Jesień 2019. W piątek po południu pracownicy firmy logistycznej zgłosili swojemu dostawcy IT – firmie zewnętrznej, problem z działaniem systemów. Pracownicy tej firmy, nazywajmy ją SpecjaliściIT, sprawdzili, że brak działania jest spowodowany zaszyfrowaniem danych przez hakerów. SpecjaliściIT pozostawili rozwiązanie problemu do poniedziałku, twierdząc, że mają kopie zapasowe systemów. Dopiero wtedy okazało się, że zaszyfrowane zostały również kopie zapasowe systemu magazynowego. Bez działania tego systemu firma była praktycznie sparaliżowana, mimo, że pozostałe systemy (np. finansowo-księgowy) udało się uruchomić.
Hakerzy żądali okupu w wysokości 5 tysięcy dolarów w bitcoinach.
Nasz Zespół Reakcji na Incydenty otrzymał zgłoszenie ataku ransomware we wtorek (4 dni po incydencie!), gdyż dopiero wtedy SpecjalisciIT poinformowali Firmę o prawdziwym problemie. Tym problemem był brak kopii zapasowych systemu magazynowego. Naszym zadaniem było zbadanie możliwości odzyskania danych oraz doprowadzenie do uruchomienia systemów i zapewnienie poziomu bezpieczeństwa, które uniemożliwi podobne ataki.
Nasze działania
- Zbadaliśmy zaszyfrowane próbki, potwierdziliśmy, że nie jest znana metoda na odszyfrowanie danych oraz, że płacenie okupu nie ma sensu: poza aspektem etycznym (wspieranie przestępczości), akurat w tym przypadku algorytm stosowany przez przestępców uniemożliwiał odszyfrowanie dużych plików danych. Powstrzymaliśmy wyrzucenie pieniędzy w błoto.
- Zanalizowaliśmy działania podjęte przez SpecjalistowIT w celu przywrócenia działania systemów i infrastruktury w Firmie: wskazaliśmy błędy i przeoczenia, które umożliwiały ponowne zaatakowanie Firmy, wskazaliśmy listę działań do podjęcia, które zminimalizują ryzyko następnych „udanych” ataków, a jeśli te już nastąpią, to uczynią ich skutki znacznie mniej bolesnymi.
- Zweryfikowaliśmy miejsce ataku. Wstępnie SpecjalisciIT utrzymywali, że powodem było kliknięcie w niebezpieczny link przez jednego z pracowników. Wykazaliśmy, że problemem były błędy w konfiguracji i zabezpieczeniu serwerów, co umożliwiało przejęcie kontroli nad infrastrukturą IT Firmy przez niemal „każdego”.
Dlaczego atak w ogóle był możliwy?
Firma zajmująca się zarządzaniem infrastrukturą IT nie zabezpieczyła dostępu zdalnego do systemów w odpowiedni sposób. Co prawda istniały, opracowane procedury zabezpieczenia zdalnego dostępu, ale dla wygody jednego z dostawców, administratorzy przygotowali “tymczasowe” ułatwienie. Niestety, wszyscy zapomnieli o jego istnieniu.
Jakie konsekwencje miał atak?
- Tydzień całkowitej blokady działalności firmy i dwa tygodnie do przywrócenia pełnej obsługi klientów
- Wysokie kary umowne z kontraktów
- Utrata klientów
Tak duże konsekwencje zostały spowodowane przez czynniki organizacyjne i techniczne:
- Sposób tworzenia i przechowywania kopii zapasowych systemu magazynowego nie spełniał podstawowych wymogów bezpieczeństwa, dlatego backupy również zostały zaszyfrowane.
- Zewnętrzna firma IT zbagatelizowała problem i odłożyła jego rozwiązanie do poniedziałku, ze znacznym opóźnieniem informowała o problemach. Nasz klient nie miał własnych ludzi o kompetencjach, które pozwoliłyby na zajęcie się problemem lub chociażby na zweryfikowanie działań zewnętrznej firmy.
- Firma nie była przygotowana na incydenty skutkujące niedziałaniem systemów i nastąpił całkowity paraliż: przejście na „sterowanie ręczne” i obsługa najbardziej priorytetowych klientów było możliwe dopiero po tygodniu.
- Firma nie wiedziała jak komunikować problemy kontrahentom, więc nastąpiła blokada informacyjna.
Co możesz zrobić, żeby być mądrym przed szkodą?
- Upewnij się, że Twój zespół IT ma wpisane w obowiązki zapewnianie bezpieczeństwa infrastruktury, a jeśli tak, to czy realizuje ten obowiązek?
- Upewnij się, że Twoi dostawcy IT, zgodnie z umowami, ponoszą odpowiedzialność za bezpieczeństwo Twoich danych i systemów. Sprawdź, czy mają polisy OC zawodowe obejmujące zdarzenia „cyber”– tak, żebyś miał pewność, że w razie ich błędów skutkujących atakami hakerskimi otrzymasz odszkodowanie.
- Sprawdź, czy Twoja infrastruktura IT jest odporna na ataki. Zleć zewnętrzny audyt i testy bezpieczeństwa. To nie ma nic wspólnego z zaufaniem, czy podważaniem kompetencji Twoich pracowników IT: specjaliści bezpieczeństwa na bieżąco śledzą sposoby pracy hakerów, widzieli ataki z zewnątrz i z wewnątrz organizacji wiele razy i wskażą Ci miejsca, o których dział IT nawet nie pomyśli, że może być źródłem problemu.
- Przygotuj się na najgorsze i w razie problemów nie działaj na oślep: opracuj Plany Reakcji na Incydenty, Plany Odtwarzania po Awarii i Plany Ciągłości Działania. Plany takie pozwolą Ci przygotować się do działania w razie awarii czy ataku i jasno opiszą:
- Jak krok po kroku Twój dział IT (oraz w razie potrzeby zewnętrzni dostawcy) będzie odtwarzać systemy i przywracać je do pełnego działania?
- Jak Twoja firma ma pracować, kiedy nie działają systemy?
- Jak właściwie komunikować się z kontrahentami i pracownikami?
- Jak i kiedy należy powiadomić odpowiednie służby (atak hakerski to przestępstwo).
Myślisz, że to niepotrzebna i skomplikowana biurokracja? To spróbuj wyobrazić sobie, co stanie się w Twojej firmie w momencie, kiedy awarii ulegną kluczowe systemy. A teraz wyobraź sobie, że osoba odpowiedzialna za IT właśnie zaczęła odkładany od lat urlop. I nie odbiera telefonu, bo “nie ma zasięgu”. Czy jesteś gotowy na taką sytuację?
A jeśli masz już opracowane plany, to upewnij się, że są one testowane: co najmniej raz w roku i po każdej istotnej zmianie infrastruktury.
- Zastanów się, czy nie powinieneś zadbać o porządne ubezpieczenie „cyber” dla swojej Firmy, które uchroni Cię przed dotkliwymi, finansowymi kosztami incydentów bezpieczeństwa i zapewni Ci wsparcie wysokiej klasy ekspertów w reakcji na incydenty.
Zapraszamy do kontaktu z naszym zespołem: pomożemy Ci zadbać o bezpieczeństwo: sprawdzimy Twoją infrastrukturę i pomożemy w przygotowaniu się „na najgorsze”.
