Подарочек от киберпреступников: как защититься от угроз ИБ в праздничные дни

Новый год и Рождество — особый период. В конце года нужно завершить все дела как рабочие, так и личные: сдать отчеты, подвести итоги и купить всем подарки.

В этой статье вместе с экспертами поговорим о том, как специалисту по кибербезопасности подготовиться к новогодним праздникам, чтобы минимизировать риск возникновения инцидента и потенциальный ущерб от него.

Есть ли у киберпреступников каникулы?

Вопрос может показаться курьезным, но у некоторых хакеров и правда есть полноценный рабочий график, который учитывает и количество рабочих часов, и государственные праздники, выходные дни.

Например, из ноябрьского отчета Palo Alto Networks можно узнать об атаке на государственные сервисы Камбоджи. В рамках темы этот кейс интересен тем, что хакеры приостановили свою деятельность на время т.н. «Золотой недели Китая» – которая в Китае считается выходной.

Однако, это только единичные пример. Если смотреть на всю картину, то вряд ли можно найти даже один час, в который сразу все киберпреступники в мире окажутся не активны.

Екатерина Старостина

Директора по развитию бизнеса, Вебмониторэкс

Мошенники очень активны в новогодние праздники, так как люди часто отвлечены от своих обычных дел и могут быть менее бдительными. Повышенные риски существуют из-за увеличенного онлайн-шопинга, финансовых транзакций и общения в социальных сетях, что создает больше возможностей для кибератак.

Например, злоумышленники могут рассылать фишинговые письма с поздравлениями или от имени сайтов по продаже подарков, новогодних товаров или турфирм, предлагающих горящую путевку.

Одна из причин, по которой кибермошенники выбирают праздничный период для атак — это увеличенное время реагирования на угрозы, которое дает злоумышленникам фору и они могут оставаться незамеченными дольше чем обычно.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Черные хакеры как раз и используют подобные каникулы для активного взлома инфраструктуры. Во-первых, есть высокая вероятность, что взлом будет замечен только после праздников, так как многие сотрудники на каникулах, не доступны и сервисы работают в автоматическом режиме.

Во-вторых, если киберпреступники уже проникли во внутреннюю сеть, то во время каникул есть шанс, что никто не будет заниматься расследованием, почему тот или иной сервер ушел в перегрузку или почему есть странные аномалии в сетевом окружении. Конечно, крупные компании имеют сменных инженеров и дежурных администраторов по ИБ, но вот не все средние компании могут себе такое позволить.

Злоумышленники хорошо понимают, что предновогодняя суета и посленовогодняя расслабленность сотрудников, вызванные праздником, повышают их шансы на успешность кибератаки.

Кибератака вместо сладкого подарка

Важно понимать, что новогодние выходные — это только один, наиболее долгий и очевидный, из периодов, когда защита системы может быть снижена. Злоумышленники используют нерабочие дни в своих целях весь год: от майских каникул и национальных праздников до обычных выходных в конце недели.

Еще одним примером предпраздничного взлома можно считать случай с критической уязвимостью нулевого дня Log4Shell, которая стала публичной 9 декабря. Конец 2021 года и новогодний уик-энд стали настоящим бумом эксплуатации этой уязвимости сразу по трем причинам:

• простота эксплуатации;
• высокий уровень критичности;
• распространенность самой библиотеки Log4j.

Появление критической, трендовой уязвимости в последний месяц года — это экстраординарное событие. А вот спланированные кибератаки, спланированные с учетом выходных — это вполне распространенное явление.

Тарас Дира

Директор Центра сервисов информационной безопасности STEP LOGIC

Недавно мы были свидетелями атаки на крупную организацию с использованием шифровальщика. Как часто бывает, это произошло ночью выходного дня. Поскольку использовалось устаревшее ПО, которое имело прямой доступ в интернет, злоумышленники эксплуатировали ряд уязвимостей для получения удаленного доступа.

Обосновавшись и проведя разведку внутренней инфраструктуры, они скомпрометировали административный доступ к ключевой системе компании, и вся информация была зашифрована. Расшифровать данные, зашифрованные современными шифровальщиками, как правило, не представляется возможным. Хорошо, что работу критичных систем удалось восстановить достаточно оперативно благодаря наличию бэкапа. Поэтому мы всегда рекомендуем уделять особое внимание резервному копированию, проверять данные и хранить в изолированном безопасном месте.

Если вернуться к новогоднему периоду, то можно вспомнить фишинговую компанию по распространению вредоноса Carbanak в конце 2013 года. Тогда целью атаки стали финансовые организации по всему миру, от Африки до Азии.

В письмах, адресованных сотрудникам банков, содержался архивированный файл, в котором якобы была дополнительная информация для получателя. На самом деле при открытии прикрепленного документа компьютер мгновенно заражался троянцем Carbanak.

Так криминальная группировка получила в общей сумме примерно миллиард долларов, взломав около 100 банков, находившихся в 30 странах, используя человеческий фактор — банальное несоблюдение сотрудниками базовых правил.

Артем Избаенков

Директор по кибербезопасности EdgeЦентр

Один из известных примеров атаки, произошедшей в нерабочие дни — это атака на Sony в 2014 году. Во время рождественских каникул хакеры использовали вредоносное ПО, чтобы стереть все данные с серверов компании. Это привело к огромным финансовым потерям и ущербу репутации. Этот пример является напоминанием о том, насколько важно всегда оставаться начеку и быть готовым к возможным угрозам, даже во время праздников.

Если говорить о кейсах этого года, то примечателен недавний инцидент с итальянским провайдером Pa Digitale. Этот провайдер, в частности, предоставляет услуги фонду, который занимается финансовыми выплатами большинству итальянских бюджетников, включая студенческие стипендии и премии. Пока до конца не известно, связан ли инцидент с программой-вымогателем, как говорит сам провайдер, или же дело в ошибках эксплуатации, но факт остается фактом – тысячи итальянских госслужащих и студентов остались в этом году без праздничных премий и выплат.

Как после Нового года не остаться с углем в руках

Нельзя сказать, что есть специальные меры по подготовке к новогодним праздникам или любым другим продолжительным выходным. Однако, не лишним будет напомнить о базовых приемах, которые позволят специалисту по кибербезопасности спокойно сесть за новогодний стол.

Тарас Дира

Директор Центра сервисов информационной безопасности STEP LOGIC

Ответ на этот вопрос может сильно меняться в зависимости от контекста, организации и используемых систем, однако приведу базовые вещи, которые мы рекомендуем нашим заказчикам:

1. Проверить настройки безопасности на соответствие корпоративной политике.
2. Убедиться, что установлены все необходимые обновления, патчи, устранены уязвимости.
3. Проверить или запустить резервное копирование данных. Также нелишним будет убедиться в работоспособности бэкапов. Данные храните в изолированном от сети безопасном месте.
4. Проверить настройки мониторинга систем безопасности, а также работоспособность уведомлений, особенно если недавно вносились какие-то изменения.
5. В рамках организационной подготовки к праздникам актуализируйте с коллегами план реагирования на инциденты, определите зоны ответственности, составьте график дежурств, продумайте систему коммуникаций.

Также стоит организовать рассылку пользователям с корпоративными правилами, инструкциями и напомнить о базовых принципах цифровой гигиены.

Важно помнить, что в современных реалиях многие компании работают и в праздничные дни. При этом не всегда сотрудники приезжают в офис, так как распространена практика удаленной работы из дома со личных устройств. В этом случае нужно особенно внимательно отнестись к информационной безопасности.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Прежде всего необходимо разобраться с удаленным доступом для сотрудников, которые будут работать из дома. Обновить все истекающие сертификаты, перевыпустить ключи. Желательно, составить перечень тех сотрудников которые точно будут работать и отключить на время праздников всех остальных.  Следующее, необходимо настроить SMS или почтовые уведомления с критических систем. Возможно – это поможет своевременно среагировать на угрозу, даже находясь на каникулах. Последнее, необходимо сделать резервные копии всех данных и сервисов. Если эта операция выполняется, то надо проверить целостность резервных копий, чтобы в случае взлома быстро восстановить систему или хотя бы ее часть.

Нельзя быть уверенным в том, что вышеперечисленные действия обеспечат 100% защиты, но даже обновление антивируса, защита от спама и проверка на вирусы помогут снизить риски взлома.

Главный риски ИБ — это «выгоревший» безопасник

Работа специалиста по информационной безопасности предполагает высокий уровень ответственности и стресса. Поэтому, если сотрудник не отдыхает и даже под бой курантов думает о работе, то он рискует быстро выгореть. Опытные специалисты по кибербезопасности сходятся во мнении, что качественный отдых необходим.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Работа администратором ИБ достаточно стрессовая и сотрудники на ней часто выгорают, поэтому я рекомендую хорошо отдыхать, менять на время отдыха сферу своих интересов, хорошо спать, побольше гулять на свежем воздухе и стремиться получить как можно больше положительных эмоций. Именно это спасает от выгорания и проблем с психикой. Спорт, здоровый образ жизни и новые впечатления — вот что помогает справиться со стрессом.

Значимую роль в предотвращении выгорания и снижения уровня стресса играет адекватный уровень нагрузки. Не обязательно делать всю работу самостоятельно и быть занятым 24/7. Если чувствуете, что работаете на пределе, то стоит поговорить об этом с коллегами и руководителем.

Кирилл Лукьянов

Руководитель отдела защиты систем и сервисов iTPROTECT

Важно правильно распределять обязанности и нагрузку, не оставляя всю ответственность в руках одного сотрудника, особенно в крупных компаниях. Некоторые крупные компании практикуют посменный график работы, чтобы в любое время наготове находился специалист, способный оперативно решить возможные проблемы. Также удаленная работа дает возможность решить часть задач даже за пределами офиса или из другого города. Самим же специалистам я посоветую на время отдыха минимизировать взаимодействие с гаджетами и устройствами, и сфокусироваться на любимых активностях, хобби и общении с приятными им людьми, что отлично работает для снятия стресса.

Важно не забывать вовремя ходить в отпуск и брать больничный в случае болезни. Подавляющее большинство специалистов по кибербезопасности испытывают чувство высокой ответственности за инфраструктуру своей компании. Однако,  в случае инцидента или другой критической ситуации здоровый и отдохнувший человек с большей вероятностью найдет лучший способ разрешить ситуацию.

Рецепт кибербезопасного Нового года

В контексте подготовки к новогодним выходным можно выделить четыре наиболее эффективных меры:

1. Проверка бэкапа. Он должен быть актуальным, рабочим и изолированным.
2. Настройка уведомлений. Чем раньше ИБ-отдел начнет реагировать на критические «алерты» – тем меньше шансов у киберпреступника.
3. Повышение осведомленности. Перед праздниками стоит рассказать коллегам об актуальных уловках злоумышленников и основных угрозах.
4. Обновление ПО. Стоит проверить наличие актуальных обновлений безопасности и убедиться, что все важные системы «пропатчены».

При этом сделав все возможное, лучше дать себе выдохнуть и восстановить силы — провести на праздниках время с семьей, а не перед экраном ноутбука.