Киберпреступление и кибернаказание: как бизнесу защититься от вирусов. Советы экспертов

За последнюю неделю вирус Petya.A показал, насколько уязвимыми оказались компьютерные сети государственных и частных компаний Украины. Я решила выяснить, как обстоят дела с кибербезопасностью в Украине, и задала ряд вопросов специалистам международной компании БАКОТЕК, которые занимаются фокусной Value Added IT-дистрибуции. Как бизнесу защититься от вирусов группы Petya и что предпринять после поражения системы? Как восстановить зашифрованные данные? На эти и другие вопросы мне любезно ответили Мирослав Бондарь, руководитель департамента решений информационной безопасности, и Сергей Корниенко, руководитель по развитию бизнеса.

— С какими киберугрозами сейчас  компании сталкиваются чаще всего? Можно выявить какую-либо тенденцию?

— Если 5-10 лет назад кибератаки совершались, в основном, ради мести, или ради славы в определенных кругах, или из «спортивного интереса», то сегодня наиболее популярны те, которые направлены на извлечение финансовой прибыли. Тенденции же таковы, что для кибератак каждый раз применяются новые инструменты. Например — подключаемые к интернету бытовые приборы могут использоваться в качестве ботов для генерации трафика. Также применяются облачные сервисы, когда в облаке арендуются вычислительные мощности и направляются на осуществление кибератак и т. д.

Еще одна тенденция — это кибератаки, направленные на дестабилизацию ситуации в определенных регионах. Тут затрагиваются политические моменты, от этого никуда не деться. Например, последняя эпидемия Petya 2.0 не принесла организаторам особых дивидендов в финансовом плане. И вообще похоже на то, что кошелек для выкупа там был поставлен для отвода глаз — ключи расшифровки так никто и не прислал, а почтовый адрес для отправки подтверждения об оплате выкупа был достаточно быстро заблокирован. То есть можно предположить, что данная атака — часть необъявленной кибер-войны. И в данном случае «эхо» коснулось коммерческих пользователей.

— На что нацелены вирусы-шифровальщики? В чем их задача и как они распространяются?

— Шифрование данных — это только один из инструментов большого семейства программ-вымогателей под общим названием Ransomware. Такие программы, кроме шифрования данных на диске, могут блокировать системные функции, подменять или редактировать загрузочный сектор, препятствовать корректной работе программ. Также разные методы воздействия могут использоваться комплексно, что продемонстрировал Petya 2.0.

Согласно исследованиям Barkly, главный метод распространения Ransomware — электронная почта.

31% заражений происходит через ссылку в электронном письме, 28% из-за открытия вложений к письму, 24% через сайты или веб-приложения. Остальные 17% более редкие способы. Например — заражение доверенных партнеров по схеме Chain of Trust, как это произошло в случае с Petya 2.0. Основная волна заражений в Украине произошла через обновление распространенной в госорганах и на предприятиях программы M.E.Doc. Для распространения программ-вымогателей используют уязвимости операционных систем и ПО (например, EternalBlue и бэкдор DoublePulsar). Также используют вспомогательные вирусы, которые выполняют нужные для заражения действия — перезагружают компьютер или предоставляют вымогателю необходимые права доступа.

Если Ваших читателей интересует подробная техническая информация о последней атаке, они могут прочесть статьи на alienvault.com и lastline.com. Кстати, специалисты WatchGuard предсказывали (источник), что Ransomware в 2017 году выйдут на новый уровень, а именно векторы заражения будут объединяться и комбинироваться, что и произошло в нашем случае.

— Достаточно ли стандартного антивируса для защиты бизнеса?

— Для полноценной защиты от киберугроз обычного антивируса уже давно недостаточно. Антивирус необходим, но только как один из элементов системы защиты от вредоносного ПО и кибератак. Нужно строить комплексную систему защиты, которая состоит из средств защиты конкретных точек, средств обеспечения безопасности на сетевом уровне, средств защиты данных на серверах, средств управления и контроля за инцидентами, уязвимостями и т. д. Очень важно, чтобы разные решения интегрировались друг с другом, даже если речь идет о средствах защиты разных производителей. Такой подход, например, предлагает компания McAfee.

Также важно уделять внимание компетентности специалистов по информационной безопасности. В Украине, к сожалению, она очень часто хромает. Нужно организовать правильные процессы безопасности внутри компании, настроить распределение прав. Обязательно нужно проводить с сотрудниками разъяснительную работу, обучить элементарным правилам компьютерной грамотности.

— Что Вы скажете о уровне информационной безопасности в Украине? Почему так много крупных частных и государственных компаний подверглись вирусу Petya?

— На многих предприятиях и госструктурах вопросы кибербезопасности ограничиваются установкой самого простого, дешевого, а еще лучше — бесплатного антивируса. При этом ИТ-специалисты осознают риски, но не могут убедить руководство инвестировать в построение надежной системы кибербезопасности. И это при том, что подобные атаки уже происходили в прошлом. Для их предотвращения был выдан ряд рекомендаций. Текущая ситуация показывает, что украинские предприятия и госорганы часто пренебрегают ними. И это больше всего настораживает.

Выходом из ситуации могло бы послужить внедрение четких правил на государственном уровне. Евросоюз в мае следующего года вводит General Data Protection Regulation (GDPR) — набор регуляторных актов, который четко прописывает правила по защите персональных данных для компаний, требования к техническим средствам, организации обучения персонала и т. д. В Украине нечто подобное поможет более эффективно справляться с массовыми кибератаками.

— Подскажите, как предпринимателям защитить свой бизнес?

— Прежде всего — нужно провести качественный аудит инфраструктуры, адекватно оценить выявленные проблемы и риски, попытаться определить возможные векторы атак на предприятие. И уже на основе этой информации выстраивать защиту от киберугроз с привлечением квалифицированных специалистов по информационной безопасности.

— К кому обращаться, чтобы гарантировать безопасность своего бизнеса от киберугроз?

— Начнем с того, что гарантировать стопроцентную защиту невозможно. Но можно свести риски к минимуму. Важно понимать, что информационная безопасность — это не абстрактный конечный результат, а процесс, над которым необходимо работать постоянно.

— Какой бюджет на киберзащиту вы посоветует выделить компаниям? Как правильно его рассчитать и какие факторы влияют на формирование стоимости?

— Тут следует отталкиваться от результатов аудита и от картины рисков, которые компания хочет минимизировать. Стоимость построения надежной системы определяется не только ценой приобретаемых инструментов, но и затратами на внедрение, обслуживание и дальнейшую поддержку.

Если хочется сэкономить, то следует отдавать предпочтение тем платформам, которые благодаря интеграции позволяют минимизировать операционные затраты на их обслуживание. Это позволяет снизить трудозатраты специалистов, которые обеспечивают безопасность на предприятии, и, как следствие, сэкономить на обслуживании без потери качества.

— Насколько киберзащита доступна для малого бизнеса?

— Актуальные решения киберзащиты доступны для всех типов бизнеса, в том числе и для малого по адекватной цене. Но есть момент — для малого и среднего бизнеса может быть трудным с финансовой точки зрения привлечение квалифицированных специалистов по кибербезопасности, ведь услуги таких людей дорого стоят. В таком случае есть резон рассматривать предложения от компаний, которые предлагают так называемый управляемый сервис. То есть, отдать отдельные функции и задачи кибербезопасности на аутсорс.

— Как восстановить данные после заражения?

— Если делать регулярное резервное копирование, то важные данные легко восстановить из последней резервной копии. Хотя они тоже могут быть заражены, ведь некоторые «зловреды» скрываются на компьютерах месяцами, никак не давая о себе знать. Тогда, даже после восстановления, может произойти повторное заражение. Но доступ к важным данным в бэкапе останется.

В остальных случаях — нужно смотреть на конкретную проблему и подбирать решение. Так как универсального способа, кроме регулярного бэкапа, не существует. Если злоумышленники требуют выкуп за расшифровку, то платить не стоит — не факт, что пришлют ключ. Лучше подождать несколько месяцев. За это время могут появиться дешифраторы, разработанные специалистами по кибербезопасности или энтузиастами.

— У Вас 26 представительств в разных странах. Вы можете сказать, достаточно ли украинский бизнес выделяет денег на кибербезопасность по сравнению с другими европейскими странами?

— В Украине выделяется на порядок меньше средств, чем в Европе. Но даже с учетом этого факта, в нашей стране есть ряд компаний с грамотными IT-специалистами, которые создали комплексные системы безопасности, которые вполне отвечают современным вызовам. Но, к сожалению, пока это единичные случаи.

— Чем чревато для бизнеса игнорирование киберугроз?

— Самыми разными проблемами вплоть до потери бизнеса. И это не преувеличение. Даже в случае с последней эпидемией, были компании, у которых вышли из строя 100% рабочих станций и серверов.

Бизнес должен задать себе ряд вопросов. Сколько он потеряет за день простоя? Сколько времени и средств потребуется на восстановление? Сколько клиентов будет потеряно из-за репутационных потерь? Какие убытки будут от потери информации, например, базы данных клиентов? И только ответив на эти вопросы бизнес поймет, чем для него чревато игнорирование киберугроз.

Понравилось интервью? Прочтите почему украинский бизнес небезопасный.