«Как мы пережили крупнейшую в Украине вирусную атаку»

«Як ми пережили найбільшу в Україні вірусну атаку»

В конце июня на Украину обрушилась крупнейшая в ее истории вирусная атака.

Руководители компаний, ставших жертвами вируса Petya.A, делятся личным опытом

Тысячи предприятий оказались полностью или частично парализованы компьютерным вирусом, который попал в сеть вместе с обновлением бухгалтерской программы M.E.Doc.
И хотя с момента атаки прошло уже достаточно времени, компании до сих пор восстанавливают работу систем и проводят внутренние расследования, пытаясь понять, как вирус попал в сеть.

Руководитель частного телекоммуникационного оператора «Датагруп» Михаил Шелемба и руководитель государственной «Укрпочты» Игорь Смелянский делятся личным опытом: как переживали атаку и какие выводы сделали.

Михаил Шелемба, генеральный директор «Датагруп»Михаил Шелемба, генеральный директор «Датагруп»

Так случилось, что новость о Petya.A настигла меня в отпуске. Я сразу начал связываться с клиентами и партнерами, чтобы понять для себя масштаб трагедии, ведь Украина пока не готова противостоять подобным атакам. Оценив ситуацию, я сразу поменял билеты и вернулся в офис. Мы собрали всю информацию и хронологию событий, и вот какие выводы я сделал для себя:

Борьба с компьютерными вирусами похожа на борьбу с вирусами, поражающими человека. В обоих случаях лучшей мерой предосторожности является профилактика. И в обоих случаях никто не даст 100-процентной гарантии, что вам удастся избежать атаки.

Когда 27 июня более тысячи украинских компаний стали жертвами вируса Petya.A, «Датагруп» не стала исключением. Но, в отличие от многих других, мы были готовы к такому сценарию и обошлись малой кровью – заражением нескольких рабочих станций в контакт-центре и головном офисе. Еще весной мы провели аудит уязвимостей, определили свои слабые места и сделали дорожную карту по их устранению. В рамках подготовки разделили локальную и основную (core) сети. В первую очередь, укрепили периметр core сети, повысили ее отказоустойчивость. Поэтому вирус не смог в нее проникнуть и повлиять на работоспособность наших сервисов. Кроме того, с марта мы начали использовать Office 365, что помогло нам оставаться в рабочем режиме, несмотря на кибератаку.

Но вирус “Петя” поразил локальную сеть.

Мы продолжаем внутреннее расследование, чтобы четко определить канал, по которому он к нам проник. Важный факт, который многие упускают – это был не просто “Петя”, а целый букет вирусов, настроенных на разные типы поражений системы: от переименования файлов до полной шифровки данных, при этом каждый из элементов вируса был направлен на свой участок для заражения, например, на локальные машины, виртуальные и доменные серверы и т.д.

Благо, у нас был план действий на случай часа «Ч» – мы заранее создали резерв «чистых» компьютеров, которые, при условии худшего варианта, можно использовать, чтобы развернуть локальную сеть. Обнаружив первые случаи заражения, мы сразу «потушили» контроллер домена локальной сети и быстро развернули параллельную «чистую» локальную сеть, используя резерв компьютеров. Затем начали восстанавливать функции, которые напрямую влияют на работу с клиентами, например, контакт-центр. Так, если случаи заражения были обнаружены в 14:00, то к вечеру все функции, взаимодействующие с клиентом, были восстановлены.

Параллельно мы создали рабочие группы технических специалистов, которые проверяли рабочие станции, восстанавливали резервные копии, где это необходимо, после чего подключали станции к вновь созданной локальной сети. Процесс немного тормозился из-за того, что случаи заражения были замечены и в регионах, но ребята смогли за короткое время восстановить доступ к жизненно важным системам.

И главный вывод: защита своей сети – это первое правило, которому должна следовать каждая компания.

Но помимо этого, необходимо обеспечить высокий уровень защиты экосистемы киберпространства в стране. Только в сочетании этих двух элементов можно обеспечить максимальный уровень защиты.

Игорь Смелянский, генеральный директор «Укрпочты»Игорь Смелянский, генеральный директор «Укрпочты»

К сожалению, даже через две недели после атаки мы еще какое-то время будем проверять системы, базы данных, восстанавливать отчетность, но уже невидимо для клиентов. Ситуация отличается по регионам, и мы надеемся в скором времени завершить этот процесс.

Когда произошла атака, я был в командировке во Львове. Сидел на встрече с потенциальными партнерами. И вдруг сотрудники начали присылать мне фото своих компьютеров с красными и черными экранами. Потом я увидел такие же фото в Facebook. Никаких официальных уведомлений на тот момент я, к сожалению, не получал – сейчас разбираемся, почему.

Поэтому интуитивно отдал указание выключать и блокировать сеть. Просто выдергивать провода.

Можно ли избежать таких ситуаций в будущем?

Нет, на 100% таких ситуаций избежать невозможно. Можно только снизить риск. При этом каждый процент снижения такого риска стоит достаточно дорого, и важно тут найти баланс. Это же как болезнь, природный вирус. Можно выработать иммунитет только против того вируса, который знаешь. А против того, который тебе не известен – нельзя. И поскольку эта «зараза» постоянно мутирует, абсолютной защиты быть не может.

IТ-безопасность, о которой все говорят, это только один из «кирпичиков» в этой стене иммунитета. Поэтому мы в ближайшее время сосредоточимся не только на IТ-безопасности, но и на разработке плана реагирования на подобные техногенные катастрофы, чтобы ущерб от них был как можно меньше. Это комплекс мер для таких случаев как потеря электроэнергии, мобильной и фиксированной связи, атаки на компьютерные сети. Сотрудники должны знать, что делать; когда и какие услуги мы продолжим оказывать, если, например, отключились компьютеры; где взять бумажные бланки, резервный запас бензина; как обеспечить выплату пенсий.

Безусловно, будем плотно взаимодействовать с другими крупными инфраструктурными компаниями, банками, силовыми структурами, чтобы координировать подобного рода деятельность. Ну и, однозначно, будем изучать опыт других стран, находящихся в «агрессивном окружении», таких как Израиль, например. Хочу поблагодарить многие компании, посольства, которые уже предложили нам помощь. Мы обязательно ее используем.



Добавить комментарий