В четверг Служба безопасности предупредила о возможной масштабной кибератаке на государственные структуры и частные компании, которая может случиться в День защитника Украины 14 октября.
Злоумышленники уже не первый раз выбирают для кибератак праздничные дни, когда деловая активность низкая, а у частных компаний не всегда есть возможности оперативно реагировать на угрозы.
Читай также: СБУ предупреждает о возможной масштабной кибератаке
13 октября в ходе круглого стола LIGA.net представители СБУ, Киберполиции, бизнеса, а также юристы и IT-эксперты обсудили, насколько масштабной может быть новая кибератака, а также как защититься от угроз, которые становятся частью корпоративной практики
Будет ли новая кибератака и кто в зоне риска
Александр Кардаков, председатель наблюдательного совета компании Октава Капитал:
Я считаю, что анонсированной кибератаки скорее всего не будет или она будет очень мелкой. Кибератака сегодня глобально ничего не даст злоумышленникам. Она не может повлиять ни на сдачу месячной отчетности, ни на бюджет в конце года, ни на отключение электроэнергии, когда холода. Сейчас нет тех стечений обстоятельств, которые были бы благоприятными для проведения крупной атаки.
Тем не менее, любые тренировки гражданской обороны - это очень полезно. Во многих организациях нет ни полномочий, ни навыков, для того чтобы бороться с кибератаками
По моим оценкам, если раньше кибербезопасностью занимались примерно 10% украинских компаний, то сейчас их стало в 2 раза больше. Даже те бюджеты, которые были выделены еще в прошлом году, до сих пор, в большинстве случаев, не использованы. К осени системы большинства организаций, которые пострадали в прошлом году, не будут готовы. Это ответственность большинства госорганизаций.
Александр Гринчак, первый заместитель руководителя департамента киберполиции НПУ:
Что касается объектов в зоне риска, то это мобильные операторы, провайдеры, финансовые учреждения, а также объекты стратегической инфраструктуры, СМИ.
Читай также: НБУ предупредил о возможной вирусной атаке
При наличии атаки или попытке атаки стоит связаться с киберполицией. У нас есть своя мобильная лаборатория, наши специалисты выезжают со своими “чемоданчиками“ и в течение двух часов могут посмотреть технику и выявить след злоумышленников. Я бы рекомендовал не скрывать информацию о случаях кибератак и сообщать о них в Киберполицию. Хочу подчеркнуть, что мы ни в коем случае не будем изымать зараженную технику.
Евгений Яковенко, заместитель руководителя Ситуационного центра Службы безопасности Украины:
Ключевая роль в противостоянии атакам - это обмен информацией. Если у компании-разработчика есть какая-то информация, что вы подверглись атаке, не надо ее скрывать или утаивать. У нас есть большой опыт и мы можем помочь.
Для обмена информацией у нас есть специальное программное обеспечение - так называемая MISP (Malware Information Sharing Platform). Мы можем подключать туда как госорганы, так и коммерческий сектор для обмена информацией про готовящиеся или случившиеся кибератаки. В открытом доступе такой информации нет. Это платформа онлайн, где вы можете разместить информацию об аномалиях своей сети (мы ее проверяем и даем ответ) или получить доступ к информации о готовящихся атаках или скомпрометированных системах.
Какие рекомендации по защите и профилактике
Алексей Швачка, архитектор Департамента информационных систем IT Integrator:
Каналом доставки вредоносных программ можно считать практически любой канал, по которому можно получить, что-либо снаружи. Для кого-то это может быть фишинговое письмо по электронной почте. В любой компании есть группа риска, это, например, главный бухгалтер или просто сотрудники бухгалтерии, HR, генеральный директор. Те, которые не имеют возможности не открыть письмо от неизвестного отправителя. Для кого-то это может быть подброшенная в курилку флешка. Есть множество других способов. В зависимости от каждой организации они будут варьироваться.
Игорь Козаченко, директор по развитию компании ROMAD, экс-начальник центра киберзащиты Госспецсвязи
Аудит государственных структур может проводить Госспецсвязь, Центр киберзащиты. Если говорить о коммерческих структурах, у нас много компаний лицензиатов Госспецсвязи, которые тоже могут проводить аудит информационной безопасности.
Необходимо создание отраслевых CERT’ов (компьютерных групп реагирования на чрезвычайные ситуации). Хороший пример - Израиль. Там каждый отраслевой CERT имеет конкретное направление - энергетика, финансы, спецслужбы, министерство обороны. Сверху стоит государственный CERT, который управляет и помогает справиться с киберпреступлениями.
Читай также: В Украине обнаружен опасный вирус BankBot
Самое главное - это приватно-государственно партнерство. В 2014 году после Революции Достоинства мы все сели за круглым столом с интернет-провайдерами и приняли решение, что будем помогать друг другу. Мы тогда избежали очень многих атак, потому что взаимодействие было не официальным письмом, которое рассматривается месяц, а онлайн.
Сергей Прокопенко, лаборатория компьютерной криминалистики CyberLab
У нас было два расследования, в которых не использовалось вредоносное программное обеспечение. Атака стартовала с того, что некто просто получал напрямую доступ к почте, шел по цепочке аккаунтов и достигал своих целей.
Надо информировать людей, что мир меняется, все больше информации о них неконтролируемо распространяется в интернете, значит, нужно четко для себя строить стратегию, как жить в интернете, как менять пароли и так далее.
Александр Артеменко, менеджер по развитию бизнеса компании ROMAD:
Для коммерческих структур, для бизнеса существует стандартная практика аудитов информационной безопасности. По сути, это легальная попытка взлома вашей информационной системы. Такие аудиты есть смысл проводить регулярно.
Также коммерческим компаниям есть большой смысл наладить взаимодействие с CERT и центрами антивирусной защиты информации.
Рекомендации:
1. Помнить о многовекторности атак. Атакующий ставит перед собой цель. Для нее выбирается оптимальный на его взгляд вектор атаки. Если цель не достигнута, вектор динамически меняется. Это нужно учитывать как при построении защиты, так и при оценке ее состояния.
2. Делать акцент на комплексности. Киберзащита - одна из частей комплексной защиты информационных ресурсов. Например, инженерные системы - климат в серверной, источники бесперебойного питания, структурированные кабельные системы - это такой же вектор атаки. Если в серверной неправильно рассчитаны инженерные системы и охлаждение не справляется, сервера перегреваются и отключаются. Это классическая DOS-атака (отказ в обслуживании). Без всякого взлома, без злоумышленников.
3. Около 80% взломов происходит изнутри. Это необязательно злоумышленные взломы. Нужно донести до персонала, что нельзя включать посторонние флешки, сообщать посторонним пароли и другие базовые моменты. Надо обновлять программное обеспечение, базы антивируса. Уже это позволит сократить ущерб.
Дмитрий Глазунов, директор по управлению продуктами компании ЛИГА:ЗАКОН
Мы как информационный бизнес взаимодействуем с тысячами предприятий. После вчерашнего заявления СБУ мы отослали всем нашим пользователям рекомендации, чтобы они погасили свое “железо“, особенно под управлением Windows на период праздничных дней. Решили сделать так, потому что конкретных рекомендаций каждому для каждого рабочего места сделать не можем.
Читай также: Комитет ВР одобрил отказ от штрафов в связи с кибератакой
Сами мы таккже выключаем наши сервера обновления на эти выходные. У нас есть более продвинутые технологии, пользователь может воспользоваться нашим продуктом в облаке. Но есть офлайновая часть, которая не охвачена системами безопасности - и не каждая компания может себе позволить выделить кадры и деньги на построение этих систем.
Сергей Лукьяненко, IT-директор компании ЛИГА:ЗАКОН
Наступает как постантивирусная, так и постофлайновая эпоха. Желательно переходить на системы, которые находятся в онлайне, на облачные сервисы. Это не панацея, их тоже возможно сломать. Но скорость восстановления и урон от атак значительно ниже, чем на конечном компьютере.