О типичных слабых местах в IT-системах и о том, как эти уязвимости закрывать, рассуждает Иван Собакарь, руководитель проектов ООО «Си Дата Лаб»
Иван, недавние кибератаки (вирусы WannaCry/Petya/NotPetya) продемонстрировали, насколько бизнес зависим от полноценного функционирования IT-систем. В чем особенность этого семейства вирусов? Насколько уязвимы для подобных кибератак компании транспортного сектора, в частности, морские линии, порты и терминалы?
Порты и терминалы относятся к предприятиям, как правило, работающим 24 часа в сутки. Инфраструктура таких предприятий может быть различна, но для средних и небольших терминалов характерно наличие центрального сервера, принимающего и обрабатывающего запросы как от внешних источников, будь то веб-сайт или системы электронного документооборота, так и от внутренних служб порта. В условиях, когда необходимо обеспечить доступность информационной системы круглосуточно, задача обновления программного обеспечения может отойти на второй план. Особенность вирусов, таких, как Petya, в том, что они используют обнаруженные уязвимости в программном обеспечении для получения доступа к компьютерам и серверам локальной сети. То есть, будучи запущенным на одном пользовательском компьютере, он имеет возможность самостоятельно скопироваться на все ПК в локальной сети. Производители ПО регулярно выпускают исправления для своих продуктов, но их установка сделает информационную систему недоступной на период обновления, поэтому оно часто откладывается на неопределенный срок. И даже сегодня, когда стали известны методы распространения вируса и способы противодействия, еще можно найти серверы, уязвимость которых не закрыта обновлениями Windows.
Каковы типичные слабые места в IT-системах транспортных компаний, по каким аспектам/сегментам их деятельности вирусы бьют наиболее сильно и каковы последствия выхода из строя информационных сервисов?
Наиболее типичным слабым местом не только транспортных, но и многих компаний в других отраслях остается отсутствие плана действий на случай чрезвычайной ситуации. Не важно, будь то вирусная атака или механическая поломка серверного оборудования, в случае сбоя в стандартном рабочем процессе компании ее деятельность приостанавливается или переходит на “бумажный” режим работы. К примеру, резервные копии информационной системы хранятся на том же компьютере, где расположена она сама, и выход из строя сервера уничтожает не только систему, но и все ее копии. Или копии хранятся в другом месте, но в случае выхода из строя сервера их негде развернуть – нет другого сервера, готового взять на себя эту задачу. На подобные казусы мало кто обращает внимание в обычное время, но они играют свою роковую роль в экстренных случаях.
Какие именно автоматизированные бизнес-процессы делают компании особо уязвимыми для подобного рода атак?
При работе систем управления грузовыми терминалами множество процессов автоматизировано: обмен через стандарты электронного документооборота EDIFACT и XML, передача оперативных данных на веб-сайт и в мобильное приложение клиентов, загрузка присланных файлов excel и многое другое. К сожалению, чем сложнее программный продукт, тем выше вероятность наличия в нем уязвимости, которой можно воспользоваться. К примеру, если система настроена на чтение присланных файлов excel, то теоретически можно подготовить специальный файл, при чтении которого в системе будет загружен и запущен вредоносный код. Microsoft реализовала множество методов противодействия несанкционированному исполнению такого кода, но далеко не везде используется последняя версия Excel или ее аналогов. Поэтому особенно уязвимыми можно назвать те механизмы инфраструктуры предприятий, которые взаимодействуют с внешними поставщиками данных.
Насколько сложно поднять систему, подвергшуюся кибератаке, насколько реально полностью восстановить данные и функционал, о каких сроках может идти речь и какова может быть цена вопроса?
Сложность восстановления работоспособности информационной системы предприятия напрямую зависит от готовности к наступлению чрезвычайной ситуации. Известно, что данные, зашифрованные отдельными модификациями вируса Petya, восстановить в разумные сроки невозможно. Если инфраструктура готова к выходу сервера из строя, то в срок от нескольких десятков минут до нескольких часов происходит восстановление данных из резервной копии на другой сервер и предприятие продолжает работу. Какие-то данные могут быть утеряны, но с этим можно работать. Если инфраструктура не готова к подобным инцидентам, то в отдельных случаях на восстановление полной работоспособности системы могут уйти месяцы.
Какие выводы можно сделать из недавних кибератак с точки зрения оптимального выстраивания защиты от вирусов, какая стратегия развития IT-инфраструктуры является оптимальной в свете подобных угроз, как уже известных, так и тех, что могут возникнуть в будущем, – максимально централизованная или максимально децентрализованная? 
Как известно, борьба между создателями вирусов и службами безопасности не утихает ни на минуту. Любой продукт потенциально может содержать уязвимость, одни из которых легко устранить, другие либо настолько фундаментальны или скрыты, что требуют значительных усилий только на обнаружение. В свете этого защита данных переходит в плоскость базовых правил, позволяющих обезопасить критические для работы предприятия системы от практически любых угроз, начиная от аппаратной поломки и заканчивая человеческим фактором и намеренной порчей. К примеру, на рынке обретают широкую популярность сетевые хранилища данных (NAS), которые по цене и возможностям делятся на корпоративные и для домашнего офиса или небольших компаний. Эти устройства кроме аппаратной надежности благодаря использованию зеркалирования при хранении информации (RAID-1) поддерживают возможность хранить данные в режиме “без перезаписи”. Таким образом, однажды записанная резервная копия системы остается хранится в неизменном виде и не может быть зашифрована ни вирусом, ни удалена пользователями. Задачу выхода из строя сервера по причине аппаратной поломки можно решить покупкой резервного маломощного сервера, который в обычном состоянии будет выключен, а в случае необходимости может принять на себя функции по обработке всех информационных потоков предприятия на период восстановительных работ. Подобные решения не являются дорогостоящими или уникальными на рынке, их ключевое преимущество в другом – они создают необходимую избыточность в инфраструктуре, которая может быть использована для компенсации ущерба как от программных угроз, так и от физических.