Lekcja cyberbezpieczeństwa dla samorządów lokalnych

W mediach ciszej o zagrożeniach ransomware, tymczasem stają się coraz bardziej wyrafinowane, czego dowodzą zablokowane ostatnio do poziomu offline organizacje sektora publicznego w USA. Atak ransomware dokonany w maju br. na infrastrukturę samorządu Baltimore[2] doskonale ilustruje konsekwencje: żądania okupu wielkości stu tysięcy dolarów i dwa tygodnie z okaleczonymi systemami. W sierpniu tego roku ponad dwadzieścia organizacji powiązanych z samorządem lokalnym w Teksasie stało się celem podobnego ataku.

Przyjęty przez cyberprzestępców model rozwija się, zaś granice geograficzne nie stanowią dla niego przeszkody. Samorządy lokalne są na celowniku cyberprzestępców ponieważ są łatwym celem – bardzo rzadko przeznaczają na cyberochronę środki finansowe odpowiednie do wymaganego dziś poziomu zabezpieczeń.

Ransomware na poważnie

Gdy oprogramowanie ransomware uderzy, jest już w zasadzie za późno. Konsekwencje finansowe i wizerunkowe ataku są ogromne. Koszty naprawy i usunięcia ransomwarowej infekcji nie należą do niskich. Baltimore oszacowało straty wynikające z ww. ataku (z kosztami przywrócenia systemów włącznie) na 18 milionów USD.

Niezbędnik anty-ransomware dla JST:

• Solidna strategia cyberochrony. Warto wdrożyć kulturę pracy opartą na zasadzie „najpierw bezpieczeństwo”. Koszt początkowy może się wydawać zniechęcający – szczególnie dla mniejszych jednostek, niemniej w porównaniu z kosztami ataku ransomware jest znikomy. 
• Uwierzytelnianie dla aplikacji sieciowych/internetowych. Ograniczenie możliwości logowania przez Internet solidną autoryzacją wieloskładnikową jest pierwszym krokiem w zapobieganiu atakom ransomware. Działania minimum: należy się upewnić, że hasła domyślne i uwierzytelnianie, o którym wiadomo, że zostało naruszone (np. wyciek hasła, loginu), zostaną natychmiast usunięte.
• Szkolenia pracowników. Uzbrojenie zespołu w wiedzę o konsekwencjach ataków ransomware i przejawów ich występowania, na które należy zwrócić uwagę jest niezbędne. Wzrost świadomości technik pishingowych (podszywania się hakerów pod instytucje, firmy) powinien być priorytetem. Pracownicy powinni zwyczajowo poddawać w wątpliwość bezpieczeństwo załączników i linków z podejrzanych maili. Przestępcy najczęściej podszywają się pod marki takie jak Facebook, Microsoft Office Exchange, and Apple[3], ale równie dobrze mogą podawać się za dużego dostawcę energii elektrycznej czy spółkę komunalną.
• Skanowanie i filtrowanie ruchu internetowego. Postaw na widoczność i kontekst szyfrowanego ruchu internetowego. Gdy złośliwe strony, załączniki czy ruch C&C (komunikacja z serwerami Command&Control) jest widoczny, można go automatycznie zablokować zanim nastąpi infekcja. Większość złośliwego – szkodliwego oprogramowania jest hostowana na doskonale znanych (zaufanych) stronach, więc kluczowe jest deszyfrowanie ruchu SSL/TLS dla zapewnienia widoczności i możliwości sprawdzenia treści przez narzędzia ochrony.
• Tworzenie kopii zapasowych ważnych plików. Backup musi obejmować krytyczne systemy i obszary związane z danymi osobowymi. Kopie zapasowe powinny także być przechowywane offline dla ochrony przed atakiem ransomware. Wskazane są także symulacje odzyskiwania systemów po awarii, aby uniknąć scenariusza jak w Baltimore.
• Separacja sieci. Najgroźniejsze malware i ransomware swobodnie łączą się z każdym dostępnym systemem, w chwili połączenia ich z siecią. Dlatego warto unikać płaskich struktur sieciowych. Oznacza to, że zainfekowany system należy przepuszczać przez filtr czy dodatkowe punkty dostępu zanim wyjdzie z lokalnej grupy zasobów.
• Pogłębiona ochrona. Warto wprowadzić kilka różnych z natury, zazębiających się o siebie narzędzi (blokad-zapór), które mogą spowalniać i zatrzymywać wszystkie znane rodzaje ataków hakerskich.

Pierwszą linią obrony jest zatrzymanie ataku zanim dotrze on do któregokolwiek systemu. Bezpośrednie koszty spowolnienia lub zatrzymania działań operacyjnych trudno ignorować – dlatego inwestycję związaną z kontrolerami bezpieczeństwa ransomware łatwo uzasadnić.

Dotychczas ataki ransomware uderzały w fizyczne komputery przeznaczone do ogólnych zadań, ale to tylko kwestia czasu, zanim staną się dużym problemem dla urządzeń IoT, smartfonów a także systemów chmurowych.