Сбои в работе приложения и сайта СДЭК начались в воскресенье, 26 мая. Клиенты столкнулись с невозможностью получить или отправить посылки в пунктах выдачи заказов. Компания разработала план ручной обработки отправлений, которые уже готовы к выдаче, а оценка последствий сбоя будет проведена после завершения расследования.
Ответственность за сбой взяла на себя хакерская группа Head Mare. Злоумышленники утверждают, что зашифровали данные компании, а резервные копии были испорчены. Основной удар пришёлся на IT-ядро компании и её данные. Они также не забыли передать дружеский "привет" российской компании по управлению цифровыми рисками Bi.Zone, которая консультирует СДЭК по вопросам кибербезопасности. Представители СДЭК и Bi.Zone отказались комментировать эти заявления, а в СДЭК объяснили сбой проблемами с вычислительными мощностями. Но, поскольку быстро восстановить работу не удалось, можно сделать вывод, что дублирующий контур с резервным копированием не был настроен должным образом, чтобы предотвратить атаку шифровальщика.
Согласно данным из открытых источников, причиной сбоя могла стать хакерская атака с использованием вируса-шифровальщика. В 90% случаев такие атаки начинаются с рассылки электронных писем. Сотрудники, открывающие вредоносные файлы, предоставляют хакерам доступ к внутренней сети.
Подготовка к шифрованию может занимать от полугода и более. Злоумышленники предварительно ищут и портят резервные копии, а также выкачивают данные для усиления давления на компанию. Момент шифрования обычно происходит ночью, предпочтительно в выходные. После этого следует требование выкупа и угрозы утечки данных пользователей. Если актуальные резервные копии отсутствуют, восстановление данных может быть затруднено. Проблема усугубляется тем, что злоумышленники могут продолжать находиться во внутренней сети и мешать восстановительным работам. Даже после восстановления системы они могут вернуться через скрытые уязвимости (backdoors) и повторно зашифровать данные.
По состоянию на первый квартал текущего года у СДЭК было более 9,4 млн активных клиентов и 8,6 тыс. пунктов выдачи заказов. Через сервис ежедневно отправлялось более 400 тыс. посылок. Клиенты жалуются, что в посылках находились паспорта, свидетельства о рождении и другие важные документы, отсутствие которых может привести к срыву поездки или сделки. Один из клиентов сообщил, что фабрика, с которой он сотрудничает, не может получить отправленную упаковку для товаров, из-за чего их невозможно продать. Также были жалобы на невозможность получить заказанные лекарства, платье для выпускного, растение, которое может погибнуть из-за простоя. Представители СДЭК в своих ответах лишь обещают в скором времени решить возникшую проблему.
По мнению экспертов, трёхдневный простой сервисов компании СДЭК может обойтись ей в сумму от 300 до 400 миллионов рублей без учёта упущенной выгоды. Если же учесть репутационные издержки и проблемы клиентов, то общий ущерб может достичь 1 миллиарда рублей. Если предположить, что приём заказов будет приостановлен на срок до 15 дней, а затем операционная деятельность будет восстановлена, то ущерб СДЭК может составить от 500 миллионов до 1 миллиарда рублей.
Ситуация создаёт серьёзные репутационные и правовые риски для СДЭК. Прежде всего, остановка деятельности и выдачи заказов является нарушением договора на оказание почтовых услуг, что уже служит потенциальным основанием для предъявления исков со стороны клиентов. Кроме того, из-за задержек в передаче посылок некоторые клиенты могли понести реальные убытки, и они смогут требовать их компенсации. У клиентов будет возможность потребовать как уплаты штрафов за нарушение сроков доставки, предусмотренных регламентом оказания услуг или заключённым договором, так и возмещения причинённых убытков в случае, если сбой не удастся оперативно устранить.
Для компании Bi.Zone, которая консультирует СДЭК по вопросам кибербезопасности, каких-либо материальных рисков от инцидента эксперты не прогнозируют. В силу специфики информационной безопасности определить их вину крайне сложно. Страхование киберрисков сегодня является редким явлением в России, но по мере роста осведомлённости и повышения общего уровня культуры кибербезопасности такой вид страхования может стать нормой.
