Хотите работать — заплатите. Или как делать бизнес в мире, где вирусы-шифровальщики — это новый рэкет

Пятый день не работает СДЭК. По предварительным данным ущерб СДЭКа может составлять от 300 млн до 1 млрд рублей. Как руководитель бизнеса и системный администратор, я седею от таких историй и бегу проверять, а все ли сделано, чтобы снизить эти риски для нас и наших клиентов и что можно ещё придумать, чтобы их обезопасить, но не разорить на защите?

За последние несколько лет было зашифровано несколько крупных коммерческий компаний: Мираторг, Wildberries, теперь СДЭК, и это просто те компании, которые на слуху. Средний и малый бизнес, не так широко известный публике, страдает тихо. Я сам неоднократно сталкивался с такими ситуациями, и, к счастью, нас пытались взломать не такие ушлые ребята, поэтому удавалось выйти с наименьшими потерями или совсем без потерь. Почему я говорю про «ушлых ребят», да потому что я твердо уверен, что, если кому-то нужно вас или нас взломать, то взломают. Моя задача как собственника бизнеса и как ИТ-аутсорсинга для своих клиентов – это снижать риски и потери от таких ситуаций настолько, насколько это возможно.

Часть моих клиентов – это те, которые изначально пришли за помощью с уже зашифрованными файлами, и да, волшебной технической пилюли не бывает, не всегда удается восстановить всю информацию, особенно если прошло какое-то время.

Также было два случая, когда текущих клиентов шифровали. Не самые приятные ситуации, но это наш опыт, пусть он и стоил нам потерянных нервных клеток, которые в отличии от бэкапов восстановлению не подлежат.

В обоих случаях мы смогли быстро возобновить работу клиентов, потому что мы делаем резервные копии. В первом случае причиной было открытие письма с вирусом. Во втором случае — выданный доступ для 1С специалиста. Злоумышленники получили доступ к компьютеру, с которого производилось подключение к серверу, а далее с этого компьютера, используя сохраненный VPN, получили доступ к серверу. В этом случае добрались даже до резервных копий на первом и втором носителе, тут нам и пригодился третий носитель, о существовании которого взломщик не знал.

Я сталкивался с двумя видами шифровальщиков:

После шифрования всех файлов и баз данных, а также обнаружения этого факта необходимо определить, какие данные были затронуты. Затем начинается кропотливая работа по восстановлению. Скачивание большого объема данных с локальных, а тем более с удаленных носителей занимает много времени, поэтому не стоит ожидать, что все заработает через пару часов. Иногда этот процесс восстановления может занимать несколько дней. Помимо скачивания и развертывания инфраструктуры из резервных копий с нуля, параллельно необходимо найти, как вас взломали, чтобы закрыть эту лазейку. Это удобнее всего делать, если у вас развернуты сервисы для мониторинга и логирования, поскольку зачастую все локальные журналы очищаются.

Антивирусные программы часто не могут защитить от вирусов-шифровальщиков из-за их быстрого развития и обновлений, использования социальных инженерий, техник (полиморфных и метаморфных) , которые меняют код для обхода детектирования, злоупотребления легитимными инструментами, использования уязвимостей нулевого дня, что усложняет распознавание вредоносного ПО.

На 100% процентов защититься от любых вирусов, в том числе от шифровальщиков, невозможно. На любую защиту и специалиста по безопасности найдется более опытный специалист, способный эту защиту обойти. Но точно можно и нужно максимально усложнить ему задачу, а также снизить риски для самого бизнеса, поэтому вот, что нужно проверить или сделать в первую очередь:

Чаще всего, если к нам обращается компания, которую уже зашифровали, то причиной шифрования является абсолютное пренебрежение элементарными правилами безопасности: в 90% случаях это отсутствие VPN, легкие или скомпрометированные пароли. При этом как системные администраторы мы сталкиваемся с непониманием клиентов, зачем нужны тяжелые пароли. Или, например, когда мы берем новую компанию и внедряем VPN, то можем услышать: «как это не удобно, раньше ты просто брал и подключался к серверу, а теперь нужно еще какой-то VPN запускать». Подчеркну, что пароли и VPN не требуют каких-то дополнительных затрат, но очень сильно повышают уровень защиты.

Используйте лицензионное программное обеспечение. Стоимость этого пункта необходимо оценивать каждой компании отдельно, исходя из ее нужд. Да, лицензионное ПО звучит просто, и мы его очень любим, так как это снижает количество постоянно возникающих проблем и рисков. Но при этом это не только один из самых дорогостоящих пунктов, но в текущей обстановке еще и острая проблема, так как многие компании ушли с российского рынка. Понятное дело, есть обходные пути закупки ПО, но не каждая компания может себе это позволить. Особенно это касается малого и среднего бизнеса.

Локальные бэкапы. Вторые копии старайтесь делать на сетевые хранилища или дисковые полки. 10Тб хранилище обойдется в районе 100 тыс. рублей. 100Тб в районе 500 тыс. рублей. Дисковые полки с большими объемами от 500 тыс. рублей и выше.

По стоимости бэкапов в облаке. Мы чаще всего в России пользуемся FirstVDS или Cloud4box. За 5Тб в районе 3 500 рублей в месяц.

Работайте с паролями, организуйте мониторинг и логирование, это, конечно, требует определенного уровня компетенций и опыта, поэтому тут стоимость зависит от профессионального уровня вашего системного администратора, ИТ-отдела или компании, которая предоставляет вам эти услуги.

В любом случае стоимость утраченных данных или простоя вашего бизнеса может быть сильно больше всех затрат выше. Как ИТ-аутсорсинг мы все время стараемся найти оптимальный баланс между затратами клиента и безопасностью.

Сделайте аудит на поиск уязвимостей, разберитесь, делается ли у вас резервное копирование и где хранятся копии – это то, что вам нужно было сделать ещё вчера. Если не знаете, как сделать это правильно или хотите понять, насколько грамотно эта система выстроена в вашем бизнесе – то я могу помочь с этим, обращайтесь.