В современном электронном мире любой бизнес может быть атакован и атакуется непрерывно. Каждый защищается в меру своих возможностей, но если называть всё произошедшее со СДЭКом простыми словами, то это:
Сочетание жадности и лени в IT
Мы не пользуемся услугами пострадавшей от хакеров логистической компании и не собираемся обсуждать причины и методы взлома им подобных, но знаем не понаслышке об элементарных вещах, которые помогли бы избежать подобного сценария демонстрации всей стране тотальной зависимости от пары ленивых "программистов".
Пока вся страна долго и громко обсуждала что, почему и как произошло, многие обратили внимание на заявление представителя хакеров, заявившего что "криворукие админы с маленькой зарплатой делали бэкап раз в полгода", а разнообразные эксперты тут же начали это опровергать:
Специалист по информационной безопасности (ИБ) ******* отметила, что в компании со зрелыми ИБ-департаментами резервное копирование выполняется автоматически. Например, нередко отдельные изменения базы данных резервируются каждые 15 минут, а полное копирование происходит раз в месяц.
Такая компания, как СДЭК, наверняка делает бэкапы регулярно и хранит их на отдельных мощностях, поэтому шифровальщик не должен был до них добраться.
Не должен был, но добрался, т.к. проблема как раз в “отдельных мощностях”. Вирус, как любая программа, добраться может куда угодно внутри той информационной системы, в которую он заселился, кроме физически отключённого от неё носителя. А хранящаяся в дата-сейфе резервная копия с бэкапами на стриммерной ленте – это же элементарно! Даже если этот бэкап сделали полгода назад, компанию уже можно перезапускать, дособирая по фрагментам то, что за полгода произошло.
Здесь и проявилась первая часть жадности и почти вся лень: судя по всему, вместо того, чтобы обзавестись системами резервного копирования для всех узлов, ИБ пожадничала и сливала файлы на выделенный сервер или вообще в облако, куда добраться и всё стереть проблемы не составляет. Пусть даже и случайно.
Если ответственные системные администраторы сгоняют бекапы на ленты и относят их в дата-сейфы, то в СДЕКе лень проявилась во всей красе: надо же всё делать ручками и ножками, да ещё карандашом маркировать каждую коробочку, про дороговизну которых можно не говорить, а облако обходится на порядки дешевле.
Мы не ставим задачи разобраться в устройстве чужой инфосистемы, хотя наш IT-департамент, почитав про специфические подробности этой истории на профильных ресурсах, продемонстрировал неслыханные ранее обороты обсценной лексики...
Вся ценность логистической компании заключена в трёх “ящиках”:
- клиентская база
- журнал транзакций
- софт, управляющий текущими операциями
Утратить последний практически невозможно, только если имела место откровенная диверсия. Принимая во внимание, откуда родом отличившиеся хакеры, высока вероятность, что поддержкой ПО занимались их коллеги, которые и подготовили базу для атаки. Хотя откат на пару апдейтов назад скорее всего помог бы – частичная утрата функциональных новаций вряд ли будет настолько критичной.
Единственная нетривиальная задача заключается в поиске “закладок” в коде. Это можно было бы реализовать, если бы сами резервные копии ПО хранились не на сервере, где они могут быть легко удалены или повреждены, а в сейфе, даже совсем маленьком, на пару лент и флешки.
Причём для хранения исходных кодов и стриммерные ленты не нужны –разумные исходную версию записывают на одноразовую оптику, а последующие апдейты - на флешки.
С клиентской базой всё сложнее, но не фатально: при грамотной организации резервного копирования максимум, что можно потерять - это данные за последний день. Их несложно восстановить в ручном режиме, воспользовавшись логами как мобильных операторов, так и электронной почты, да и сами “потерявшиеся” помогут. Нанести какие-то существенные повреждения этим данным невозможно.
Масштаб клиентской базы понятен и её резервирование не требует колоссальных затрат. Наибольший риск заключается не в утрате, а в утечке персональных данных, за что законодательством предусмотрена ответственность вплоть до уголовной. Обработку и хранение персональных данных должен проверять некий госорган, по все видимости, он спал, не смотря на прецеденты.
Самая сложная и затратная задача заключается в хранении записей о транзакциях, в которые невозможно внести какие-либо зловредные изменения, но их утрата отправит компанию в каменный век – всё придется восстанавливать ручками.
При правильной организации процесса обеспечения безопасности данных, резервирование журналов транзакций должно выполняться не столько централизованно, сколько распределённо: каждый пункт выдачи должен быть оснащён одним стриммером, парой десятков лент (количество зависит от политики соотношения полных и инкрементных бекапов) и одним дата-сейфом.
Большинство пунктов выдачи того же СДЕКа это франчайзи, и для "материнской" компании не составило бы труда переложить на них эти расходы, включив в пакет самый простой дата-сейф размера "под стол".
Цена вопроса небольшая, а трудозатрат на каждый пункт выдачи в день, при самом дотошном исполнении всех необходимых процедур, не может быть больше одного человеко-часа. Хотя, при нормальных айтишниках всё можно на 95% загнать в фоновые задачи, и физическому сотруднику пункта выдачи осталась бы только процедура вставить ленту в стриммер утром, вытащить её вечером и убрать на ночь в сейф.
Судя по тому, что ничего из вышеописанного не делалось, все увидели, к чему приводит сочетание жадности и лени.
Как противостоять атакам
Для интересующихся тонкостями IT
Атака подобного типа осуществляется двумя путями:
- "Зловредное" ПО заносит инсайдер. Это может быть как собственный сотрудник, так и работающий на удалёнке фрилансер-разработчик. Бороться с этой категорией довольно сложно – со "своим" должна разбираться служба безопасности, тем более что камер наблюдения везде через край, если жадность и здесь себя не проявила.
- С удалённым разработчиком и поддержкой бороться (и контролировать их) несложно. Просто не оставлять открытыми каналы связи по окончании сеанса работы. Удивительная манера всех обленившихся держать постоянно открытым 22-й порт, рано или поздно приводит к появлению нежеланных гостей.
Второй путь подобных атак основан на электронной почте. Эти атаки осуществляются веерно и постоянно. Предохраняться надо на уровне организации внутренней системы передачи сообщений. Надо помнить, что каналом распространения вирусов шифровальщиков являются в основном файлы word и excel. В "плоский" текст или базу данных (нормально структурированную) внести какие-то незаметные изменения, содержащие посторонний исполняемый код просто невозможно.
Вся информация, которая циркулирует внутри компаний с распределённой структурой, должна исключать такие документы (Микрософт это вообще зло) и ограничиваться либо просто текстом, либо ссылками на записи в БД. А у серверных решений, при должном и довольно несложном уровне администрирования, нет больших дырок в безопасности.
P.S. На днях ещё и сеть супермаркетов "Верный" завалилась c точно таким же диагнозом - уничтожение резервных копий.
Еще полезно знать:
Пропажа данных из облака – что делать
Где хранить твердотельные накопители
Надежно и бюджетно для ВСЕХ
Как не потерять данные
Как защитить сервер от вандалов
________
Понравился материал? Поставьте лайк - нам не всё равно!
Подписывайтесь на наш Дзен-канал, группу Вконтакте и канал Telegram, где Вы сможете найти оригинальную информацию из мира сейфов!
