Атака шифровальщика — есть ли у вас план?

~ Алексей Чеканов

Сценарий атаки шифровальщика — отличный кейс для продвижения идей непрерывности бизнеса в организации. Как минимум, благодаря трем причинам:

  1. Вероятность велика (даже при продвинутой системе безопасности)
  2. Последствия катастрофичны
  3. Восстановление требует вовлечения почти всех подразделений

Удастся ли кому-то отсидеться в сторонке, пока организация будет восстанавливаться? Похоже, что нет, потому что…

Руководство

Сначала предстоит принять стратегическое решение, платить вымогателям, или нет. При кажущейся правильности ответа «нет», в каждой конкретной ситуации у обоих вариантов есть плюсы и минусы (иначе никто никогда не платил бы, и киберпреступники естественным образом умерли с голоду).
Если вы голосуете «да«, то подумайте:

  • каковы гарантии того, что преступники поведут себя по-джентльменски? Статистика показывает, что это далеко не всегда так…
  • откуда взять деньги для выплаты выкупа? Эта задача делится на две части: деньги должны быть (на счете, а у кого-то может быть и в бюджете), и вы должны понимать, как вы будете выводить эти деньги за пределы правового поля. Легальных способов выплаты выкупа криптой я не встречал, самое «мягкое» — это выплата кому-нибудь срочной премии, чтобы он купил немного крипты и заплатил выкуп. При этом надо понимать, что над этим человеком сразу зависает дамоклов меч обвинения в финансировании того, кого не надо…

Если ваш решительный ответ — «нет«, то хорошо бы уверенно ответить на вопросы:

  • сможет ли организация восстановиться (т.е. сохранились ли резервные копии, какова вероятность их целостности, умеете ли вы в принципе восстанавливать с нуля всю инфраструктуру, и т.п.)
  • сколько времени займет восстановление и сколько организация потеряет за это время (денег, клиентов, доли рынка и т.п.)
  • что делать с утечкой данных (даже в тех компаниях, которые уверены в своей способности восстановиться, страх публикации конфиденциальной информации очень часто является решающим фактором при выплате выкупа).

В целом задача нетривиальная и тянет на полноценную стратсессию, способную вытащить на свет достаточно большой пласт проблем. И это неплохо…

Коммуникация

Про кризисную коммуникацию сказано довольно много, не буду здесь повторяться. Ограничусь лишь основными направлениями:

  • Информирование регуляторов. В ответе чаще всего подразделение информационной безопасности. Тут казалось бы все просто, но очень велик соблазн утаить инцидент или уменьшить масштаб происшедшего.
  • Взаимодействие с клиентами. Тут достанется многим, начиная от колл-центра и заканчивая клиентскими менеджерами.
  • Работа с рынком, минимизация негативного фона. Вотчина PR.

ИТ

Подразделению ИТ придется тяжелее всего — в условиях жесткого прессинга со стороны бизнеса им предстоит с нуля пересоздавать всю инфраструктуру. Вот тут спокойно можно делать план заранее, потому что задача максимально понятна (но не проста), а в час Х уровень хаоса будет запредельным. Пока одна команда будет проводить расследование (вы же уже знаете, кто это будет?), другая параллельно может развертывать базовую инфраструктуру, но не выпуская ее пока во внешний мир. Можно, конечно, попробовать обойтись без проведения расследования, но тогда вас ожидают две потенциальных проблемы:

  1. Не зная, как вас сломали, вы, скорее всего, восстановите свою инфраструктуру вместе со всеми старыми уязвимостями
  2. Не зная, когда вас сломали, вы не знаете, какие резервные копии могут быть заражены.

Очевидно, что сами планы восстановления у всех компаний будут совершенно разными, но есть несколько потенциальных проблем, о которых надо будет подумать заранее.

  1. Дистрибутивы. Доступны ли они в принципе, и в частности — для тех версий ПО, которые вы хотите восстановить?
  2. Лицензии. В условиях ухода части вендоров, сможете ли вы повторно активировать существующие лицензии?
  3. Поддержка. К кому вы пойдете за помощью, если что-то пойдет не так в процессе восстановления?
  4. Обновления. Сколько времени займет установка всех необходимых обновлений, произойдет ли это в автоматическом режиме?
  5. Пароли. У вас же наверняка был парольный менеджер, базы данных которого располагались на…. о, нет.

Конечно же, проблем будет гораздо больше, и здесь — только наиболее распространенные

Бизнес/производство

И, наконец, бизнесу достается самое интересное — совершить путешествие в прошлый век и попробовать пожить без ИТ. Как показывает опыт компаний, прошедших через атаку шифровальщика, жизнь без ИТ зачастую есть. Слабая, медленная, но есть. И здесь главная задача — понять, что организация сможет делать в ручном режиме, а что не сможет вообще. И спланировать. И подготовиться. Например, когда жертвой атаки пал Мейджор, курьеры приходили к нам с бумажными накладными, мы их вместе ручкой заполняли, и грузы отправлялись. Да, медленнее, чем обычно, но система работала. Но надо понимать, что на этот случай у курьеров есть с собой бланки, и так можно. И здесь у каждой компании будет своя специфика.

Очень хочется всем пожелать, чтобы ничего из вышеперечисленного вам не пригодилось, но лучше быть готовым и ничего не случится, чем наоборот.