Ransomware в 2016-м: это уже операционная угроза, а не ИТ-инцидент
Волна ransomware-атак в начале 2016 года показывает, что шифровальщики стали проблемой непрерывности бизнеса, а не только безопасности.
В феврале 2016 года Hollywood Presbyterian Medical Center в Лос-Анджелесе заплатил выкуп злоумышленникам в размере около 17 000 долларов после того, как ransomware заблокировал доступ к системам больницы на несколько дней. Медицинские карты были недоступны, часть операций перенесена, персонал переходил на бумажные процедуры. Это был не первый подобный случай, но он получил широкое освещение и изменил разговор об угрозе.
Шифровальщики перестали быть проблемой отдельных пользователей. Они стали операционной угрозой для организаций.
Что изменилось
Ransomware существует давно, но последние год-два отмечены несколькими изменениями, которые сделали его значительно более опасным для бизнеса.
Первое - монетизация через Bitcoin сделала получение выкупа относительно безопасным для злоумышленников и затруднила отслеживание транзакций.
Второе - атаки стали более целенаправленными. Если раньше шифровальщики распространялись по принципу массовых рассылок и шифровали всё подряд, то сейчас часть атак проводится вручную: злоумышленники сначала изучают инфраструктуру, находят резервные копии, шифруют и их тоже - а только потом предъявляют требования.
Третье - суммы выкупа выросли. Там, где раньше требовали несколько сотен долларов, теперь требуют десятки тысяч и более - особенно когда цель очевидно состоятельна.
Почему это уже не только ИТ-проблема
Когда зашифрованы рабочие файлы одного сотрудника - это ИТ-инцидент. Когда зашифровано всё, включая резервные копии, а организация не может работать несколько дней - это кризис непрерывности бизнеса.
Разница принципиальная. ИТ-инцидент решается технической командой. Кризис непрерывности требует решений на уровне руководства: платить или не платить, как сообщать клиентам и регуляторам, как работать в режиме деградированных процессов, когда ожидать восстановления.
Все эти решения нельзя принимать в момент инцидента первый раз. К ним нужно быть готовыми заранее.
Что конкретно нужно проверить
Резервные копии - первый и главный вопрос. Если резервные копии доступны из той же сети, что и основные системы, шифровальщик доберётся и до них. Резервные копии должны быть изолированы - в идеале часть из них офлайн или на изолированном носителе.
Второй вопрос - проверка восстановления. Компания может делать резервные копии годами и обнаружить в момент инцидента, что восстановление работает не так, как ожидалось, или что критичные данные в копии не попадали. Тест восстановления - обязательная практика, а не разовое мероприятие.
Третий вопрос - сегментация сети. Если все рабочие станции и серверы находятся в одном сегменте, заражение одной машины может быстро распространиться. Сегментация ограничивает радиус поражения.
Четвёртый - процедура принятия решений при инциденте. Кто звонит кому, кто принимает решение о выплате выкупа (и это должно быть взвешенное решение, а не паническое), кто общается с прессой и клиентами.
Минимальный набор действий
Если ни один из перечисленных вопросов не был задан вашей ИТ-команде в последние шесть месяцев - это хороший момент начать. Ransomware в 2016 году - это не гипотетический риск, это происходит с реальными организациями каждую неделю.
Вопрос не в том, станете ли вы целью. Вопрос в том, что произойдёт с вашим бизнесом, если станете.