28 октября Британская библиотека стала жертвой крупной атаки с использованием вируса-вымогателя. Инцидент серьёзно нарушил работу организации и поставил под угрозу конфиденциальные данные. Руководствуясь стратегией полной прозрачности, библиотека опубликовала подробный отчёт о причинах и характере атаки и процессе восстановления. Он содержит важные уроки об уязвимостях кибербезопасности и управлении кризисами, пишет портал Международного института управленческого развития (Швейцария), который изучил документ. Этот эпизод стал примером того, как надо работать с последствиями инцидентов, для правительственных организаций, НКО и предприятий, которые полагаются на устаревшие системы.
Ответственность за кибератаку взяла на себя группа Rhysida, которая скомпрометировала большую часть онлайн-систем организации. Атака привела к утечке данных, часть информации была зашифровала, уничтожен значительный объём серверного оборудования, а также принудительно заблокированы все пользователи.
Экспертиза показала, что первоначальные разведка и доступ произошли, как минимум, за три дня до того, как инцидент был обнаружен. Точную точку входа не удалось определить, но считается, что источником стал терминальный сервер, используемый для удалённого доступа доверенными партнёрами. Причиной же взлома стало отсутствие многофакторной аутентификации на этом сервере.
Атакующие украли около 600 Гб данных, почти 500 тыс. файлов, включая базы данных CRM с персональными данными пользователей и сотрудников. Хакеры использовали целевые атаки для массового копирования записей из определённых отделов и поиск по ключевым словам для выявления конфиденциальных файлов по всей сети. При этом, как заявляется, финансовая информация не пострадала.
Спустя несколько дней после атаки группировка Rhysida выложила внутренние файлы кадровой службы библиотеки в даркнете и организовала аукцион, потребовав 20 биткоинов (около 600 тыс. фунтов стерлингов) за полный набор данных. Позднее Rhysida опубликовала 573 Гб данных (порядка 90% от общего объёма утечки) на своем сайте в том же даркнете. Это говорит о том, что хакеры не смогли продать данные, а библиотека не вела переговоры о выкупе, следуя рекомендациям спецслужб в отношении атак с использованием программ-вымогателей.
Так как злоумышленники зашифровали данные и системы библиотеки и уничтожили часть серверов, восстановление инфраструктуры организации оказалось затруднено. В Британской библиотеке существовали резервные копии цифровых коллекций и метаданных, однако, именно отсутствие оборудования стало серьёзным препятствием для восстановления.
Поисковый онлайн-каталог организации был запущен в этом январе, но многие цифровые сервисы оставались недоступными. Исследовательские услуги стали ощутимо ограничены, а просветительская деятельность вовсе остановлена.
Ключевые системы не удалось восстановить в прежнем виде из-за отсутствия поддержки со стороны поставщика или несовместимости с новой безопасной инфраструктурой. Облачные системы, такие как электронная почта, финансы и HR, в основном не пострадали, утверждается в отчёте. Британская библиотека ожидает, что некоторые из её популярных сервисов заработают уже в ближайшие два месяца.
Реагируя на атаку, организация немедленно активировала планы управления кризисом, созвав центральный и тактический комитеты для обеспечения стратегического и оперативного управления инцидентом. Были привлечены сторонние консультанты по кибербезопасности. Координация работы с пользователями, персоналом и заинтересованными сторонами велась через соцсети и другие каналы. Были приняты меры предосторожности, чтобы не разглашать детали, которые могли бы помочь злоумышленникам.
В декабре 2023 года библиотека перешла от реагирования на инцидент к официальной программе восстановления, получившей название Rebuild & Renew. 18-месячная инициатива направлена как на восстановление сервисов, так и на стратегическую модернизацию и повышение долгосрочной устойчивости. Исторически сложная топология сети, устаревшие системы и разнообразная технологическая инфраструктура Британской библиотеки способствовали масштабу последствий атаки и предоставили злоумышленникам более широкий доступ, чем это могла бы сделать современная архитектура.
Зависимость от устаревшей инфраструктуры стала основной причиной длительного времени восстановления. Поэтому многие системы были модифицированы или перестроены для работы в современной безопасной среде. Плюс, пришлось провести миграцию ряда сервисов. Это подчёркивает важность постоянных инвестиций для поддержания инфраструктуры и приложений в актуальном состоянии и необходимость постоянной адаптивности стратегии кибербезопасности библиотеки.
Усовершенствования включают новую сетевую инфраструктуру с правильной сегментацией, использование гибридной модели облачных вычислений, улучшение контроля доступа и внедрение многофакторной аутентификации. Организация улучшает возможности резервного копирования и восстановления после сбоев, развёртывает целостный пакет безопасности, укрепляет политики и управление с учётом жизненного цикла ИТ-инфраструктуры и консолидирует ключевые библиотечные системы на современных, безопасных платформах.
Выявлены недопустимые события, реализация которых может нанести непоправимый вред бизнес-процессам. Этим рискам уделяется повышенное внимание на фоне возрастающей угрозы будущих атак. Внедрение культуры безопасности во всей организации потребует значительных усилий по управлению изменениями. Переход на облачные технологий также вводит новые требования по безопасности.
Основные приёмы, которым опыт Британской библиотеки может научить безопасника:
- Расширение мониторинга сети, полный охват устаревшей и современной инфраструктуры.
- Привлечение сторонних экспертов по безопасности для быстрого реагирования на инциденты.
- Внедрение комплексной многофакторной аутентификации во всех точках доступа.
- Регулярные проверки кибербезопасности.
- Внедрение сегментации сети для ограничения потенциального ущерба в случае нарушений.
- Обновление планов обеспечения непрерывности бизнеса на случай полного отключения системы.
- Регулярное информирование о киберрисках высшего руководства и наблюдательного совета, что важно даже с точки зрения соответствия и управления.
- Инвестирование в процессы реагирования и восстановления.
- Тщательная подготовка к атакам вымогателей как игра по минимизации ущерба (масштабы разрушений зависят от уровня готовности инфраструктуры).
- Подробная оценка воздействия атаки на основные системы, прозрачность отчёта по итогам инцидента.
Вышеупомянутым документом Британская библиотека устанавливает новый стандарт для передовой практики отчётности об инцидентах кибербезопасности.
Схожую тактику выбрала норвежская компания Hydro, которая в марте 2019 года стала жертвой атаки вируса-вымогателя LockerGoga. Атака обошлась Hydro более чем в 80 млн долларов и нарушила производство на 6-8 недель. Она также выявила текущие проблемы в борьбе с программами-вымогателями и сложное взаимодействие между киберпреступностью, криптовалютами и страховыми полисами. Отчёт компании был оценён правоохранительными органами и индустрией кибербезопасности как «золотой стандарт». Цена акций Hydro выросла после того, как атака была обнародована, что свидетельствует о доверии рынка к такому подходу.
Отчёт Британской библиотеки также вышел за рамки простого объяснения причин инцидента — он говорит об извлечённых уроках и запланированных изменениях. Эту линию поведения следует считать стандартной практикой и образцом для подражания, считают эксперты.
Британская библиотека (The British Library) — национальная библиотека Соединённого Королевства, одна из крупнейших в мире. Официально была создана в 1973 году Законом о Британской библиотеке, но истоки организации уходят гораздо глубже. Библиотека обслуживает учёных, исследователей, студентов и широкую общественность. Она имеет более 170 млн единиц хранения на разных языках и в разных форматах, включая книги, рукописи, карты, газеты, журналы, гравюры, рисунки, музыкальные произведения и цифровые материалы.