NotPetya: кибератака, которая превратилась в чистый операционный убыток

27 июня 2017 года компании по всему миру начали сообщать о массовом заражении. Вирус, который первоначально приняли за новую версию программы-вымогателя Petya, оказался принципиально другим. Позже его назовут NotPetya.

Внешне NotPetya был похож на ransomware: экран с требованием выкупа, зашифрованные диски. Но это было камуфляжем. Код не был предназначен для восстановления данных после оплаты. Его целью было уничтожение данных и блокировка систем. Постоянная, необратимая.

Среди пострадавших - крупнейшие транснациональные компании: Maersk, Merck, FedEx, Reckitt Benckiser, Mondelez. Оценки ущерба для одного только Maersk - около 300 миллионов долларов. Совокупные потери от атаки исчисляются миллиардами.

Почему это не обычный инцидент безопасности

Традиционное восприятие кибератаки: кто-то украл данные, нужно провести расследование, уведомить регуляторов, усилить защиту. Неприятно, затратно, но управляемо.

NotPetya показал другой сценарий. Компании не потеряли данные в смысле утечки. Они потеряли операционную способность работать.

Maersk управлял примерно 76 портовыми терминалами по всему миру. Когда системы вышли из строя, операции в портах остановились. Не потому что данные украли - а потому что системы, которые управляли перемещением контейнеров, просто перестали работать. Компания переустанавливала ПО на тысячах машин в течение нескольких недель.

Это не кражи и не утечка. Это остановка бизнеса.

Как вирус распространялся

NotPetya использовал несколько векторов заражения одновременно. В частности, он распространялся через украинское бухгалтерское ПО MeDoc - многие компании, работавшие с Украиной, получили заражение через автоматическое обновление доверенного приложения.

После попадания в сеть вирус использовал те же инструменты, что и WannaCry - эксплойт EternalBlue для распространения по локальной сети. Там, где патч не был установлен и сегментация сети не было - распространение было стремительным.

Это важный урок: заражение пришло не через фишинговое письмо на подозрительный адрес. Оно пришло через обновление программы, которой доверяли.

Что это означает для управления рисками

Киберинциденты перестали быть только ИТ-риском. Они стали операционным риском первого порядка.

Для совета директоров и собственников это означает несколько вещей.

Резервное копирование - это не просто ИТ-задача. После WannaCry об этом говорили. NotPetya подтвердил: критически важно, чтобы резервные копии существовали в изолированном виде - недоступном для вируса, который захватил основную сеть. Резервные копии, подключённые к той же сети, которая заражена, не помогут.

Сегментирование сети определяет масштаб катастрофы. Компании с жёсткой сегментацией пострадали в разы меньше, чем те, у кого всё было в одной плоской сети. Это организационное решение, не техническое - принимается на уровне архитектуры и поддерживается политиками.

Цепочка поставок - это ваша поверхность атаки. Заражение через обновление стороннего ПО - не экзотический вектор. Это реальная угроза для любой компании, которая использует сторонние системы с автоматическими обновлениями. Вопрос "кому мы доверяем обновляться автоматически и что произойдёт, если это ПО окажется скомпрометированным" - это стратегический вопрос.

Проверка готовности

Три вопроса, которые я рекомендую задать:

1. Если все наши основные системы станут недоступны одновременно на неделю - что произойдёт с операционной деятельностью? Есть ли план действий?

2. Наши резервные копии изолированы от основной сети? Можем ли мы восстановиться, если основная сеть заражена?

3. Какое стороннее ПО в нашей сети обновляется автоматически? Знаем ли мы об этом, и есть ли у нас процесс контроля этих обновлений?

NotPetya был атакой с конкретным политическим контекстом. Но инструменты и методы, которые он использовал, доступны и без политического контекста. Вывод, который из него следует, не про геополитику - он про то, что операционная зависимость от ИТ-инфраструктуры без плана восстановления - это принятый риск, который часто не осознаётся до тех пор, пока не проявляется.