Наприкінці червня на Україну обрушилася найбільша в її історії вірусна атака. Тисячі підприємств виявилися повністю або частково паралізовані комп’ютерним вірусом, який потрапив в мережу разом з оновленням бухгалтерської програми M.E.Doc. І хоча з моменту атаки пройшло вже достатньо часу, компанії досі відновлюють роботу систем та проводять внутрішні розслідування, намагаючись зрозуміти, як вірус потрапив в мережу.
Керівник приватного телекомунікаційного оператора «Датагруп» Михайло Шелемба та керівник державної «Укрпошти» Ігор Смілянський діляться особистим досвідом: як переживали атаку та які висновки зробили.
Михайло Шелемба, генеральний директор «Датагруп»
Так трапилось, що новина про Petya.A наздогнала мене у відпустці. Я одразу почав зв’язуватися з клієнтами та партнерами, щоб зрозуміти для себе масштаб трагедії, адже Україна поки що не готова протистояти подібним атакам. Оцінивши ситуацію, я одразу поміняв квитки та повернувся до офісу. Ми зібрали всю інформацію та хронологію подій, і ось які висновки я зробив для себе:
Боротьба з комп’ютерними вірусами схожа на боротьбу з вірусами, що уражають людину. В обох випадках кращим запобіжним засобом є профілактика. І в обох випадках ніхто не дасть 100-відсоткової гарантії, що вам поталанить уникнути атаки.
Коли 27 червня більше тисячі українських компаній стали жертвами вірусу Petya.A, «Датагруп» не стала винятком. Але, на відміну від багатьох інших, ми були готові до такого сценарію і обійшлися малою кров’ю – зараженням декількох робочих станцій в контакт-центрі та головному офісі. Ще навесні ми провели аудит вразливостей, визначили свої слабкі місця та зробили дорожню карту щодо їх усунення. В рамках підготовки розділили локальну та головну (core) мережі. В першу чергу, зміцнили периметр core мережі, підвищили її відмовостійкість. Тому вірус не зміг до неї проникнути та вплинути на працездатність наших сервісів. До того ж, з березня ми почали використовувати Office 365, що допомогло нам залишатися в робочому режимі, незважаючи на кібератаку.
Але вірус вразив локальну мережу. Ми продовжуємо внутрішнє розслідування, щоб чітко визначити канал, по якому він до нас проник. Важливий факт, який багато хто ігнорує – це був не лише Petya.A, а цілий букет вірусів, налаштованих на різні типи уражень системи: від перейменування файлів до цілковитого шифрування даних, при цьому кожен з елементів вірусу був спрямований на свою ділянку для зараження, наприклад, на локальні машини, віртуальні та доменні сервери тощо.
Добре що ми мали план дій на випадок часу «Ч» – ми заздалегідь створили резерв «чистих» комп’ютерів, які, за умови найгіршого варіанту, можна використовувати для розгорнення локальної мережі. Виявивши перші випадки зараження, ми одразу «загасили» контролер домену локальної мережі і швидко розгорнули паралельну «чисту» локальну мережу, використовуючи резерв комп’ютерів. Потім почали відновлювати функції, які чинять безпосередній вплив на роботу з клієнтами, наприклад, контакт-центр. Так, якщо випадки зараження були виявлені о 14:00, то до вечора всі функції, які взаємодіють з клієнтом, були відновлені.
Паралельно ми створили робочі групи технічних фахівців, які перевіряли робочі станції, відновлювали резервні копії, де це необхідно, після чого підключали станції до новоствореної локальної мережі. Процес трохи гальмувався через те, що випадки зараження були також спостерігалися в регіонах, але хлопцям вдалось швидко відновити доступ до життєво важливих систем.
І головний висновок: захист своєї мережі – це перше правило, якого мусить дотримуватися кожна компанія. Але крім цього, необхідно забезпечити високий рівень захисту екосистеми кіберпростору в країні. Тільки в поєднанні цих двох елементів можна забезпечити максимальний рівень захисту.
Ігор Смілянський, генеральний директор «Укрпошти»
На жаль, навіть через два тижні після атаки ми ще якийсь час будемо перевіряти системи, бази даних, відновлювати звітність, але вже приховано для клієнтів. Ситуація відрізняється по регіонах, і ми сподіваємося незабаром завершити цей процес.
Коли сталася атака, я був у відрядженні у Львові. Сидів на зустрічі з потенційними партнерами. І несподівано співробітники почали надсилати мені фото своїх комп’ютерів з червоними і чорними екранами. Потім я побачив такі ж фото в Facebook. Жодних офіційних повідомлень на той момент я, на жаль, не отримував – зараз розбираємося, чому.
Тому інтуїтивно наказав виключати та блокувати мережу. Просто висмикувати дроти.
Чи можна уникнути таких ситуацій в майбутньому?
Ні, на 100% таких ситуацій уникнути неможливо. Можна тільки знизити ризик. При цьому кожен відсоток зниження такого ризику коштує досить дорого, і важливо тут знайти баланс. Це ж як хвороба, природний вірус. Можна розвинути імунітет тільки проти того вірусу, який знаєш. А проти того, який тобі не відомий – не можна. І оскільки ця «зараза» постійно мутує, цілковитого захисту бути не може.
IТ-безпека, про яку всі говорять, це тільки одна з «цеглинок» цієї стіни імунітету.
Тому ми найближчим часом зосередимося не тільки на IТ-безпеці, а й на розробці плану реагування на подібні техногенні катастрофи, щоб збиток від них був якомога меншим. Це комплекс заходів для таких випадків як втрата електроенергії, мобільного та фіксованого зв’язку, атаки на комп’ютерні мережі. Співробітники повинні знати, що робити; коли та які послуги ми продовжимо надавати, якщо, наприклад, відключилися комп’ютери; де взяти паперові бланки, резервний запас бензину; як забезпечити виплату пенсій.
Безумовно, будемо тісно взаємодіяти з іншими великими інфраструктурними компаніями, банками, силовими структурами, щоб координувати подібного роду діяльність. Ну і, однозначно, будемо вивчати досвід інших країн, що знаходяться в «агресивному оточенні», таких як Ізраїль, наприклад. Хочу подякувати багатьом компаніям, посольствам, які вже запропонували нам допомогу. Ми обов’язково її використаємо.
