Як захиститись від кібератак? Рекомендації експерта антикризового Центру кібернетичного захисту бізнесу при ТПП України

У червні нинішнього року відбулись потужні хакерські кібератаки на ВЕБ-ресурси державних установ і бізнесу. Незважаючи на вжиті заходи з  ліквідації загроз і впровадження захисту, у липні знову стались атаки на низку банків та Укрпошту.

1. Яка ймовірність повторних кібератак у серпні та на які галузі?

(Відповіді на питання надав Олександр Галущенко – експерт Антикризового центру кібернетичного захисту бізнесу при ТПП України, провідний розробник компанії IT Laboratory.)

Дуже висока. Це – системна проблема, а не точкова. Невірною є думка, що всі кібератаки мають один напрям: вони, як і хвороби, бувають абсолютно різними. Існує, як мінімум, із два десятки напрямів, за якими можуть здійснюватися напади і впливи на існуючу інфраструктуру. Та й причини впливів абсолютно різні: від легких, практично непомітних, до масових і деструктивних за своєю суттю, спрямованих на знищення інфраструктури. Тут варто зануритися в цю тему докладніше, щоб доступно пояснити сенс того, що відбувається. Але це – тема окремої розмови.

7 березня 2017 року Wikileaks почала оприлюднення дампа під кодовою назвою Vault 7, що містить подробиці роботи Центрального розвідувального управління (ЦРУ) США. Перша публікація отримала назву «Рік зеро» (Year Zero) і містила 8761 документ і файли з закритої мережі Центру радіотехнічної й електронної розвідки ЦРУ в Ленглі.

Фактично, у вільний доступ були викладені інструменти і вихідний код, за допомогою яких будь-який початківець «хакер» зможе створити свій, унікальний продукт. Для таких «хакерів» у середовищі фахівців є назва: скрипт-кідді (англ. Script kiddie) –  таке принизливе призвісько у хакерській  отримали ті, хто користується скриптами або програмами, розробленими іншими, для атаки на комп’ютерні системи та мережі, не розуміючи механізму їх дії. Вважається, що скрипт-кідді занадто недосвідчені, щоб самим написати свій власний експлойт або складну програму для злому, і що їхньою метою є лише спроба справити враження на друзів або отримати похвалу від спільнот комп’ютерних ентузіастів.

І це страшно: фактично, це аналогічно мавпі з гранатою. Тому створені мутації атакуючих продуктів, помножені на помилки в коді, можуть стати «гримучою сумішшю», яка значно перевершить початковий задум «хакера». Пригадайте апокаліптичні фільми про створення біологічних вірусів, що вирвалися на свободу і знищили 99% населення планети. У нашому випадку теж вірус, але він використовує іншу середу поширення: мережі передачі даних, гаджети і набирає популярність серед інтернет речей.

Будь-яка атака вимагає підготовки. Неможливо натиснути одну кнопку й обвалити системи. Створення будь-якого шкідливого продукту потребує часу, випробувань, визначення об’єкта атаки і розуміння, чого саме слід добитися. Якщо брати конкретний випадок 27 червня, то там все далеко не просто, як здається на перший погляд. Були визначені цілі, модель і спосіб поширення, використовувалися свіжі, ще не вживані масово, уразливості (з опублікованих на Wikileaks). За всіма наявними в нашому розпорядженні обробленими даними, це було тренування. Такий собі тест у реальних умовах і вивчення реакції соціуму. Тому чекаємо ще однієї хвилі: з виправленими помилками і новими експлойтами (англ. Exploit, експлуатувати – комп’ютерна програма, фрагмент програмного коду або послідовність команд, що використовують уразливості в програмному забезпеченні і застосовують для проведення атаки на обчислювальну систему. Метою атаки може бути як захоплення контролю над системою – підвищення привілеїв, так і порушення її функціонування – DoS-атака).

Існує ряд причин, через які кількість атак буде тільки збільшуватися. Але це – тема окремої великої розмови з прикладами.

2. До Антикризового центру кібернетичного захисту бізнесу при ТПП України постійно надходять конкретні запити від представників малого та середнього бізнесу, а саме:

• Які превентивні заходи (регламентні роботи) треба провести для уникнення чи мінімізації загроз?

Ці питання з розряду «як вижити після ядерного вибуху». Занадто багато факторів, змінних і початкових умов. Але спробуємо систематизувати їх і відповісти.

Як не дивно, перші кроки лежать не в технічній, а в організаційній частині роботи. Повинно відбутися розуміння, що сьогодні ми перейшли межу між «десь там далеко і нас не торкнеться» і реальним проникненням технологій у наше життя. Якщо раніше можливості таких атак були в основному в голлівудських фільмах, то зараз це з нами. З усіма. І правило про снаряд і попадання в воронку двічі вже не працює. Цікаве спостереження: тільки після серйозної втрати даних власники бізнесу і керівники компаній оцінили рівень загрози і наслідки. І одразу знайшлися бюджети.

 Для усвідомлення існуючого стану ІТ складової компанії, необхідно провести аудит інформаційної безпеки. Це – перший і обов’язковий крок, із якого потрібно починати. Після цього стане зрозумілим, куди рухатися далі, скільки необхідно коштів і етапи приведення в порядок інфраструктури замовника.

Жодного універсального рецепта: завжди все по-різному: тому і необхідно починати з оцінки загроз і стану ІТ інфраструктури. Уже на цьому етапі багато хто починає нервувати: реальний стан майже завжди сильно відрізняється від того, що говорять «приходящі» фахівці, які вміють змінювати картридж у принтері і встановлювати піратські версії програмних продуктів. Рекомендуємо звертатися до компаній, що мають відповідні ліцензії і досвід роботи в цій сфері.

• Що потрібно знати керівнику підприємства у випадку загрози?

Загрози бувають різними. В першу чергу, необхідно розробити регламент роботи в мережі підприємства, призначити відповідальних осіб, а в ідеалі – побудувати систему захисту, яка сильно ускладнить проникнення і поширення шкідливих елементів. Тут, як не дивно, на першому місці не мегаскладні системи захисту, а адміністративні правила, виконання яких не є складним. Звичайно, використання новітніх систем апаратного захисту з аналітичними модулями сильно ускладнить життя хакерам і порушникам, але сподіватися тільки на апаратну частину – це неправильно. У будь-якій системі найслабша ланка – це людина.

• Які першочергові заходи з інформаційної безпеки Ви могли б рекомендувати?

Це будуть кілька порад, які не завжди врятують від цілеспрямованої атаки, але сильно ускладнять життя нападникам.

1. Змінити всі паролі на поштових скриньках та облікових записах (акаунтах). Одна адреса – свій, унікальний пароль. Ніколи паролі не повинні бути однаковими для різних адрес.
2. У паролі використовуємо великі, маленькі літери, службові символи (! "№;%:? * () _ +), не пишемо слова російськими літерами на англійській розкладці. Приклад хорошого пароля: Kj1 # w2 * LadQpw3oi029).
3. Розділити телефони: один особистий, другий для роботи. У них різні адреси електронної пошти і НІЯКОЇ переадресації!!!
4. Ніколи не вводимо пароль у формах, що приходять на пошту. Це фішинг. По простому – спосіб обманним шляхом отримати Ваш пароль.
5. «Яблучні пристрої» (iPhone, iPad тощо) відключаємо від хмари. Прибираємо автоматичне збереження та створення резервних копій. Усі дані для синхронізації тримаємо вдома на окремому комп’ютері, який підключається для синхронізації (ніякого Wi-Fi!!!). Так, це дещо не зручно, але, якщо до зловмисника потрапить Ваш пароль від хмари Apple iCloud, то вся інформація йому буде доступна. Навіть найпотаємніша і та, яка ретельно приховується, включно з листуванням у месенджерах, секретних чатах тощо. Ще один неприємний момент: Ви зробили фото, відправили його і стерли. Так ось: воно залишається. І його можна побачити. І використовувати в своїх цілях. Пам’ятайте про це. Анонімності в мережі немає, особливо з «яблучними» пристроями.
6. Заходимо в налаштування Google пошти і розриваємо всі сесії, крім тієї, з якою Ви увійшли. Ставимо двофакторну авторизацію по ПІНу. Це дасть ще один рівень захисту, крім прив’язки до номера телефону. Взагалі, цю процедуру (розриву сесій) потрібно проводити регулярно. І записувати IP адреси і час входу в систему. Ці дані дозволять виявити місце, звідки працює зловмисник і направити до нього мобільну групу швидкого реагування.
7. Ніколи не залишаємо телефон, планшет, ноутбук без нагляду. Досить 50 секунд для установки в ці пристрої програмного «жучка», який перетворить Ваші пристрої в заражені.
8. Файли, які прийшли поштою, відкриваємо з обережністю. З незнайомих адрес не відкривати. Якщо відкрили і файл просить установити щось або запустити макрос, або зробити будь-яку іншу дію – відмовляємося. Але не факт, що зараження вже не відбулося. Тому, тільки-но є підозра, робимо скидання до заводських налаштувань на пристрої. Це допомагає в 75% випадків. Для якісних продуктів ворожої промисловості (вірусів, троянів та ін.) це не рішення. Потрібно міняти все: телефон (апарат), номер (сім-карту), карту пам’яті та адресу електронної пошти. Ніякого експорту-імпорту. Потрібні контакти вбиваємо руками. Неприємно, проте надійно і не пролізе вірус.
9. До Wi-Fi мережі підключаємося ТІЛЬКИ в надійних місцях. Ніяких Free в Wi-Fi, гостьового доступу й інших. Тільки 3G. Надійне місце – це будинок, свій офіс. І пароль ніхто не знає, і він довгий, і функція WPS відключена. Якщо довелося комусь дати пароль від вашого Wi-Fi, після відходу гостей його (пароль) міняйте. Якщо це клопітно – купіть одну точку доступу і до неї всіх підключайте. І самі НІКОЛИ не користуйтеся нею. Така точка повинна заходити в приміщення окремим проводом і мати свою IP-адресу, в ідеалі – бути від іншого провайдера взагалі.
10. Найміть фахівця, він установить необхідне обладнання в офісі і вдома, яке сильно ускладнить спроби підключення. Варіанти є різні: від $1000 і до нескінченності, залежно від Ваших потреб.
11. Ніколи не використовуйте робочі адреси електронної пошти для реєстрації в соціальних мережах або для розміщення оголошення з номером телефону. Як приклад, маючи адресу пошти і номер телефону, можна отримати доступ. Як – то інше питання. Тому на візитці пишемо або міський номер телефону і реальну пошту, або мобільний номер і корпоративну пошту, з якої можна зробити переадресацію. Хоча правильно – ніякої переадресації і робота безпосередньо з цієї самої корпоративної пошти. Якщо важко налаштувати самому – навантажте свого адміністратора.
12. Не тримайте багато документів на Вашому диску. Нехай там буде тільки те, що потрібно в даний момент.
13. Не приймайте в подарунок засоби зв’язку і різні гаджети. Якщо не хочеться образити людину, знайдіть у магазині точну копію подарунка, купіть і використовуйте її. Ззовні відмінностей не буде, але від усіляких неприємних сюрпризів це врятує.
14. Вимкніть у Ваших пристроях (телефони, планшети, ноутбуки, холодильники, праски, телевізори тощо) автоматичне підключення до Wi-Fi мережі. Підключайтеся тільки в довірених місцях і тільки самі. Кнопкою. Ніякої автоматизації. Це важливо.

В Україні існують спеціалізовані органи і центри, уповноважені державою опікуватися питаннями інформаційної безпеки, які здійснюють моніторинг, ведуть боротьбу з кіберзагрозами та розробляють відповідні рекомендації.

CERT-UA (http://cert.gov.ua) – спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам (ДЦКЗ) Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку)

Кіберполіція України – https://www.cybercrime.gov.ua/

Ми рекомендуємо:

уважно читати надані рекомендації та не нехтувати ними, ставити питання, звертатися по допомогу до фахівців, не боятися просити роз’яснення. І пам’ятайте: одного, універсального, захисту не існує. Завжди потрібен комплекс заходів і постійний моніторинг систем для підтримки їх в актуальному, робочому стані.