Mazāk nekā puse uzņēmumu ir gatavi stāties pretī arvien pieaugošajiem hakeru radītājiem draudiem

Saskaņā ar PwC ekspertu sniegtajām ziņām finanšu zaudējumu draudi, ko rada vīruss, kas šifrē datora lietotāja datus un ir pazīstams kā “šifrējošais vīruss” jeb izspiedējvīruss (ļaunprātīga programmatūra) turpina pieaugt. Eksperti uzsver, ka tikai pusei PwC aptaujāto uzņēmumu ir zināmi šādu uzbrukumu identificēšanas rīki, un tie aktīvi uzrauga un analizē informācijas drošības sistēmas iegūtos datus, savukārt, mazāk nekā puse uzņēmumu analizē tīkla ievainojamību, izvērtē riskus un lieto apdraudējuma ziņu abonēšanas pakalpojumus[1].

Hakeri pastāvīgi uzlabo savu taktiku, atrodot arvien jaunus veidus, kā izkrāpt naudu no uzņēmumiem un personām, kas kļuvušas par viņu uzbrukuma mērķi. Vēl pirms pāris gadiem hakeru galvenā metode bija t.s. pikšķerēšanas uzbrukumi, t.i., internetbanku klientus viltus ceļā piespieda lejuplādēt vīrusu, kas notika, uzklikšķinot uz saitēm e-pastos, tādējādi inficējot lietotāja datoru. Pēc datoru inficēšanas uzbrucēji novēroja savu upuru darījumus ar mērķi nozagt  datus un autorizēt krāpšanas darījumus, vai lietoja sociālās inženierijas metodes, lai viltus ceļā piespiestu neapķērīgus klientus pārskaitīt naudu uz krāpnieku kontiem.

“Jau vairākus gadus esam novērojuši, ka pieaug izspiedējvīrusu radītais apdraudējums,” stāsta Ēriks Dobelis, PwC ITS vadītājs, kas vada uzņēmuma kiberdrošības komandu. “Pēc uzstādīšanas datorā šī programmatūra šifrē datnes un pieprasa no lietotāja samaksu apmaiņā pret to atšifrēšanu. Ja lietotājs atsakās maksāt, viņš zaudē piekļuvi datiem, vai arī minētie dati tiek publiskoti, radot reputācijas risku gan lietotājam, gan viņa organizācijai. Parasti uzņēmumos lietotāju un ražošanas datiem veido rezerves kopijas, tāpēc vīrusa sabojātos datus ir iespējams atgūt. Taču ne vienmēr tas atbilst patiesībai un arī rezerves kopijas var tikt apdraudētas, ja tās ir sasniedzamas rakstīšanai vai dzēšanai caur datortīklu no inficēta datora.  Tā vietā, lai paļautos uz atsevišķiem mehānismiem (rezerves kopijas, antivīruss, utt.) nepieciešams veidot sistemātisku pieeju drošībai. Tipiskā Latvijas uzņēmumā ir ļoti vāji attīstīta drošības uzraudzība un, ja pamata aizsardzība nenostrādā, tad tālākā uzbrucēja rīcība var ilgstoši netikt pamanīta,” skaidro Ē.Dobelis.

“Datu atgūšana pēc vīrusa šifrēšanas ir tikai daļa no kopējās cīņas,” saka Baiba Apine, PwC Konsultāciju nodaļas direktore. “Svarīgs aspekts ir arī uzņēmuma reputācija, un to ir iespējams sabojāt, nozagtās informāciju nopludināšanas gadījumā vai ja informācija par šādu incidentu nāk gaismā. Turklāt uzbrucēji var uzstādīt citas vīrusa komponentes, kas atļauj attālinātu piekļuvi inficētajai IT infrastruktūrai, nemaz nerunājot par zaudējumiem, kas radušies, paralizējot uzņēmuma darbību inficēšanās ar vīrusu dēļ, kā arī nepieciešamību izolēt sistēmas, lai atrisinātu problēmu un samazinātu inficēšanās draudus.”

 

Kā darbojas WannaCryptor (WannaCry) izspiedējvīruss?

Inficēšanās vilnis ar WannaCry izspiedējvīrusu aizsākās pagājušās nedēļas piektdienā, 12. maijā. Šajā uzbrukumā ir cietuši daudzi lieli starptautiskie uzņēmumi.

Vairumā šādu gadījumu datorus ir iespējams inficēt ar e-pastiem, kuros lietotājus aicina atvērt pielikumus, taču šis uzbrukums atšķiras ar vīrusā iebūvēto pašpavairošanās mehānismu, kas ļauj infekcijai izplatīties no viena datora uz citiem tā IT vidē. Šis vīruss lieto jau zināmo Windows operētājsistēmas ievainojamību, kuru šā gada martā Microsoft novērsa savā MS17-010 atjauninājumā. Diemžēl programmatūras atjaunināšana un labojumu uzstādīšana plašās IT vidēs ir laikietilpīgs process. Turklāt datorus ar viegli ievainojamām Windows sistēmām ir iespējams inficēt, tiem savienojoties ar publisku Wi-Fi tīklu, kuru lieto citi inficētie datori. Vīruss spēj automātiski atjaunināties, uzstādīt turpmākās versijas, kuras standarta vīrusu identificēšanas metožu antivīrusu sistēmas nespēj identificēt.

Ja vien nav apdraudējuma cilvēka dzīvībai, pamata pieeja šādos gadījumos ir neielaisties nekādās sarunās ar uzbrucējiem un nemaksāt izpirkuma maksu.

Lai ierobežotu inficēšanās risku un WannaCry izspiedējvīrusa darbību, īpaši ieteicams:

  • nekavējoties izolēt inficēto darba vidi no pārējām uzņēmuma IT infrastruktūras komponentēm;
  • ierobežot infrastruktūras komponenšu spēju komunicēt ar internetu, lietojot SMB protokolu datņu nosūtīšanai un kopīgošanai (jābloķē publiskā interneta komunikācija uz portiem 137, 139 un 445  un no tiem);
  • ierobežot spēju izmantot SMBv1 datņu kopīgošanas protokola versiju visā IT infrastruktūrā;
  • ierobežot spēju darbināt ar digitālo parakstu neparakstītus makro Microsoft Office dokumentus, izmainot grupas politikas uzstādījumus, un atļaujot lietot tikai pārbaudītus, pareizi parakstītus makro;
  • nodrošināt, ka attālināta piekļuve IT infrastruktūrai notiek pa VPN, izmantojot divpakāpju autentifikāciju;
  • atpazīt un ierobežot infrastruktūras komponenšu (kurām nav uzstādīts MS17-010 labojums) pieeju galvenajām lietotnēm un uzņēmuma IT infrastruktūras komponentēm;
  • antivīrusa parakstu forsēta atjaunināšana;
  •  nodrošināt darba vides spēju atšķirt domēnu nosaukumus un komunicēt ar t.s. “kill switch” domēniem, kurus lieto populārākā WannaCry izspiedējvīrusa versija;
  •  novērot komunikāciju ar šādiem domēniem:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com un ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com).

  •    pastāvīgi izglītot un informēt darbiniekus par ļaunprogrammatūrām, kā arī, izmantojot sociālās inženierijas elementus, uzbrukt vīrusa pārnēsātājiem.

Par PwC ITS

PricewaterhouseCoopers Information Technology Services SIA sniedz tādus ar biznesa tehnoloģijām saistītus pakalpojumus kā kiberdrošība, lielapjoma datu analīze, risku izvērtēšana, IT stratēģijas izstrāde un pārvaldība, kā arī izmaiņu vadība. Šī uzņēmuma izveide ir nākamais solis PwC informācijas tehnoloģiju konsultāciju attīstībā Baltijā un Centrālās un Austrumeiropas reģionā kopumā.

Kopš dibināšanas brīža SIA “PricewaterhouseCoopers Information Technology Services” SIA (PwC ITS) ir daļa no globālā PwC audita un biznesa konsultāciju tīkla un tā pakalpojumu klāstā būs pieejami visi ar informācijas tehnoloģijām saistīti konsultāciju pakalpojumi.

©2017 PricewaterhouseCoopers. Visas tiesības rezervētas.

 

[1] PwC ziņojums “Globālais informācijas drošības stāvoklis® 2017. gada aptauja” : http://pwc.to/2qkinUZ, 7. Lpp.