Поки що незрозуміло, чи додасться до аналогічної української війни реальний кіберконфлікт – якщо такий конфлікт взагалі можна точно визначити. У будь-якому випадку поточний збройний конфлікт становить ризик для ІТ-безпеки компаній, навіть якщо ще невідомо, як розвиватиметься подальша ризикова ситуація.
Щоб ефективно захистити себе, компанії повинні, з одного боку, стежити за поточними небезпеками, а з іншого боку, ще суворіше дотримуватися стандартів безпеки. Власний потенціал ризику компанії вимірюється географічною, діловою чи навіть цифровою близькістю організації до України.
Побудуйте захист до того, як атаки стануть конкретними
Зараз у зв’язку з війною сталося менше інцидентів безпеки, ніж побоювалися. Більшість із них були атаками типу «відмова в обслуговуванні» (DDoS). Поки що експерти не отримали підтверджених повідомлень про атаки на уразливості в промислових системах управління (ICS). Такі дії паралізували енергопостачання України у 2015 та 2016 роках. Веб-сайт Curated Intelligence пропонує постійно оновлюваний огляд того, що відбувається. Як буде розвиватися ситуація, звісно, не передбачити. Але оскільки війна повернулася в Європу, компанії, державні установи та оператори KRITIS повинні підготуватися до приходу кібервійни.
Чим більше пов’язаний з Україною, тим більше ризик
Очевидно, що ризик для ІТ-безпеки від атаки зростає з фізичною чи цифровою близькістю до України. Потенційних жертв можна розділити на три класи ризику.
1 клас ризику
Компанії та установи, розташовані в Україні: Ви повинні бути готові до того, що зловмисники спробують повністю перервати процеси. Про це свідчить минула діяльність. Водночас націлюється доступність послуг та ІТ-систем. Слід побоюватися DDoS-атак і видалення даних, як і простоїв мережевої інфраструктури. Злочинці, яких називають «посередниками початкового доступу», які постійно шукають уразливості для перепродажу та надають облікові дані для доступу до мереж і систем перед атаками, тепер мають можливість продати свої знахідки тому, хто запропонує найвищу ціну. В арсеналі зброї зловмисників є кіберінструменти, призначені для завдання непоправної шкоди.
До них відносяться, наприклад, шкідливі програми CrashOverride або NotPetya або видалення даних HermeticWiper із сімейства шкідливих програм KillDisk. За допомогою HermeticWiper автори можуть націлюватися на своїх жертв або поширювати атаки в просторі IP-адрес, щоб завдати якомога більшої шкоди. Багато кіберзлочинців APT могли б виконати таку атаку, наприклад Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm або Turla. Відомий намір Conti Group вжити заходів проти цілей в Україні. Однак втручання проукраїнських груп, таких як Anonymous і GhostSec, також може поставити під загрозу ІТ-інфраструктуру.
2 клас ризику
Компанії та установи, пов’язані з Україною: поки що кібератаки були обмежені Україною. Але можна припустити, що постраждають і сусідні країни та організації, пов’язані з Україною. Будь-хто, хто підключений до організацій у країні через VPN або через ланцюжок поставок, повинен привести свою групу ІТ-безпеки в стан готовності та підготуватися до захисту. У той же час відповідальні особи також повинні оцінити тип мережі і, таким чином, конкретний ризик.
3 клас ризику
Компанії та установи в країнах, що підтримують Україну: Це включає всі країни-члени НАТО та ЄС. Тут існує ризик актів помсти з боку державних груп або цифрових найманців. Ймовірність того, що зловмисне програмне забезпечення, схоже на склоочисник, уже було розгорнуто, є високою, хоча доказів наразі немає. Відповідальні особи мають обов’язок оцінити стійкість систем безпеки та планів захисту зараз, до того, як станеться фактична атака.
Захист від нападників
Йорг фон дер Хайдт, регіональний директор DACH у Bitdefender (Зображення: Bitdefender).
Ситуація з безпекою залишається незрозумілою, але компанії можуть підготуватися до потенційних ризиків. ІТ-рішення та служби безпеки, такі як виявлення та реагування кінцевих точок (EDR) або кероване виявлення та реагування (MDR), допомагають і є незамінними. Але для оптимізації ІТ-безпеки необхідно виконати конкретне домашнє завдання. Наступна порада стосується всіх організацій у щойно визначених класах ризику:
- Найвищим пріоритетом є виправлення вразливостей, якими вже скористалися підтримувані урядом групи APT. Перелік відповідних і відомих уразливостей можна знайти тут.
- Безпечне розміщення резервних копій і тестування процесів, а також перевірене повне відновлення аварійного відновлення стоять на порядку денному з огляду на небезпеку, яку становлять склоочисники. Компанії, які знаходяться в зоні особливого ризику, повинні вимкнути всі комп’ютери та сервери, які не є критично важливими для ІТ-системи, щоб обмежити наслідки атаки.
- Необхідно постійно контролювати інфраструктуру, мережу та підключення ІТ компанії до зовнішніх партнерів. Це єдиний спосіб виявити потенційні атаки на ранній стадії та реалізувати плани захисту.
- Фішингові кампанії, пов'язані з Україною, зараз процвітають. Кіберзлочинці користуються готовністю публічно допомагати з репертуаром дедалі кращих шахрайств, які також можуть мати вплив на безпеку: отримані дані доступу є вхідним квитком до систем і процесів. Цю небезпеку повинен усвідомлювати кожен працівник.
- Стандартні заходи безпеки ІТ є важливими стовпами захисту. Це включає багатофакторну автентифікацію для всього віддаленого, привілейованого або адміністративного доступу до мережі, оновлення програмного забезпечення, дезактивацію портів і протоколів, необхідних для бізнесу, а також перевірку та оцінку використовуваних хмарних служб.
Кібер-зловмисники будуть карати тих, хто запізнився, щоб захиститися. Однак досі незрозуміло, чи відбудеться це в контексті триваючого конфлікту. Думки експертів щодо масштабів кібератаки також розходяться. Деякі експерти стверджують, що не правдоподібно, що коли почалася війна, легше розбомбити або захопити фабрику, ніж закрити її сервери. Адже до нападів на виробничі та постачальницькі об’єкти потрібно готуватися, якщо вони справді мають ефект. DDoS-атаки або кампанії з дезінформації, які сприяють невизначеності, є більш привабливими, оскільки вони ефективніші. Країни ЄС і НАТО, безумовно, стануть мішенню для підсвідомих атак, які вже знайомі з мирного часу. Однак недооцінка небезпеки означає бути неготовим до того, що іноді може бути великим ризиком.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de