у вівторок [27 червня] була розвідка боєм. Зараз усі почнуть “латати дірки”, не займаючись проблемою системно. Але, думаю, наступний удар може бути завданий по іншій сфері. І без системності, без інвестицій в інфраструктуру – страшно уявити, що буде, якщо ситуація повториться із більш серйозним вірусом”, – Олександр Данченко, голова парламентського IT-комітету.

“Державі варто створити Центр боротьби з кіберзагрозами – об’єднати СБУ, кіберполіцію і т.д., створити гарячу лінію, куди можна повідомляти про кібезагрози. До прикладу, в США у ФБР така лінія вже давно є, вони оперативно приймають інформацію про кіберзагрози. У нас має бути так само”, – підсумовує експерт з кібербезпеки Микита Книш.

“Не існує абсолютних технозасобів захиститися. Необхідний аналіз ризиків, моніторинг загроз. Отримані сертифікати на комплексний захист інформації (Державна служба спеціального зв’язку і захисту інформації України сертифікує КСЗІ (комплексні системи захисту інформації), чинний список можна знайти на сайті служби – ред.) – це не просто бумажка. Комплексний захист інформації має бути постійно діючим механізмом, процесом“, – Михайло Шмелев, директор з питань технологічної безпеки Центрально-Європейської групи країни Microsoft.

Як раніше були уроки із цивільної оборони, тренування з протигазами і т.д., так і зараз потрібен комплекс заходів з реагування на подібні ситуації. Не варто чекати оновлень антивірусів, нових сигнатур, тим більше, в системі може сидіти ще кілька вірусів з періодом інкубації. WannaCry показав, що історії нічому не вчить наші компанії. Тому потрібно моделювати наслідки майбутніх атак і бути готовими відреагувати на них всіма офісами протягом 10 хвилин”, – Олександр Смирнов, генеральний менеджер «Айкюжн ИТ».

Читайте дослідження нашого проекту, чому в Україні відбулося згортання інтернет-свободи в часи війни.

 

Коментарі

data-url="https://netfreedom.org.ua/vziaty-za-pravylo-rezervne-kopijyvannia-danych/" data-title="Взяти за правило резервне копіювання даних. Як відбивали кібератаку та що робити далі?">

Напишіть коментар

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

This site uses Akismet to reduce spam. Learn how your comment data is processed.