Pazīstamais informācijas tehnoloģiju uzņēmums Acer martā saņēma satraucošu vēsti. Hakeru grupējums REvil apgalvoja, ka ir nozadzis Taivānas kompānijai finanšu datus un par to atdošanu pieprasīja 50 miljonu dolāru izpirkuma maksu. Tos esot palīdzējis iegūt Acer datrorsistēmā iekļuvis izspiedējvīruss un Microsoft Exchange atklātā ievainojamība. Hakeru grupējums pat padalījās ar pāris finanšu datu ekrānšāviņiem, kurus viņi ir ieguvuši, lai pierādītu to, ka patiešām ir piekļuvuši Acer privātajai informācijai, ziņoja portāls The Verge (Acer reportedly hit with $50 million ransomware demand – The Verge).
Šis nesenais atgadījums kārtējo reizi atgādināja, internetā nevar paļauties uz to, ka “mana informācija nevienam nav vajadzīga”. Ja hakeris pamanīs pietiekami nepasargātus un viegli iegūstamus datus, tas nekavēs izmantot situāciju un par to mēģinās paprasīt naudu. No jebkura uzņēmuma. Arī pavisam neliela. Arī nomaļā Latvijas nostūrī strādājoša. Jo internetā ģeogrāfiskais attālums nav šķērslis.
Uzbrūk visiem
Jūnija nogalē izplatījās runas, ka uzbrukumu piedzīvojis arī profesionāļu iecienītais socializācijas portāls LinkedIn. Hakeris vārdā «GOD User» bija atradis vietnē drošības “caurumu” un savācis informāciju, kāda nedrīkstētu kļūt publiski pieejama. Tās bija e-pasta adreses, telefona numuri, atrašanās vietas dati un cita informācija, ko reģistrējoties norāda paši lietotāji. Uzbrucējs piedāvāja interesentiem par 5000 ASV dolāru iegādāties “Demo paku” ar miljons lietotāju datiem.
Žurnāla Forbes interneta versija ziņoja, ka ļaundara rīcībā nonākuši dati par 700 miljoniem LinkedIn lietotāju jeb 92% no visiem (A LinkedIn ‘Breach’ Exposes 92% Of Users—And Other Small Business Tech News (forbes.com)). Vēlāk jau izplatījās ziņas par miljardu cietušo (Exclusive: Hacker Now Selling 1B LinkedIn Records Including Passwords (privacysharks.com). Citiem vārdiem sakot, morāli apzagti bija faktiski visi portāla klienti. Uzņēmums publiski noliedza ielaušanās faktu, apgalvojot, ka dati savākti “kaut kur ārpusē” un ka neviens klients nav zaudējis sensitīvu informāciju, piemēram, kredītkaršu datus, kas jāievada reklāmu pircējiem. Tomēr drošības eksperti apšauba, ka tik vērienīgu viena uzņēmuma klientu datu bāzi varētu izveidot, nepiekļūstot komersanta serveriem. Viņu skatījumā ir saņemts ļoti nopietns brīdinājuma signāls – pat ļoti lieli globālā tirgus spēlētāji joprojām nav neievainojami.
Nežēlo pat mediķus
Šādi uzbrukumi nav nekas jauns. Līdzīgā veidā 2013. gada augustā 3 miljardu klientu dati tika nozagti Yahoo (Yahoo’s 2013 Email Hack Actually Compromised Three Billion Accounts | WIRED) un 2019. gada nogalē informāciju par 1,1 miljardu lietotājiem zaudēja Ķīnas interneta tirgus laukums Alibaba (Alibaba suffers billion-item data leak of usernames and mobile numbers • The Register). Cietušo uzņēmumu un organizāciju saraksts ir plašs un daudzveidīgs. Tur ir daudz labi pazīstamu un vēl vairāk nevienam neko neizsakošu vārdu. Pat tādu, kuriem augstā drošības līmeņa dēļ tur noteikti nevajadzētu būt. Piemēram, ikoniskajā Pentagona ēkā mājojošā ASV Aizsardzības ministrija. Taču ir.
Par hakeru negantumu maijā pārliecinājās Īrija. Grupējums Conti veica masīvu uzbrukumu veselības aprūpes datorsistēmai, traucējot mediķiem piekļuvi datiem. Par darbības atjaunošanu ļaundari pieprasīja 20 miljonus ASV dolāru, ziņoja raidsabiedrība BBC (https://www.bbc.com/news/world-europe-57197688). Vēlāk hakeri apžēlojās un par velti nodeva programmu sistēmas darbības atjaunošanai, taču viņu rīcībā joprojām palika liels daudzums pacientu datu, ko uzbrucēji draud publiskot, ja nesaņems izpirkumu. Šī grupējuma kontā jau ir uzbrukumi vairāk nekā 400 organizācijām visā pasaulē, un to mērķis ir pavisam triviāls – nozagt datus, lai tos atgrieztu pret lielu atlīdzību. Gluži kā savulaik automašīnu zagļi piedāvāja īpašniekam atpirkt nozagto auto.
Jāparūpējas par drošību
Ja šādi uzbrukumi notikuši globāliem gigantiem, ko gan iesākt mazākiem? Labā ziņa ir tāda, ka turīgām kompānijām uzbrukumi tiek mērķtiecīgi plānoti, savukārt mazākās par uzbrukumu upuriem lielākoties kļūst neuzmanības vai bezatbildīgas rīcības dēļ. Tādēļ ir ārkārtīgi svarīgi maksimāli apgrūtināt dzīvi ļaundariem.
«Jāpieņem, ka kiberuzbrukumi, tāpat kā cita veida incidenti, kas var izraisīt datu zudumus serveros, ir neizbēgami. Galvenais ir tiem pienācīgi sagatavoties. Jābūt skaidram plānam, kā rīkoties incidenta gadījumā. Viena no svarīgākajām lietām datu drošības nodrošināšanai ir rezerves kopijas.
Pirms veidot datu rezerves kopijas nepieciešams izstrādāt savu rezerves kopiju veidošanas politiku un pie tās arī faktiski pieturēties ar procesiem un izmantotajiem rīkiem – piemēram, izlemt, cik bieži nepieciešams veidot rezerves kopijas (aktīvi lietotai sistēmai tā var būt pat viena reize 15 minūtēs) un cik ilgi glabāt izveidotās kopijas (piemēram, 30 dienas). Kā arī pieturēties pie principa, ka tiek veidotas vairākas rezerves kopijas. Būtiski uzlabot datu rezerves kopiju drošību ir iespējams vienu no tām glabājot «off-site» vietnē. Piemēram, kādā no daudzajiem failu glabāšanas servisiem (Dropbox, Google Drive, One Drive, Failiem.lv u.c.), vai izmatojot kādu no specializētiem datu rezerves kopēšanas servisiem (BaaS),» iesaka Visma Enterprise IT atbalsta grupas vadītājs Edgars Fabrīcius.
«Aktuāla datu rezerves kopija jums ļaus ātri atjaunot datus incidenta gadījumā, taču, ja incidentam par pamatu ir bijis kiberuzbrukums, noderēs «off-site» kopija, jo primārā, iespējams, ir kompromitēta vai vairs nav pieejama, un tas arī nepadara par nebijušu faktu, ka dati ir nonākuši neautorizētas personas rīcībā. Tāpēc šādos gadījumos nepieciešams ziņot atbildīgajām institūcijām – DVI, CERT, policijai,» tā Edgars Fabrīcius.
Agris Krusts, SIA IT Centrs, dibinātājs, IT drošības konsultants: “Datu rezerves kopēšana, regulāri kopiju atjaunošanas testi un kopējs biznesa darbības nepārtrauktības plāns, kas ņem vērā IT sistēmas un biznesa procesus, ir viena no lietām, kas var atvieglot iespēju atgūties, ja dati ir nošifrēti un tiek prasīta izpirkuma maksa. Arī šajā gadījumā uzņēmumam būs izmaksas, dēļ dīkstāves un darbības atjaunošanas. Turklāt bieži šādos uzbrukumos tiek prasīta arī atlīdzība par nozagto datu nepublicēšanu un izdzēšanu. Šajā gadījumā rezerves kopijas nepalīdzēs.
Tāpēc paralēli datu rezervēšanai ir jādara viss iespējamais, lai mazinātu šādu iznakumu iespējamību. Regulāri ir jāpārbauda savu sistēmu drošība un jānovērš šādās pārbaudēs atklātos trūkumus. Papildus tam būtu vēlams vairākas reizes gadā darbiniekiem atgādināt par pikšķerēšanas un IT drošības riskiem ikdienā, organiozējot apmācības vai seminārus un organozējot simulētus pikšķerēšanas uzbrukumus, kur daļai darbinieku tiek nosūtīti e-pasti, kuri mudina veikt kādas nedrošas darbības. Šādu simulētu uzbrukumu rezultātus var izmantot apmācībā un arī gūt priekšstatu par riskiem kādiem pakļauta organizācija.”
Uzbrūk arī Latvijā
Arī lietotāji Latvijā regulāri cieš no hakeru uzbrukumiem. Pēdējos gados tie nereti ir bijuši šifrējoši izspiedējvīrusi, kas pēc aktivizēšanas nobloķē datoru un pieprasa atbloķēšanai pārskaitīt naudu uz noziedznieku norādītu kontu vai norēķināties ar kriptovalūtām. Dažu no tiem vārdi izskan skaļāk, citi paslīd garām nemanīti.
Pirms četriem gadiem plosījās WannaCry, vēl divus gadus agrāk CryptoWall un senāk vēl citi. Arī tagad ik pa laikam hakeri meklē neuzmanīgus lietotājus, kuri mēdz klikšķināt uz nezināmas izcelsmes e-pasta vēstuļu pievienoto dokumentu saitēm, tādējādi aktivizējot vīrusu. Par šiem gadījumiem allaž brīdina vietne CERT.lv. Šā gada jūnija sākumā vairāki Latvijas uzņēmumi cieta no šifrējošā izspiedējvīrusa Makop uzbrukuma (Kiberlaikapstākļi (JŪNIJS) (cert.lv)). Tā rezultātā tika sašifrētas uzņēmumu darbstacijas, serveri un datu bāzes. Tā kā vairumam uzņēmumu bija korekti izveidotas datu rezerves kopijas, tad atgūšanās no uzbrukuma noritēja veiksmīgi.
«Ja nu tomēr esat piedzīvojis uzbrukumu, bet jums nav datu rezerves kopija, tad pirms steigties maksāt izspiedējiem – iesaku apmeklēt https://www.nomoreransom.org. Iespējams, ka izspiedējvīrusam, ar ko nošifrēti jūsu dati, ir jau zināms risinājums. Lai mazinātu kiberuzbrukumu riskus, jebkurš uzņēmuma datortehnikas lietotājs var ievērot pamata IT drošības prasības – neapmeklēt nezināmas interneta vietnes un nevērt vaļā aizdomīgus saites kas atsūtīti e-pastā vai atrasti iepriekšminētajās interneta vietnēs, nevērt vaļā e-pastā pievienotos failus, ja tas saņemts no nezināma sūtītāja vai neskaidros apstākļos, kā arī nepieslēgt datoram svešu USB zibatmiņu.
Svarīgi domāt ne tikai par individuālajiem lietotāju drošības pasākumiem, bet arī serveriem. Kā minimums būtu nepieciešams visiem serveriem, sistēmām un tīkla iekārtām regulāri veikt ražotāja drošības atjauninājumus. Kā rāda pieredze – lielām kompānijām uzbrukumi ir mērķtiecīgi veidoti, savukārt mazākiem – lielākoties tiek izmantotas jau zināmas ievainojamības, kurām vairumā gadījumu ir jau izlaisti drošības ielāpi. Ja uzņēmumam nav brīvu resursu, ko atvēlēt savas IT saimniecības drošības uzturēšanai, tad, ļoti iespējams, lētākais risinājums būs nodot šos riskus kādam ārpakalpojumu sniedzējam,» komentē E.Fabrīcius.
Lai saprastu uzbrukumu vērienu, pietiek ielūkoties CERT.lv regulāri apkopotajā statistikā. Tā liecina, ka 2021. gada 2. ceturksnī Latvijas kibertelpā novērots liels skaits krāpšanas kampaņu, labi pārdomāti pikšķerēšanas uzbrukumi, augsta šifrējošo vīrusu aktivitāte un daudz jaunu, kritisku ievainojamību (Pieejama statistika par 2021. gada 2. ceturksni (cert.lv)). Pavisam trīs mēnešos reģistrētas 110 243 unikālas apdraudētas IP adreses. Visā pagājušajā gadā – 346 108. No tā varam secināt, ka gadā ar kiberuzbrukumiem saskaras vidēji katrs sestais valsts iedzīvotājs. Gana daudz, lai šo problēmu uzskatītu par nopietnu.
Ja uzņēmumam nepietiek zināšanu vai līdzekļu drošību nodrošināt pašiem, lētāk un drošāk būs to uzticēt profesionāļiem.
Šobrīd arī grāmatvedības programmas pieejamas mākoņrisinājumā. Piemēram, Visma Horizon lietotājiem tas iekļauts komplektā ar pamatpakalpojuma abonēšanu.