«Неожиданный» урок: как хакерская атака чуть не привела к катастрофе и перевернула ИТ-стратегию компании
Поделюсь историей, как компания с миллиардными оборотами потеряла почти все данные, остановила работу на несколько дней и понесла большие убытки из-за очевидной лазейки в системе, которую не убрали айтишники.
Конечно, статья кажется сказочной и нацелена на рекламу услуг.
Но, отношение к ИТ безопасности во многих компаниях в РФ, мягко говоря не адекватное.
Далее из личного опыта. Когда был ИТ менеджером в одном сетевом отеле.
У нас через VPN были доступны сети всех отелей, мы видели друг друга.
И в какой то момент начали сыпаться предупреждения, что моя сеть атакована, причем кол-во попыток лавинообразное.
Оказалось, что у меня в отеле у единственного из всей сети! Была развернута централизованная система управления каспером. И я помогал потом вылавливать машины из других подсетей которые были заражены.
Через какое то время перешел работать в Компанию, которая является интегратором систем управления отелями.
Командировка. Развернул нашу систему, запланировал обучение. Пошел после работы гулять по городу и в аквапарк. Выхожу. В телефоне куча пропущенных. думаю что случилось, ведь наша система еще даже не запущена... В отеле зашифровали сервер на котором буквально несколько часов назад я закончил работы. Ни касперского ни какой либо другой защиты на серверах и вообще в отеле не было. Тоже думали, что это я их взломал. И телефон выключил :))
Каждый месяц, у нас стабильно шифруется тот или иной отель. Иногда не один.... Отель платит! за то, чтобы мы зачастую с нуля подняли их систему управления. Потеря данных, конфигурации...
Иногда мне кажется, что у менедмента отеля логика такая, ну может быть взломают нас раз в несколько лет.
Зато ИТ у нас и жнец и кузнец и в прачке если стиралка сломалась починит :) Не платить же нам зарплату "безопаснику".
Но есть и такие примеры "у вас случайно бекапа не осталось, а то мы вот тут сидим всем ИТ отделом и думаем может заплатит за расшифровку данных..." :)
Думаю поэтому в том числе и законы ужесточают. ФЗ 152, штрафы за утечку.
Спасибо, если дочитали :)
"xxx: Да что вы знаете о бекапе?! У меня в туалете висит два рулона бумаги."
Увы так часто бывает...
ИТ директор не может обосновать ГД зачем нужен отдел ИБ
Бизнес не выделяет средства для создание отдела или хотя бы 1 штатной единицы
Бывает вообще создают отдел ИБ и подчиняют его директору ИТ...
Однако тут, отговорка в виде того что у нас нет ИБ отдела не сильно поможет, все риски были озвучены, инструкции даны, исполнение подкачало ))