Вымогатели-2022: операционная непрерывность важнее антивируса

Первая половина 2022 года отметилась заметным ростом атак программ-вымогателей на компании среднего и крупного бизнеса. Группа LockBit и её партнёры по партнёрской схеме атаковали организации в разных секторах, включая промышленность, логистику и услуги. Среднее время простоя после успешной атаки - несколько недель. Размер выкупа - от сотен тысяч до миллионов долларов.

Я не буду обсуждать технические детали вредоносных программ. Это не тот разговор, который нужен основателям и директорам. Нужен другой разговор: что делать, если это произошло с вашей компанией?

Правильный ответ - вы должны знать это до инцидента, а не во время него.

Почему антивирус - не ответ на этот вопрос

Современные атаки вымогателей - это не автоматический вирус, который поймал случайный файл. Это операция: злоумышленники проникают в сеть, изучают её, получают привилегии, и только потом запускают шифрование. Этот процесс занимает от нескольких дней до нескольких месяцев.

К моменту, когда файлы зашифрованы, антивирус уже не помогает. Его задача была остановить проникновение, но в большинстве атак используются легитимные инструменты администрирования, которые антивирус не блокирует.

Вопрос для директора не "как не допустить проникновения". Это важно, но не достаточно. Вопрос: "что мы будем делать, если всё равно зашифровали?"

Три уровня готовности

Готовность к атаке вымогателей - это не одна мера, а несколько слоёв.

Первый слой - резервные копии, которые нельзя зашифровать вместе с основными данными. Это означает физическую или логическую изоляцию: резервные копии на носителях, не подключённых к основной сети, или в облачном хранилище с неизменяемостью (immutable storage). Бекапы, подключённые к той же инфраструктуре, шифруются вместе с ней.

Второй слой - проверенные процедуры восстановления. Резервная копия существует, но никто не проверял, работает ли восстановление из неё. Это критическая ошибка. Восстановление должно тестироваться регулярно - не теоретически, а практически, с измерением реального времени.

Третий слой - план коммуникации и принятия решений. Кто объявляет об инциденте? Кто решает, платить ли выкуп? Кто общается с клиентами и регуляторами? Эти решения не должны приниматься впервые в три часа ночи под давлением счётчика, который обнуляет ключ дешифровки.

Что значит "операционная непрерывность"

Операционная непрерывность - это способность компании продолжать работу при частичном или полном отказе IT-инфраструктуры. Это более широкая задача, чем защита от вымогателей, но атаки вымогателей - хорошая проверка, готовы ли вы к ней.

Конкретные вопросы для самооценки:

1. Если завтра все ваши серверы заблокированы - что из критически важных операций вы можете продолжить?
2. Каков реальный RTO (время восстановления) для ваших ключевых систем - и вы измеряли его на практике?
3. Где хранятся инструкции по восстановлению - и они доступны, если инфраструктура недоступна?
4. Знает ли ваша команда, куда звонить и что делать в первые 30 минут инцидента?
5. Проходили ли вы учения по киберинциденту хотя бы раз за последние два года?

Практический шаг на эту неделю

Если ни один из этих вопросов не имеет уверенного ответа, начните с самого простого: проверьте, можно ли восстановить данные из последней резервной копии. Не "существует ли резервная копия", а "может ли кто-то из команды восстановить из неё данные прямо сейчас".

Это займёт несколько часов и покажет больше, чем любой аудит на бумаге.