Vilniaus rajono savivaldybės „nulaužimo“ pamokos: kaip organizacijai netapti gardžiu programišių kąsneliu?

Praėjusią savaitę Lietuvą sudrebinusio Vilniaus rajono savivaldybės „nulaužimo“ atgarsiai netyla iki šiol. Prieš kelias dienas pranešta, jog dėl programišių užšifruotų duomenų savivaldybės gyventojams vėluos socialinės išmokos, o baimės dėl jų asmeninės informacijos nutekinimo iki šiol nėra išsklaidytos. „Telia“ teigimu, šis išpuolis įmones turėtų pažadinti iš gilaus miego ir paskubinti „užsikamšyti“ net pačias mažiausias elektroninių sistemų saugumo spragas.

Statistiko portalo „Statista“ duomenimis, 2023 m. bandymus užgrobti elektroninius išteklius ir reikalauti išpirkos patyrė net 72 proc. pasaulio organizacijų. Ir panašu, jog išpirkos reikalaujančių atakų ateityje tik daugės. Kibernetinio saugumo kompanija „WithSecure Oyj“ nustatė, kad 29 iš 60 jos stebimų tokio tipo išpuolius vykdančių gaujų yra visiškai naujos ir galimai susikūrusios dar šiemet. 

„Vilniaus rajono savivaldybės failų užšifravimas neprimena įprastos priešiškų geopolitinių jėgų veiklos, siekiant primityviai kelti suirutę šalyje. Panašu, jog tai buvo gerai suplanuota kibernetinė ataka, turint tikslą pasipelnyti. Klaidinga galvoti, jog savivaldybė buvo pasirinkta tik dėl savo statuso, nes nusikaltėlius masinančių saugumo problemų turi ir didelė dalis stambesnių privačių organizacijų. Vienintelis būdas išvengti tokio nemalonaus scenarijaus – reguliariai atlikti saugumo testus, žinoti turimus skaitmeninius resursus, jiems nustatyti saugumo reikalavimus ir naudoti kompleksines apsaugos priemones“, – teigia „Telia“ techninis saugumo vadovas Darius Povilaitis. 

Pakanka mažiausios spragos

Pasak D. Povilaičio, išpirkos reikalaujančios atakos kibernetiniams chuliganams dažnai yra ne laisvalaikio hobis, o darbas visu etatu, todėl kiekvienam išpuoliui jie ruošiasi labai atsakingai. Jei jie nusitaikė į tam tikrą organizaciją, galima būti tikriems, kad jie išnagrinės kiekvieną landą ir išbandys kiekvieną „ginklą“ vien tam, kad prasiskverbtų gilyn į institucijos valdomą sistemą.

„Programišiai pirmiausia atidžiai susirenka informaciją apie taikinį ir nuskanuoja jo tinklą, nustatydami, kokias paslaugas įmonės IT sistemos teikia pasauliui. Vėliau prasideda pažeidžiamumų tyrimas, ieškant pasenusios programinės įrangos ar blogai sukonfigūruotų paslaugų. Kai randama net menkiausia spraga, piktavaliai į sistemą įsilaužia paprasto vartotojo teisėmis ir toliau ieško landų, kaip jas „pasididinti“. Galiausiai tikslas pasiekiamas ir duomenys užšifruojami“, – atakos skrodimą atlieka „Telia“ atstovas. 

Kadangi už duomenų iššifravimą paprašoma didelės sumos, kibernetiniai verteivos puikiai supranta, jog nukentėjusieji ieškos būdų atgauti prieigą prie duomenų. Dėl šios priežasties užgrobtose sistemose paliekama daugybė „durų“, per kurias trukdomas kontrolės perėmimas, o tikrasis atakos mastas ir įsiskverbimo keliai dažniausiai profesionaliai užmaskuojami. Deja, tokiu atveju belieka ieškoti atsarginių duomenų kopijų, nes net sumokėjus išpirką, nėra garantijos, kad sukčiai tesės žodį ir panaikins šifravimą.

Pirmas žingsnis – atlikti vidinį tyrimą

Renkantis taikinius, nusikaltėlius labiausiai vilioja didelę viešai prieinamų paslaugų įvairovę turintys subjektai. Kiekviena paslauga veikia lyg nauji įsiskverbimo vartai, nes ji didina tikimybę rasti blogus saugumo nustatymus bei gauti kad ir žemiausias vartotojo teises. Juo labiau, kad nenaudojami IT resursai dažnai nėra akylai prižiūrimi įmonės specialistų ir leidžia „purviną darbą“ dirbti nesulaukiant nereikalingo dėmesio.

„Organizacijoms geriausia pradėti nuo bendro saugumo įvertinimo atlikimo. Įvairūs testai padės vertinti silpnąsias IT išteklių vietas ir numatyti atakų vektorius. Labai dažnai pačios įmonės nežino, kad teikia vienas ar kitas skaitmenines paslaugas, jau nekalbant apie darbuotojus, kuriems neretai suteiktos didesnės teisės, nei būtina. Išjungus perteklinius resursus ir procesus, apribojus teises ir prieigas, kritines sistemas pasiekti leidžiant tik atsakingiems asmenims, galima išspręsti didelę dalį saugumo bėdų“, – patirtimi dalinasi ekspertas.

Kitas žingsnis – nukreipti dėmesį į bendrovės internetinę svetainę. Ji yra įmonės reprezentacinis veidas ir dažnai pagrindinis komunikacijos su klientais kanalas, todėl jos „nulaužimas“ jos vartotojams gali pridaryti nemažai žalos. Tą veiksmingai gali atlikti paketas, į kurį įeina nuo programinės įrangos spragų pažeidžiamumo sauganti „Web“ aplikacijų ugniasienė (WAF), apsauga nuo serverio resursų išeikvojimo sauganti DDoS apsauga, API apsauga ir botų veiklos prevencija.

Visas šias saugumo sistemas „Telia“ gali pasiūlyti iš vienų rankų, kas organizacijoms supaprastina jų diegimą ir užtikrina geresnę veikimo kokybę.

Įsilaužimo užkardymui vienos priemonės nepakaks

D. Povilaičio teigimu, norint išvengti didelės katastrofos įvykus atakai, labai svarbu apie tai reguliariai galvoti tiek atliekant prevenciją, tiek planuojant veiksmų planą, patyrus programišių smūgį. Žinant kibernetinių nusikaltėlių kruopštumą, nereikėtų praleisti nė vieno operacinės sistemos ar trečiųjų šalių programinės įrangos atnaujinimo. Taip pat aktualu pagalvoti, kur laikomi ir kopijuojami įmonės duomenys.

„Didžiausia problema Vilniaus rajono savivaldybei buvo tai, jog užšifruotus duomenis teko atkūrinėti rankiniu būdu iš popierinių dokumentų. To būtų buvę galima išvengti, jei svarbi informacija, kad ir retai, būtų buvus kopijuojama už organizacijos serverio ribų, pvz. kitoje debesijos talpykloje. Šio resurso programišiams galimai nebūtų pavykę užšifruoti, tad atkurti įprastą veiklą būtų pavykę kur kas greičiau“, – samprotauja „Telia“ techninis saugumo vadovas.

Papildomai nuo didesnės žalos gali apsaugoti informacinių sistemų atskyrimas, draudimas serveriams komunikuoti su internetu bei serverio rekursinio DNS atsisakymas. Informacija apie išorines komunikacijas turėtų būti renkama, kad įvykus incidentui būtų galima atkurti visą įvykių seką. Jau vykstant atakoms, jos turi būti išskiriamos iš tūkstančių ar net milijonų įrašų ir apie tai turi būti pranešama atsakingiems asmenims.