Атаки на больницы в пандемию: урок для любого директора по ИБ
Осенью 2020 года несколько европейских больниц подверглись атакам ransomware в разгар второй волны COVID-19. Что этот паттерн говорит об операционных рисках.
В октябре 2020 года несколько больниц в Германии и других европейских странах столкнулись с атаками программ-вымогателей. В одном случае больница в Дюссельдорфе была вынуждена перенаправить машины скорой помощи в другие учреждения из-за отказа систем. Это привело к гибели пациента - первой официально задокументированной смерти, напрямую связанной с кибератакой.
Атаки на медицинские учреждения во время пандемии - это не случайность. Это расчёт. Больница в разгар COVID-вспышки находится под максимальным давлением, у неё минимум времени на реакцию, и готовность заплатить выкуп выше, чем в обычное время.
Это важно понять не только медицинским учреждениям.
Что здесь общего с вашей организацией
Паттерн атаки следующий: злоумышленники выбирают момент максимальной нагрузки на жертву. Компании в кризисе, организации в период слияния, бизнесы в высокий сезон - все они в этот момент менее внимательны к сигналам ИБ, у них меньше ресурсов на реакцию, и цена остановки выше.
Если вы прошли через быстрый переход на удалённую работу весной, расширили периметр, наняли подрядчиков с доступом к системам - вы, вероятно, сделали это в условиях высокой нагрузки, без полного аудита того, что открылось.
Почему ransomware работает именно сейчас
Три вещи сошлись в 2020 году:
Расширенный периметр. Удалёнка создала новые точки входа - домашние сети, личные устройства, спешно настроенные VPN. Многие из них не прошли через нормальный security review.
Криптовалютные выплаты стали нормой. Механизм выплаты выкупа - анонимный, трансграничный, сложно отслеживаемый - работает надёжно. Это снизило риски для атакующих и повысило частоту атак.
Операционное давление. Компании и учреждения работают в режиме постоянного кризиса с марта. Усталость персонала - это реальный фактор уязвимости.
Что стоит сделать независимо от размера компании
Ransomware - это не проблема только крупных организаций. Небольшие компании атакуют с той же частотой, просто это не попадает в новости.
Несколько конкретных шагов, которые снижают риск:
Резервные копии в изолированном контуре. Основной вектор ransomware - зашифровать не только данные, но и бэкапы. Бэкапы, подключённые к той же сети, уязвимы. Нужны копии, физически или логически изолированные.
Сегментация сети. Попадание в одну часть сети не должно автоматически давать доступ ко всему. Если у вас нет сегментации - это первое, о чём стоит поговорить с ИТ-командой.
Обучение распознаванию фишинга. Большинство ransomware-атак начинается с фишинга. Один клик одного сотрудника. Обучение не устраняет риск полностью, но сдвигает его.
План реагирования на инцидент. Не в момент атаки надо выяснять, кто принимает решение об отключении систем. Это должно быть записано.
Атаки в период кризиса - это не новый феномен. Но 2020 год дал нам много конкретных примеров того, как это выглядит в реальности. Ими стоит пользоваться.