Слабое звено в ржавой цепи

Бизнес

Бизнес компании практически парализован из-за зловреда-шифровальщика. Среди пострадавших документов — договоры с заказчиками, бухгалтерская документация и, что самое неприятное, годовой финансовый отчет. В принципе большую часть данных можно восстановить, но на это потребуются время и ресурсы. Руководителю IT-подразделения поручено разобраться в ситуации, решить проблему и доложить об итогах совету директоров. По большому счету от его доклада зависит, какие меры будут приняты и кто будет признан ответственным за случившееся.

weaklink_main_sysadmin

Строго говоря, подробного расследования не потребуется. Схема заражения банальна — практически все сотрудники компании, чьи адреса светились в открытых источниках, получили письмо с заголовком «Срочно! В бухгалтерию!». В теле письма были угрозы внушительными штрафами за то, что налоговой не были своевременно предоставлены некие документы, а в приложении был якобы список этих документов. Разумеется, несколько добрых душ переслали письма главному бухгалтеру, а тот ознакомился с содержимым списка.

На компьютере главного бухгалтера стояло защитное решение, однако, как оказалось, часть его функций была деактивирована. По прямому приказу генерального директора бухгалтеру предоставили права локального администратора, которыми он и воспользовался, чтобы отключить необязательные, на его взгляд, подсистемы.

Теперь злоумышленники требуют выкуп. Сумма не астрономическая. Уплата выкупа не разорит компанию. Но, во-первых, никто не дает гарантий, что это поможет, а во-вторых, очень не хочется идти на поводу у преступников. Плюс руководитель IT-подразделения не без оснований подозревает, что эту сумму вычтут из бюджета его отдела.

Что важнее — ответить на вопрос «Кто виноват?» или «Что делать?»

По сути, перед IT-руководителем стоит выбор: объяснить произошедшее недостатками действующей системы безопасности (антивирус был включен, но не предотвратил шифрования), признать собственную некомпетентность (как ни смотри, он отвечает за сохранность информации) или же возложить вину на других сотрудников.

Иными словами, варианты такие:

  • доложить о том, что заражение произошло из-за отключения подсистем защитного решения главбухом;
  • рассказать об общей невнимательности и неосведомленности сотрудников, которые пересылали и открывали письма;
  • признать собственную ошибку и предложить реорганизацию политик безопасности;
  • воспользоваться ситуацией как аргументом для выбивания бюджета на более совершенные защитные решения.

Попутно он должен выдать рекомендацию на самый животрепещущий вопрос — платить или не платить выкуп.

На первый взгляд

Не нужно быть экспертом, чтобы заметить, что вне зависимости от того, кого признают виновным, практически все сотрудники компании не имеют достаточных практических навыков для того, чтобы противодействовать современным угрозам. На самом деле такая ситуация не уникальна — по нашим наблюдениям, в современных компаниях, не имеющих прямого отношения к рынку кибербезопасности, на такого рода уловки попадаются до 30% сотрудников. Даже если IT-служба регулярно напоминает им о такой опасности.

Профиль компании
Название: ЗАО «Нейтрино»
Размер: 290 сотрудников
Сфера деятельности: Поставки электронных компонентов
Компания была создана около 15 лет назад как локальный представитель крупного международного производителя комплектующих, однако уже через шесть лет стала комплексным поставщиком электронных компонентов. За время своего существования компания стала постоянным партнером многих организаций, как коммерческих, так и государственных. В том числе сотрудничает с представителями оборонно-промышленного комплекса.

Поэтому, по сути, им нужны не столько «лекции для информирования», сколько курсы, которые смогут привить им практические навыки. После таких курсов доля «попавшихся» обычно не превышает 2%, то есть число инцидентов сокращается на 90–95%. Причем на приобретение таких навыков уходит не так много времени. При условии, что организаторы знают, как построить процесс.

И еще один момент. Рассылка зловреда производилась по всем сотрудникам компании. Как правило, для массовых рассылок используются адресные базы спамеров. Маловероятно, что адреса множества сотрудников компании случайно могли оказаться в одном списке. Значит, это либо утечка базы, либо свидетельство того, что адреса кем-то отбирались целенаправленно. А следовательно, имеет смысл проверить, не является ли эта история с выкупом отвлекающим маневром, маскирующим более масштабную атаку.

Комментарии экспертов:

Грег Дэбни, аналитик
Разумеется, сотрудники компании, которые пересылают письма такого рода, поступают недальновидно. Налоговая — это не та организация, которая будет писать абы кому «передайте в бухгалтерию». Но на самом деле они должны быть осведомлены о том, что такие письма прийти могут. Каждый сотрудник должен знать об актуальных угрозах, и IT-служба компании должна следить за тем, чтобы все эту опасность понимали. Так что, мне кажется, правильный вариант — предложить реорганизацию. Взять на себя обязательства периодически проводить внутренние лекции по информационной безопасности и рассказывать тем же бухгалтерам о свежих актуальных угрозах.

Что касается выкупа, нужно тщательно проанализировать ситуацию с точки зрения возможных потерь. Если данные можно восстановить и ущерб при этом будет умеренный, то платить не надо. Но если из-за потери документов компания не сможет выполнить взятые на себя обязательства, подведет партнеров или заказчиков, то тут следует помнить и о возможных репутационных потерях. Возможно, уплата выкупа — единственный выход.

Юрий Миронов, системный администратор
Нельзя возлагать всю вину на IT-специалистов. По-хорошему, если есть человек, с которого будут спрашивать за любой ИБ-инцидент, он должен иметь и соответствующие полномочия. А в ситуации, когда какие-то сотрудники могут самовольно изменять настройки защитных продуктов, без ведома и контроля айтишников, с них и спроса никакого быть не может. Если есть реальная бизнес-необходимость для выделения таких прав, то либо сотрудник должен подписывать документ о том, что он принимает на себя ответственность за свои действия, либо нужно закладывать риски на его ошибку. Но по моему опыту чаще всего такой необходимости нет.

Что касается выкупа, то я убежден, что платить нельзя. Во-первых, далеко не каждый раз хакеры присылают ключ, даже получив деньги. Во-вторых, данные можно восстановить. Да, в ущерб чему-то, но можно. Ну и в-третьих, если мы платим деньги вымогателям, то мы спонсируем дальнейшие кампании по рассылке зловредов. Я — не рекомендую.

>Слава Борилин, security education program manager, «Лаборатория Касперского»
Тут бессмысленно говорить о чьей-то конкретной вине. В данной ситуации ни один из участников драмы не прав. Начиная с тех, кто пересылал письмо, и заканчивая генеральным директором. В современных условиях информационная безопасность — это тема, которая касается всех, от айтишников до уборщиц.

Однако сотрудники IT-отдела далеко не всегда могут справиться с задачей информирования. Им нужно заниматься своими непосредственными задачами. А коммуникация требует специальных навыков и специального опыта. Глупо предполагать, что если пару раз в год собирать людей в комнате и рассказывать им, как страшно жить, то они научатся быть осторожными в Интернете. Плюс нельзя со всеми говорить на одном языке.

Мы считаем, что этим должны заниматься профессионалы. Которые знают подходы к разным группам сотрудников и умеют не просто рассказывать, а обучать. У которых есть свои программы для каждого из уровней организационной структуры компании.

Ну а по поводу выкупа — для начала следует выяснить, так ли безнадежна ситуация с расшифровкой. Некоторые шифровальщики, хотя теоретически и имели «надежные, невзламываемые ключи», все-таки были расшифрованы. И в открытом доступе есть бесплатные утилиты, которые могут помочь. Начните их поиск вот с этого сайта. Если же вам не повезло, то надо смотреть по ситуации. Вообще мы, как компания, не рекомендуем платить в любом случае.