Хакери атакують інфраструктуру країни. Що робити?
К сожалению, во многих государственных органах и даже в коммерческих компаниях отсутствует чёткое понимание, что такое "резервная копия".
Как правило, администраторы или сотрудники по безопасности считают, что если копируется одна-две самых важных базы, значит резервная копия уже есть и все хорошо.
Когда я инструктирую своих сотрудников, то говорю им: представь себе что ты утром приходишь на работу, а вся техника в помещении сгорела. Молния ударила или еще что-нибудь произошло. И резервная копия — это тот объем информации, который нужен, чтобы в течении суток полноценно возобновить работу всего предприятия или отдельно взятого подразделения, человека и так далее.
Естественно, важна частота резервного копирования. Также резервная копия должна еще храниться за многие периоды.
Если информация была модифицирована вредоносными программами хакеров и потом модифицированная версия попала в резервную копию, в которой хранится только одна последняя версия данных, то беда.
Необходимо чтобы было множество точек в резервной копии. День, два дня, месяц, полгода. Чтобы всегда можно было откатиться в какое-то предыдущее состояние и скачать оттуда данные.
Еще надо учитывать, как у нас строят IT-системы в государственных учреждениях. Обычно принцип финансирования такой: деньги выделяют на покупку техники и серверов в объеме необходимом для организации процесса.
Никто не думает о том, что оборудование необходимо резервировать, а для этого необходимы резервные сервера, которые будут хранить резервные копии информации. На это, как правило, бюджеты не выделяют.
Теперь, что касается потенциально зараженных объектов критической инфраструктуры. Поскольку мы находимся в активной фазе срабатывания вирусов, давайте исходить из того, что у нас в стране уже есть "зараженные" объекты. Когда они "выстрелят", через день, месяц или полгода, мы пока не знаем. Но рано или поздно это случится.
В первую очередь, мы должны изолировать все критически важные объекты от возможности удаленного управления. В обоих случаях, о которых сейчас известно — BlackEnergy и Госказначейство — атакующие сначала заразили один компьютер. Потом с его помощью, путем подачи команд вручную "троянской" программе, злоумышленники поражали всю остальную сеть.
Хакеры собирали информацию о том, какое программное обеспечение используется, как работает сеть, какие базы данных существуют и, узнав всю информацию, настроили троянскую программу так, чтобы в какой-то конкретный день сработала деструктивная функция и вывела всю систему из строя.
Речь идет о том, что такая программа не является автономной. И если мы на данном этапе сможем отрезать все критически важные объекты от возможности внешнего контроля, фактически отрезать их от интернета, то таким образом сможем снизить вероятность проведения таких вот кибер-диверсий.
Даже если какие-то объекты и заражены в данный момент, то они просто останутся без контроля хакерами.
После этого необходимо принимать меры по анализу существующих систем, на базе информации об уже зараженных и выведенных из строя систем, обновлять инфраструктуру, системы информационной безопасности.
Есть очень важный момент — если мы имеем зараженный объект и антивирусные программы его не обнаруживают, то даже элементарная смена антивирусных решений, или использование ещё одного решения в дополнение к тем, которые используются, значительно повышают вероятность обнаружения такого заражения.
Так, злоумышленники с лёгкостью могут сделать вирус под конкретный антивирус, но очень сложно сделать вирус, который не обнаружат все антивирусные программы.
Ещё одна огромная проблема — неподготовленность госчиновников в вопросах информационной безопасности. Сейчас это проблема номер один. Самое слабое место в любой системе — человек. Люди на местах получили письмо, личное или на рабочую почту, сопровождающий текст подтолкнул открыть этот якобы документ, а на самом деле вредоносную программу.
Мы имеем огромное количество неподготовленных и абсолютно неосведомленных в области информационной безопасности чиновников, работающих на местах в режимных объектах. И сколько бы не было решений с защитой, если человек хочет обойти систему безопасности, он ее обойдет обязательно.
Мы также должны отдавать себе отчет, что злоумышленники бьют по инфраструктурным объектам Украины, которые затрагивают многих людей — энергетика, финансы, транспорт, связь.
Очевидно, что осуществляются атаки на банковскую систему. Коммерческие банки сами решают эту проблему, не вынося сор на улицу. Но если какой-нибудь системный банк будет выведен из строя, это вызовет значительную панику.
Хакеры бьют по транспортной инфраструктуре. Я сам стал жертвой атаки на сайт "Укрзалізниці": не смог купить билеты online. Пусть это мелочь, но это уже затронуло рядовых граждан. И если бы атака продлилась не один день, а до новогодних праздников?
Крайне важно отдавать себе отчет о последствиях. Если атакующей стороне удастся "положить" мобильную связь, представьте, скольких людей это коснётся. На мобильной связи построено все, даже полиция пользуется ею.