«Масштаб бедствий от WannaCry в мире показателен. Эту атаку точно нельзя назвать рядовой. Если это тренд, то WannaCry – только "цветочек", тогда как "ягодки" могут ждать впереди»

Илья Кашпаров, директор по бизнес-администрированию группы «Астерос»

1. Бизнес «Астерос» не пострадал – последствия были минимальны. Системами контроля в пятницу, 12 мая, около 14 часов была зафиксирована активность нового вируса-шифровальщика. Мы приняли меры для минимизации риска, ситуация разрешилась без последствий для инфраструктуры.

2. Конечно, как и любой бизнес, мы регулярно сталкиваемся с угрозами безопасности, связанными как с технологическими причинами, так и с человеческим фактором. Например, когда кто-то из офисных сотрудников открывает личную почту с сомнительной корреспонденцией. Как правило, такого рода заражения не уходят дальше нескольких ПК, на которые по каким-то причинам не «встали» обновления.

3. Масштаб бедствий от WannaCry в мире показателен. Эту атаку точно нельзя назвать рядовой. Только за два первых часа этот вирус заразил столько же ПК, сколько предыдущие до него заражали за пару недель. Отчасти это было обусловлено тем, что патч Microsoft, закрывающий брешь в Windows-системах, вышел незадолго до появления в сети информации с описанием этой уязвимости.

Возможно, не везде успели поставить «заплатки», особенно в крупных компаниях, где тестирование новых обновлений до релиза в рабочую среду может занимать несколько недель. Для этих компаний, по сути, случилась атака «нулевого дня». Уникальность события – в его динамике, способной вызывать серьезные последствия, особенно если это касается сферы здравоохранения. Если это тренд, то WannaCry – только «цветочек», тогда как «ягодки» могут ждать впереди.

4. Мы сделали определенные выводы и предприняли ряд мер по обновлению инструментов защиты. В дальнейшем мы планируем реализовать проекты по дополнительной сегментации сетей и их защите, модернизации решения по контролю доступа в интернет, изоляции ПК друг от друга на уровне сетевых устройств.

5. В целом следовать комплексному подходу, соединяющему регулярный ИТ-менеджмент и применение лучших инструментов информационной безопасности. Если быть более конкретным, то, во-первых, необходимо пересмотреть процессы в области информационной безопасности. Во-вторых, не пренебрегать своевременным тестированием и установкой обновлений для программного обеспечения. В-третьих, использовать современный надежный антивирус с качественно реализованными эвристическими алгоритмами. В-четвертых, задуматься об инвестициях в качественные сетевые решения на соответствующем «железе». С их помощью можно эффективно анализировать и фильтровать внешний и внутренний сетевой трафик, сегментировать сети, изолировать рабочие станции друг от друга.

Ну и, конечно, в обязательном порядке необходимо повышать грамотность и культуру пользователей в части «интернет-гигиены».

«Советы по защите от вредоносных файлов очевидны: держите ухо востро, а системное и антивирусное программное обеспечение – обновленным»

Борис Гуськов, начальник управления информатизации Российского нового университета (РосНОУ)

Вирус WannaCry не блокирует сам компьютер, а зашифровывает определенные типы файлов, в основном документы и базы данных. Механизм распространения WannaCry отличается от многих других вредоносов тем, что использует уязвимости в системе и запускается независимо от пользователя, т.е. зараженными могут оказаться даже компьютеры, чьи владельцы стараются быть осторожными. Поэтому охват этого вируса оказался таким масштабным, а последствия – такими серьезными. Теперь многим компаниям, которые не были готовы к подобного рода атаке, предстоит нести убытки или ждать, пока вирус расшифруют, а на это могут уйти годы.

РосНОУ систематически сталкивается с шифровальщиками, это происходит периодически. Серьезные атаки – редкость, за последние два года таких было всего две. Установить, кто атакует университет, невозможно: это не адресные атаки, а простая рассылка по всем «засвеченным» адресам электронной почты.

Наша задача – обеспечить максимальный уровень защиты, но полностью закрыться от вирусов в рамках большой активной организации невозможно: сотрудник может принести вредоносный файл на флешке или открыть опасную ссылку. Технически можно совсем закрыть доступ для внешних носителей, но мы не видим в этом необходимости. Все наши базы имеют резервные копии, которые регулярно обновляются.

Советы по защите от вредоносных файлов: держите ухо востро, а системное и антивирусное ПО – обновленным. Осуществляйте разумное резервное копирование, периодически делайте копии жизненно важных файлов данных и настроек, храните их на внешних носителях. Это сохранит важные данные в случае не только вирусной атаки, но и физической поломки жесткого диска или компьютера.

«Больше всего пострадали от WannaCry компании, которые меньше всего заботятся о безопасности, и, как ни странно, те, которые заботятся о безопасности»

Кирилл Брагин, руководитель агентства интернет-технологий GoodSellUs

Если с беззаботными все понятно – пиратство и несвоевременные обновления, то для компаний с серьезным отношением к безопасности WannaCry мог оказаться шоком: тщательная проверка безопасности часто откладывает установку обновлений на пару месяцев и более. Именно таким образом желание уберечь сеть компании от потенциальных проблем с безопасностью для многих обернулось знакомством с шифровальщиком WannaCry.

Почему же WannaCry оказался продуктивнее других вирусов? Основным источником данных для взлома считают утечку данных из АНБ США. Если это действительно так, то вирус – это показатель того, насколько важную информацию об уязвимости программ могут иметь подобные службы самых разных стран.

Кроме того, это так же означает, что подобные утечки будут случаться и в будущем. Возможно, что и результат таких утечек будет куда серьезнее, чем сотни тысяч зараженных компьютеров.

Нашу компанию вирус не затронул исключительно из-за ее малых размеров и регулярных обновлений Windows, но это может не помочь в будущем. На 100% защитить свою компанию от вирусов не выйдет, однако можно уберечь данные от утери с помощью бэкапов. Этот метод спасет не только от вирусов-шифровальщиков, но и многих других проблем связанных с потерей важных данных.

«Пострадавшим от вируса мы советуем пользоваться легальным ПО, своевременно его обновлять и использовать средства контроля информационной безопасности»

Денис Нештун, генеральный директор компании RCNTEC

Мы как разработчик решений, направленных в том числе и на повышение информационной безопасности, очень щепетильно подходим к безопасности собственного бизнеса. С шифровальщиками мы уже сталкивались ранее, но WannaCry стал самой масштабной в истории атакой, связанной с вымогательством денег.

Атака была не рядовой, так как шифровальщик обладал свойствами червя, т.е. после заражения искал другие возможные жертвы. Microsoft еще в марте выпустила патч, устраняющей эту уязвимость. К печальным последствиям привело то, что подавляющее большинство пострадавших пользователей имело нелегальное ПО, требующее в отличие от лицензионного ручного обновления. Не произведенное своевременно обновление привело к печальным последствиям.

Пострадавшим от вируса мы советуем пользоваться легальным ПО, своевременно его обновлять и использовать средства контроля информационной безопасности.

«Если вы заметили ухудшение скорости работы или файлы с нестандартными расширениями, немедленно выключайте компьютер. Так вы сможете остановить дальнейшее распространение вируса»

Андрей Давидович, генеральный директор ГК «СМАРТ-СОФТ», российского разработчика систем информационной безопасности

Мы разрабатываем системы информационной безопасности уже 14 лет, поэтому хорошо знаем, чем хакерские атаки и невнимательное отношение к защите информации могут обернуться для компании. Из-за утечки данных бизнес может не только понести урон, но и даже полностью прекратить свою деятельность.

К сожалению, многие представители малого и среднего бизнеса недостаточно серьезно относятся к проблеме информационной безопасности, считая, что у них просто нечего воровать. А госучреждения объясняют отказ от защиты сети отсутствием финансирования. Но на практике именно небольшие предприятия больше всего страдают из-за хищения данных.

Прицел WannaCry был устремлен на самых крупных игроков рынка. Он атаковал таких мастодонтов, как серверы Министерства внутренних дел, Сбербанка и МЧС – даже их системы оказались не готовы к нападению.

Мы считаем, что ситуация с WannaCry показала, что внимание к цифровой безопасности сегодня играет одну из ключевых ролей. Мы считаем необходимым постоянно следить за тем, чтобы программное обеспечение вовремя обновлялось, использовать передовые технологии защиты информации и сети, проводить обучение среди сотрудников.

Большое значение для защиты от хакеров имеет межсетевой экран, который обязательно должен быть сертифицирован, а лучше – комплексное UTM-решение, которое полностью закроет дыры в системе безопасности.

Если вы уже пострадали от WannaCry, то первым делом необходимо пересмотреть свою систему информационной безопасности, то есть обратиться к профессионалам, которые проведут аудит и примут необходимые меры.

Должен стоять межсетевой экран нового поколения, предпочтительнее UTM-решение. Как российская компания мы рекомендуем отечественные продукты, в них меньше возможностей для проникновения и закладок для утечек информации.

Единственный способ бороться с заражением и утечкой данных – предотвращать подобную ситуацию, поэтому всегда проверяйте обновления систем безопасности, не переходите по подозрительным ссылкам и не открывайте письма от неизвестных адресатов. Регулярно создавайте резервные копии на носителях, которые не подключены к сети, даже если ваш компьютер будет заражен, вы всегда сможете оперативно восстановить информацию, просто переустановив систему. Если вы заметили ухудшение скорости работы или появление файлов с нестандартными расширениями, немедленно выключайте компьютер. Так вы сможете остановить дальнейшее распространение вируса.

Не позволяйте сотрудникам подключать личные компьютеры и устройства к рабочей локальной сети. Дополнительно проведите обучение своих сотрудников безопасной работе с компьютером. И, конечно, для обеспечения комплексной информационной безопасности используйте специализированные решения, разработанные для вашего сегмента.

Прилагаю памятку для профилактики антивирусной безопасности, которую разработала наша компания:

Три главных правила ИБ:

• Регулярно устанавливайте обновления ПО.
• Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру.
• Регулярно проводите профилактику «цифровой гигиены» персонала.

Варианты хакерских атак:

• Вам или вашим сотрудникам приходит письмо с темой «Уведомление от налоговой» или «Письмо от судебных приставов» или что-то в этом духе. В письме есть вложение, при открытии которого, запускается вирус.
• Вам приходит письмо на почту или сообщение в социальных сетях типа: «Надь, привет, слушай, я тут нашел классную вещь, посмотри-ка: https://www…» После перехода по ссылке вирус пробирается на ваш компьютер.
• Вы решили скачать какой-нибудь файл с сайта. Распаковав или запустив его, запускаете и вирус.
• Вам может прийти e-mail-сообщение от «коллеги» с вложенным архивом, который вам его не отправлял. Запустив архив, вы подвергнете компьютер заражению.

Как себя обезопасить:

• Всегда внимательно смотрите, от кого получаете письмо, ждете ли вы его. Если есть подозрения, то лучше созвониться с отправителем и уточнить.
• Всегда смотрите, с официального ли сайта вы качаете файл? Лучше минимум дважды проверить путь.
• Если на сайте всплывает дополнительное окно, которое просит вас нажать какую-нибудь кнопку, внимательно прочтите, что предлагается! Нужно ли вам это, и точно ли это то, что вы искали. В противном случае закройте страницу или сам браузер.
• Храните все свои важные документы не на рабочем столе, а в сетевых папках. Поймав вирус, вы лишитесь их всех и вряд ли попадете в 1% счастливчиков, которые смогли расшифровать файлы.
• Очень важно! Вирус так же может зашифровать или повредить все данные на сетевых дисках, т.е. все, что находится на сервере, также будет заражено, будьте внимательны.
• Если письмо или сайт вызывают подозрение, то до проведения каких-либо действий с ними сообщите системному администратору либо другому грамотному ИТ-специалисту.

«Единственный вариант – это использовать облако с резервированием. В облаке реально намного безопаснее, чем на своих устройствах или в ИТ-инфраструктуре в офисе»

Максим Захаренко, генеральный директор, компания «Облакотека»

1. Мы являемся провайдером облачных услуг и как для своих клиентов, так и для своей внутренней работы используем терминальный рабочий стол, расположенный в облаке с подключенным резервированием. Да, в облака нескольких наших клиентов пробрался вирус, зашифровал данные, но все данные были в тот же час восстановлены.

2. Да, и ранее неоднократно были атакованы виртуальные машины наших клиентов с последующим лечением и восстановлением данных.

3. Атаки шифровальщиков идут постоянно, но активность этой все-таки была из ряда вон выходящей. Одновременно затронуто слишком много систем.

4. Усилим, но это непринципиальные изменения. Наша система доказала свою устойчивость к такого рода атакам.

5. К сожалению, рядового пользователя практически нельзя переучить, и увещевания на тему «не открывать подозрительные письма» не работают!

Письма с темой «Вам выписан штраф ГИБДД» или «У вас выявлена налоговая задолженность» могу открыть даже я сам. Единственный вариант – резервировать данные, но настольное устройство в офисе или ноутбук гарантированно зарезервировать также невозможно технологически, поэтому фактически единственный вариант – это использовать облако с резервированием. В облаке реально намного безопаснее, чем на своих устройствах или в ИТ-инфраструктуре в офисе.

«Храните файлы в системах документооборота. Дело в том, что тогда ваши файлы хранятся в базах данных, а не в виде файлов, а это уже совсем другие технологии»

Александр Чавалах, исполнительный директор, ООО «Инфостарт»

1. В этот раз шифровальщик нас не коснулся – учли опыт предыдущих лет.

2. Года три назад такое было – зашифровали часть офисных документов, восстановить не удалось.

3. Да, такое бывает постоянно, многие компании сталкиваются со случаями шифрования. Достаточно подробная статистика должна быть у антивирусных компаний, т.к. многие представители бизнеса обращаются к ним с просьбой помочь восстановить данные. Иногда это помогает.

4. Нет, у нас уже предусмотрены меры.

5. Нужно следовать простым советам:

• Конечно же, на компьютерах должны быть свежие антивирусы. Но, к сожалению, новые версии шифровальщиков обходят большинство антивирусов или опережают их.
• Главное – не открывать подозрительных писем с сомнительными вложениями – это самый распространенный способ распространения шифровальщика.
• Надежный способ – храните файлы в системах документооборота. Дело в том, что тогда ваши файлы хранятся в базах данных, а не в виде файлов, а это уже совсем другие технологии. Добраться, скажем, до СУБД под Linux пока не смог ни один шифровальщик. Да и другие СУБД обеспечивают надежный уровень защиты. Важно не путать файловую базу данных с системой СУБД. Например, если у вас 1С установлена в файловом варианте, она может быть зашифрована вирусом. Если перевести ее в серверный вариант, ничего с ней не случится.
• Разумеется, важная информация должна иметь резервные копии, сейчас это организовать очень просто.

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

Copyright © Системный администратор