Якщо вірус нападе на наше кохане міністерство діджитальних трансформаторів
6 вересня 2021 робота Міністерства Юстиції Південно-Африканської Республіки була повністю заблокована внаслідок кібератаки рансомвар’ю (вірус-шифрувальник, або локер). Усі мережі міністерства були зашифровані та залишалися недоступними для працівників. Також не працювала електронна пошта та веб-сайт міністерства. Не відбувалася видача довіреностей, не надавалися послуги звільнення під залог.
Ми тут в Україні нервуємо коли нотаріус каже «база Мін’юсту знов висить, треба почекати. Може завтра підійдете?». Тому можу собі уявити, що відбувалося у ПАР, коли люди не могли вийти під залог, і їх залишали в камері на ніч. Напевно, що зривалися угоди по нерухомості, не підписувалися контракти, не здавалася звітність в податкову, хтось не зміг отримати товар, і все таке інше, пов’язане з довіреностями. І це був вже другий схожий випадок протягом останніх двох місяців, між іншим.
Здавалося б, до чого проблеми Мін’юста Південної Африки до України?
А давайте на секундочку уявимо, що аналогічна ситуація трапилася у коханому нашому міністерстві діджитальних трансформаторів чи в ДП «Дія». Там працює шось близько 200 співробітників (точні дані засекречено). Серед них – жодного фахівця з кібербезпеки, немає CSO або CISO. Лише здали залік по нудним відосикам від кібер-циган.
І якогось сонячного дня один з крутезний жижиталізаторів, розкурюючи айкос, відкрив е-листа з пейлоадом і схопив рансомварь. Мережі та системи стають повністю зашифрованими, шахраї надсилають вимогу про викуп, але через незнання англійської (чи з іншої причини) їхню вимогу ніхто не зміг прочитати, і злочинці зашифрували усе, до чого змогли дотягнутися, – у локальній мережі, на віддалених хостах та у репозитаріях.
А зе-піпл в країні вже забув що таке паспорт у твердій оболонці – нахіба, все ж є в Дії? Там і водійське, і паспорт, і кредит, і довідка про вакцинацію – все в одному місці, це ж зручно, правда? Ну і шо, що часто глючить – все одно ж кльово? Годинку-дві почекати – і все буде.
А цифрове міністерство не має доступу до Дії – все пошифровано. Бекенд-фронтед-АРІ, вотетовсьо. Не працює внутрішня пошта, ліг веб-сайт, заблоковано доступ до соцмереж, техпідтримка Дії радісно пішла на безкінечний перекур.
А бекапи якось забули зробити. Хоча стоп, чому забули? Ніхто і не планував цього робити – все ж є у хмарах, вони ж безпечні. Особливо у тих хмарах, які у Парковому. От правда, щоб отримати доступ до бекапів, теж треба чухати репу, яким чином отримати. У кого є зайвий вінчестер на кілька терабайт? Та якби і були бекапи – агов, тут хтось вміє їх накатувати? В смислі «не було потреби»?
Disaster&Recovery Plan? Ні, не чули.
Регулярні перевірки безпеки внутрішньої мережі? Та це зайве, у нас же все збс.
Навчання співробітників основам кібербезпеки? Та вони самі кого хоч навчать, ось буквально недавно усі вивчили напам’ять головний принцип кібербезпеки Security through Obscurity.
В ПАР після інциденту систему запустили «у ручному режимі», та суди теж перейшли на нього ж (its various units had resorted to manual systems, and that court hearings would continue around the country).
А чи це буде можливо якщо аналогічний інцидент спіткає Дію? Бігти ніжками на аналогові радіостанції (фуфу) і голосом пораненого Вискуба сльозно просити громадян знайти свої паспорти-книжечки та пластикові водійські посвідчення?
А якщо хтось вважає, що хакнути внутрішню мережу Міністерства цифрової трансформації (далі – МЦТ) неможливо, тому я розсміюся в обличчя і розкажу про сотні таких випадків у Google, Twitter, Amazon, eBay, Sony, міністерствах та відомствах США, Німеччини, Італії, Франції, Японії, та навіть про хаки найкрутіших світових кібербезпекових компаній типу FireEye.
Щоб цього не сталося у МЦТ, потрібно докласти до цього багато зусиль, причому зусиль кваліфікованих. Знання про SMM тут мало чим допоможуть. Зовнішні «аутсорсери» типу SaaS поки приїдуть, поки розберуться, поки щось частково відновлять, – Дія-фани вже штурмуватимуть офіс «дієвих» на Діловій та на Парковій. Звісно, за пару днів майже все відновлять, але після того довіра до Дії перейде у мінусові значення, а питання «ти шо, користуєшся Дією?» сприйматиметься приблизно як «ти шо, лох?».
А якщо побідну атаку організує не звичайна кримінальна кібер-група заради викупу, а професійне організоване злочинне угруповання під керівництвом офіцерів спецслужб з відмінним фінансування державою-агресором заради проведення масштабної диверсії та дестабілізації внутрішньополітичної ситуацій у країні? А? Наслідки можуть бути значно серйознішими, ніж після НеПеті у червні 2017.
Дисклаймер: ця моя безневинна фантазія не має жодного стосунку до будь-яких подій у майбутньому і заснована виключно на теоретичних ймовірностях та вірогідностях, які витікають зі світового досвіду кібер-інцидентів.
А ще мені було б все ж цікаво дізнатися ім’я людини, яка відповідальна за внутрішню кібербезпеку МЦТ, ДП Дія та команди розробників Дії. Чисто з цікавості – чи взагалі така людина існує. Правда, це питання я вже ставив разів з десять, але може цього разу повезе?
Посилання на новину:
Bloomberg: South African Justice Department Is Hit by Ransomware Attack
