Эксперты по кибербезопасности компании "ИТ-Интегратор" провели комплексный анализ январской кибератаки на сайты государственных структур, которая стала самой масштабной за последние четыре года. Основные выводы: атака имеет очень много общих черт с NotPetya 2017 года, для проникновения использовались похищенные учетные данные, а главной целью было уничтожение данных.

Результаты комплексного анализа эксперты по кибербезопасности "ИТ-Интегратор" презентовали на онлайновой экспертной сессии "Атака на госсайты: выводы по результатам внешнего анализа", которую провели представители ведущих отечественных компаний, занимающихся кибербезопасностью и американской корпорации Cisco.

Сессия была посвящена кибератаке, состоявшейся ночью с 13 на 14 января и получившей название WhisperGate. От нее пострадали более 70 государственных учреждений. Во время сессии заместитель директора департамента по решениям информационной безопасности "ИТ-Интегратор" Алексей Швачка презентовал общие результаты анализа кибератаки от аналитической команды Cisco Talos и основные рекомендации по недопущению повторения подобных инцидентов, базирующихся на памятке для организаций от американского Cybersecurity Infrastructure Security Agency.

По словам Алексея, кибератака WhisperGate имела много общих черт с атакой NotPetya в 2017 году, которая нанесла миллиардный ущерб предприятиям по всему миру, и имела основной целью именно уничтожение данных.

Руководитель группы серверных решений "ИТ-Интегратор" Михаил Кудрявцев акцентировал на необходимости бизнеса повысить степень защиты резервного копирования данных. По его словам, в ситуации резкого обострения киберрисков отечественному бизнесу следует автоматизировать процесс восстановления данных для того, чтобы в случае кибератаки иметь возможность максимально оперативно перезапустить все пострадавшие бизнес-процессы.

В последнее время многие атаки направлены именно на резервные копии данных, потому что они помогают бизнесу очень быстро возобновлять оперативную деятельность. При выходе из строя систем резервного копирования данные просто уничтожаются и восстановить их невозможно. Проблема для бизнеса заключается в том, что эти системы достаточно уязвимы по отношению к внешнему вмешательству”, — рассказывает Михаил.

Поэтому современные IT-инфраструктуры требуют от бизнеса совершенно нового подхода к защите резервных копий, как и критических данных. По словам Михаила Кудрявцева, в последнее время в корпоративном секторе приобретает популярность концепция кибербункера. Суть ее состоит в том, чтобы организовать отдельную физическую среду для хранения резервных данных. В идеале это должно быть помещение с лимитированным доступом к нему только IT-директора и директора по информационной безопасности компании или учреждения. При этой концепции данные синхронизируются с сетью основного ЦОД только в течение ограниченного промежутка времени. А у компании и ее IT-директора в случае кибератаки есть возможность оперативно полностью изолировать бункер, исключить возможность доступа к нему извне и тем самым сохранить резервные данные. “При кибератаке компания должна иметь возможность полностью восстановиться в промежутке от нескольких часов до суток. После этого проводится аналитика всех данных для обнаружения киберугроз в защищенной среде”, – рассказывает Михаил.