Кто будет следующей жертвой киберпреступников
Национальный центр кибербезопасности Великобритании заявил, что за последние 4 года группы хакеров ГРУ России провели ряд кибератак в разных странах мира.
Их целями были транспортные, финансовые, энергетические и государственные объекты в Украине, Национальный комитет Демократической партии США, Всемирное антидопинговое агентство в Канаде, Организация по запрещению химического оружия в Нидерландах. Была среди пострадавших и небольшая британская телекомпания Islam Channel, базирующаяся на окраине Лондона.
Как сообщили представители Islam Channel, нападение на них началось в июле 2015 года. Но руководство ничего не знало, пока через месяц к ним не пришли сотрудники правительственных структур и не сообщили, что их компьютерную инфраструктуру было скомпрометировано. Работники канала в течение нескольких недель даже не могли отправлять и получать мейлы, потому работа всей сети была парализована. Чтобы полностью очистить ИТ-инфраструктуру Islam Channel от присутствия злоумышленников, специалистам по кибербезопасности понадобилось более трех месяцев. Цель нападения хакеров остается неизвестной, но эксперты предполагают, что это моглао быть тренировка на сравнительно небольшой организации или целью злоумышленников был целый ряд телекомпаний и Islam Channel был лишь одной из них.
Другая история произошла в США. В августе этого года клиника мануальной терапии в маленьком городке Тилламук (25000 жителей), штат Орегон, проводила внутренний аудит безопасности и обнаружила в своей компьютерной сети злонамеренную программу, которая позволяла похищать данные пациентов. Хакеры получили информацию более 4 тыс. человек – имена, адреса, телефонные номера, истории болезней, платежные данные, в некоторых случаях номера социального страхования. В то же время клиника сообщила, что использовала антивирус, фаервол и новые версии программного обеспечения, к которым вовремя применяла все патчи. А самое интересное – что злонамеренная программа была в инфраструктуре компании более двух лет.
Третья история случилась в Канаде. Компания Recipe Unlimited, управляющая более 20 сетями ресторанов по всей стране, в конце сентября была вынуждена на несколько дней закрыть более 1,2 тыс. своих заведений из-за хакерской атаки. Посетители находили на закрытых дверях ресторанов наскоро написанные сообщения о "ransomware-атаке на компьютеры в главном офисе компании". Пока специалисты решали проблему, клиенты не получали ожидаемого сервиса, бизнес не работал и терпел убытки.
Что мы видим в этих достаточно разных историях?
Первое – что жертвой кибератаки может стать любой и в любом месте. Независимо от того, управляете ли вы телекомпанией, транслирующей на несколько стран мира, или управляете сетью заведений питания или открыли частный кабинет мануальной терапии – ваш бизнес может быть интересным для злоумышленников по многим причинам. Не важно, работаете вы в США, Канаде, Великобритании или Украине. Не имеет значения, чем мотивированы злоумышленники. Они могут иметь различные цели – от политических до чисто финансовых. Бизнесу необходимо осознать, что любая компания является целью для хакеров.
Второе – в каждом из случаев злоумышленники преодолели периметр и проникли во внутренние компьютерные сети своих жертв. Они могли действовать разными методами, но системы защиты периметра в этих случаях не защитили от проникновения.
Третье – если злоумышленники не проявляют себя сразу (чаще всего в случае ransomware-атаки, когда шифруются все данные с требованием выкупа), они могут очень долгое время оставаться в инфраструктуре незамеченными. И чтобы выявить и нейтрализовать их, нужны специалисты, а также специальные технологии и процессы.
Мануальным терапевтам из Тилламук выявить и остановить злоумышленников помог аудит безопасности. Такие аудиты – один из действительно эффективных способов защиты от кибератак. Их следует проводить каждой организации не реже одного раза в квартал. А еще лучше, если есть возможность, обеспечить постоянный мониторинг процессов в своей сети. Он позволит экспертам по кибербезопасности выявлять первые проявления аномального поведения в сети, исследовать их и своевременно останавливать развитие атаки. Этот способ защиты остается на сегодня самым эффективным, а главное – начинает становиться доступным для бизнеса различного масштаба.
