Четыре к пяти. Почему велик риск повторного взлома и что с этим делать?

Опыт показывает: успешная кибератака вызывает у собственников и руководителей предприятий противоречивые чувства. С одной стороны, это досада. Всегда неприятно признавать себя жертвой нападения. И еще неприятнее — платить выкуп, который может исчисляться миллионами рублей, и терять время и дополнительные деньги на восстановление работоспособности инфраструктуры.

Но с другой — по итогам атаки собственники и управленцы почти всегда испытывают некое болезненное облегчение. Взлом состоялся, а значит повторения такого сомнительного экспириенса в ближайшей перспективе можно не ждать.

Так ли это? Статистика говорит, что нет. Примерно 80% организаций, в отношении которых реализовался риск кибератаки, подвергнутся взлому снова. На решение хакеров атаковать повторно оказывают влияние как технические, так и психологические факторы.

Почему так. Дипломатический путь для решения даже такой специфической проблемы, как хакерская атака, вполне возможен. В нашей практике были случаи, когда аргументированная позиция помогала существенно — в разы — снизить для клиента цену выкупа и не тратить дополнительное время на восстановление инфраструктуры практически с нуля.

Сразу оговоримся: платить выкуп — крайняя мера и точно не самый лучший план на случай кибератак. Перечислив некую сумму на криптокошелек, вы продемонстрируете, что будете готовы делать это далее. Другими словами, собственным поведением вы можете спровоцировать злоумышленников на повторный визит через какое-то время, поскольку они увидят: даже по итогам первой атаки “клиент” не особо сопротивлялся.

Что делать. Если пока хакеры не интересовались вашей организацией, хорошо бы понять, по каким каналам вероятнее всего они могут осуществить взлом. В определении слабых мест помогут консультанты. Они проанализируют инфраструктуру, составят список уязвимостей, а также предложат способы из закрыть. Ну а если вас уже когда-либо шифровали, то лучше перестать думать, что такого больше никогда не произойдет. А вместо этого — перейти к защите инфраструктуры.

Почему так. Чаще всего хакерами используются наиболее распространённые уязвимости типовых сервисов, из которых компании обычно собирают свою инфраструктуру. Если один раз вас взломали, значит, в защите есть серьёзные недочёты в защите. Эти недочёты будут эксплуатироваться всеми, кто просто “проходил мимо”.

Несколько раз во время проведения пентестов мы попадали внутрь инфраструктуры заказчика и с удивлением обнаруживали многочисленные трояны для удаленного доступа (remote access trojans, или RAT), установленные на различных серверах. Кроме этого информация в хакерском сообществе покупается и продаётся довольно свободно. В силу цеховой солидарности, или чтобы похвастаться, или за небольшое вознаграждение киберпреступники передают друг другу данные и прошлых взломах. Поэтому список уязвимостей конкретно вашей инфраструктуры, подробнейшее описание реакции компании на взлом и сработавшие аргументы заплатить могут стать достоянием киберпреступной общественности.

Что делать? Как минимум закрыть хотя бы тот канал, по которому успешно прошла первая атака. Это в какой-то степени усложнит злоумышленникам задачу. Есть шанс, что они переключатся на других, более беспечных жертв из собственного списка. Также имеет смысл заказать полный аудит информационной безопасности и/или анализ защищённости. В результате вы получите список слабых мест, рекомендации по устранению и консультации, которые позволят устранить текущие недочёты и составить план работ на перспективу. Эти работы можно будет реализовать своими силами, либо пригласить для их выполнения профильных экспертов.

Почему так. Этот пункт — следствие предыдущего фактора. Исследуя контур компании, чёрные и белые хакеры по факту делают одну и ту же работу. Только вот набор полученных данных они используют по-разному. В практике был курьёзный случай. Мы провели успешный пентест, написали отчёт с рекомендациями и переключились на другие проекта. Через пару лет нам звонит руководитель ИТ этого клиента и говорит, что их зашифровали.

После переговоров клиент согласился заплатить злоумышленникам, но с условием, что они скажут что делать, чтобы их больше не взломали. В ответ хакеры прислали им наш отчёт, который взяли с рабочего стола руководителя компании со словами: “Вам ведь уже давно всё написали”.

Что делать? Как минимум — задуматься об информационной безопасности. “Да кому мы нужны?” — эта “мудрость” в условиях продолжающегося кибершторма выглядит в лучшем случае как беспечность. А в худшем — как проявление безответственности по отношению к ее контрагентам. Если ничего не предпринимать, ваша компания может быть использована хакерами как плацдарм для атаки на крупного клиента или партнера вашей организации, “лобовой” взлом которого для хакеров выглядит задачей более сложной.

Если такая атака состоится, она принесет катастрофический эффект. Сам факт того, что злоумышленники пришли к крупному клиенту с вашей стороны, почти наверняка будет означать разрыв отношений, потерю контрактов и репутационный ущерб. В общем, это как раз тот случай, когда хакеры не шифруют данные, не сливают их конкурентам и не разрушают инфраструктуру. Но при этом наносят вред, из-за которого само существование бизнеса оказывается под вопросом.

Подготовку к отражению хакерских атак следует начать с искоренения вредных установок, которые крепко сидят в умах владельцев бизнесов. “Две молнии в одно и то же дерево не попадают” — это заблуждение руководителей организаций, уже попавших под удар, помогает исключительно хакерам. В условиях непрекращающегося кибершторма лучше фокусироваться на снижение площади поверхности атаки, на извлечении уроков из прошлых инцидентов (лучше чужих) и на снижение негативных последствий благодаря наличию резервных копий и продуманным заранее действиям, если инцидент все же состоялся. И совсем идеально — не давать злоумышленникам повода. Как раз для этого у вас есть “Нейроинформ”.