«Существенная проблема!» Эксперт по кибербезопасности объясняет, что могло привести к атаке на «Латвийские государственные леса» 0
Обычно слабым местом в кибербезопасности крупных и сравнительно давно существующих компаний является то, что технологии развивались, а защитные решения не совершенствовались, заявил агентству LETA руководитель группы компаний в сфере безопасности информационных технологий (IT) «Possible Security» Кирилл Соловьёв, комментируя кибератаку на АО «Latvijas valsts meži» (LVM).
Соловьёв указал, что до сих пор Латвия, возможно по стечению обстоятельств, была довольно изолирована от крупных целевых атак, совершаемых с целью заработать деньги. Он добавил, что в данном случае профиль злоумышленника указывает на мотивацию получения прибыли.
По его мнению, это один из самых громких случаев такого рода если не за последние годы, то за всю историю Латвии. Хотя ранее уже были киберинциденты с существенным влиянием, этот случай, по его словам, представляет собой нечто новое.
Соловьёв пояснил, что злоумышленник, опубликовавший информацию об успешной атаке, активен в киберпреступных сетях с конца прошлого года. До сих пор он действовал против организаций в России, Бразилии и Нигерии, а в этом месяце к этому списку присоединилась и Латвия. Обычно на таких сайтах информация публикуется с целью её продажи или повышения репутации конкретного нелегального хакера.
Говоря о кибербезопасности в крупных и одновременно давно существующих компаниях, Соловьёв подчеркнул, что часто технологии развивались, тогда как защита — нет. Нередко до сих пор используются устаревшие конфигурации или старые простые пароли.
Он отметил, что важно понимать, насколько сильно за последние 20 лет изменилось представление о кибербезопасности. В крупных организациях, где исторически не было качественного управления безопасностью, нередко не отслеживается в полной мере, устранены ли все прежние уязвимости. В таких организациях можно встретить системы без необходимых обновлений, устаревшие конфигурации и пароли, не соответствующие современным требованиям безопасности. Если 30 лет назад пароль из шести или восьми символов считался безопасным, то сегодня об этом уже не может быть и речи.
Комментируя, как такой инцидент мог произойти в государственной компании, он указал, что в стране кибербезопасность организована законом и правилами Кабинета министров, но надзор не находится в прямом подчинении. Он пояснил, что государственные учреждения отвечают перед законом за обеспечение минимальных требований. Если такой взлом произошёл, можно допустить, что какое-то из минимальных требований не было полноценно соблюдено, однако точные ответы даст расследование.
Если государственное учреждение или коммерсант, даже если он находится в государственной собственности, не соблюдает требования кибербезопасности, эффективных инструментов, чтобы заставить его это делать, немного, отметил Соловьёв. Он пояснил, что проводятся тесты безопасности, предусмотренные нормативными актами, а в отдельных случаях проверяется всё учреждение с использованием так называемых тестов красной команды, в ходе которых моделируется полноценная кибератака. В таких тестах специалисты, работающие на договорной основе, выполняют те же действия, которые потенциально совершил бы настоящий злоумышленник.
По словам Соловьёва, такие тесты позволяют выявить множество уязвимостей, однако следует учитывать, что учреждений много и проведение таких проверок является сложной задачей.
Одновременно он подчеркнул, что существенной проблемой является и то, что после выявления уязвимостей не существует эффективных механизмов, которые заставили бы организации их устранять. Соловьёв воздержался от комментариев по конкретной ситуации в LVM, указав, что ему неизвестно, проводились ли ранее в компании тесты безопасности, были ли в них выявлены проблемы и давались ли рекомендации по их устранению. Однако в целом, по его словам, на практике нередко встречаются ситуации, когда тесты безопасности не проводятся или же после их проведения организации не спешат устранять выявленные недостатки.
Говоря об ответственности, Соловьёв подчеркнул, что в таких ситуациях основную ответственность должен брать на себя руководитель учреждения или компании. По его мнению, это вопрос приоритетов и бюджета. Если в девяностые годы прошлого века или в начале 2000-х ещё можно было говорить о нехватке знаний и специалистов, то сейчас главное — обеспечить надлежащее управление, создать компетентную команду и выделить необходимое финансирование на кибербезопасность.
Он добавил, что тесты безопасности не всегда позволяют выявить все проблемы, однако если уязвимости были достаточно серьёзными, чтобы привести к публично описанным последствиям, это свидетельствует о существенных проблемах в системе безопасности.
Комментируя, о чём этот инцидент свидетельствует в отношении уровня кибербезопасности в государственных компаниях в целом, Соловьёв отметил, что по одному случаю нельзя делать выводы обо всём секторе. Управление кибербезопасностью не централизовано, и каждое учреждение или компания занимается этим индивидуально. То, что в одной компании выявлены проблемы, не означает, что такая же ситуация существует и в других, однако это также не исключает возможности, что в отдельных компаниях ситуация может быть ещё хуже.
Соловьёв добавил, что, судя по публично доступной информации, злоумышленник или группа злоумышленников имели доступ к системам в течение более длительного времени — возможно, более недели. За это время удалось получить и вывести значительный объём данных. По его мнению, в организациях должны работать независимые системы мониторинга безопасности, которые своевременно выявляют такие события и активируют механизмы тревоги.
Говоря о мерах, помогающих предотвращать кибератаки, Соловьёв подчеркнул значение симуляций проникновения красной команды. Одновременно он отметил, что кибербезопасность — это комплексный и технический вопрос, который начинается с точной инвентаризации информационных систем, регулярного внедрения обновлений, пересмотра конфигураций и обучения пользователей.
Как уже сообщалось, в выходные был выявлен инцидент кибербезопасности в инфраструктуре информационных технологий LVM. С начала инцидента по соображениям безопасности отключены и недоступны внешние информационные технологические системы, поддерживаемые LVM, — «LVM GEO», система картографических услуг, а также охотничье приложение «Mednis». Также отключены несколько внутренних систем LVM, обеспечивающих обмен информацией компании с поставщиками услуг LVM и клиентами компании.
LVM подчёркивает, что IT-команда компании работает в тесном сотрудничестве с «Cert.lv» и другими ответственными государственными учреждениями безопасности, устраняя последствия инцидента кибербезопасности.
«Cert.lv» подтвердил агентству LETA, что инфраструктура LVM пострадала в результате инцидента кибербезопасности. В сотрудничестве с компанией выполняются все необходимые действия для устранения последствий инцидента, поэтому часть публичных услуг недоступна.
Также «Cert.lv» подчеркнул, что обслуживание инфраструктуры избирательных систем никоим образом не связано с инфраструктурой LVM. Разработка дополнений, связанных с избирательными системами, со стороны LVM успешно завершена и передана Государственному агентству цифрового развития. В соответствии с ранее намеченным планом системы ещё будут подвергнуты независимому аудиту безопасности, который проведут «Cert.lv» и SIA «Tet».
LVM подтвердил агентству LETA, что компания обратилась в Государственную полицию (VP) в связи с пережитой кибератакой. Одновременно ранее VP сообщила, что Управление по борьбе с киберпреступностью VP, основываясь на публично доступной информации, по собственной инициативе начало ведомственную проверку, чтобы выяснить обстоятельства произошедшего и установить возможное лицо, совершившее эти действия.
В свою очередь министр земледелия Улдис Аугулис (ZZS) заявил агентству LETA, что ответственность сотрудников LVM в связи с инцидентом кибербезопасности будет оцениваться после устранения последствий.
