Цена беспечности или еще раз к вопросу о важности резервных копий

Прошлым летом государственные структуры Индонезии внезапно столкнулись с большой проблемой —часть важнейших электронных сервисов, от которых зависит нормальная жизнедеятельность страны, оказались недоступна. Была нарушена работа миграционной службы, министерства образования, местных органов самоуправления — всего пострадало свыше двух сотен больших и малых госструктур и организаций.  

Восемь миллионов за дешифровку 

О причинах сбоя долго гадать не пришлось — выяснилось, что значительную часть важных данных, хранившихся в национальном дата-центре Индонезии (National Data Center или Pusat Data Nasional) зашифровал вирус-вымогатель LockBit 3.0. Ответственность за атаку взяла на себя хакерская группа Brain Cipher, которая потребовала от правительства страны $8 млн за дешифровку. Примечательно, что данный вирус еще в середине июня 2024 года (примерно за неделю до упомянутой атаки) выявили специалисты компании Broadcom, но Министерство связи и информационных технологий Индонезии (Kominfo) не предприняло никаких действий, чтобы предотвратить возможность заражения.  

Более того, когда атака произошла, выяснилось, что резервные копии, из которых по идее можно было бы восстановить информацию, отсутствуют. То есть они вообще не были предусмотрены политиками кибербезопасности организации. Что это было — беспечность или преступная халатность — понять сложно. По степени тяжести последствий это самая масштабная успешная хакерская атака на госорганы за последние годы. 

Правительство Индонезии выплачивать выкуп отказалось, рассчитывая справится собственными силами. При этом президент страны Джоко Видодо (Joko Widodo) распорядился оперативно провести аудит всех дата-центров, обслуживающих государственные сервисы. По итогам проверки были назначены слушания в парламенте, в ходе которых выяснилось, что 98% для данных, хранившихся в Pusat Data Nasional обязательное наличие резервных копий не предусматривалось. Создание бекапов было добровольным и отдавалось на усмотрение отдельных министерств и ведомств, которые, в подавляющем большинстве случаев, по тем или иным соображениям, никаких копий не делали. Кроме того, вице-президент страны Маруф Амин (Ma’ruf Amin) отметил также чрезмерную централизацию государственных ИТ-систем, в результате чего один единственный взлом разом «положил» несколько сотен организаций. 

Долгосрочные последствия могут обойтись гораздо дороже 

Все закончилось относительно благополучно — через две недели после атаки, хакеры сами прислали пострадавшим ключ (небольшой ESXi-файл) для дешифровки. Взамен просили лишь упомянуть о том, что своими силами расшифровать данные у госструктур не вышло. В заявлении Brain Cipher было указано, что атака была своего рода демонстрацией возможностей, также хакеры посоветовали организациям ответственным за кибербезопасность страны, не скупиться на квалифицированных специалистов и современные средства защиты. Ну, и, конечно, о резервных копиях всегда стоит помнить.  

В краткосрочной перспективе последствия инцидента удалось купировать, однако, репутации Индонезии, как инвестиционно-привлекательного региона, был нанесен заметный ущерб, последствия которого еще предстоит оценить. Ведь любому инвестору или иностранной компании, которая захочет прийти в страну, придется иметь дело с государственными сервисами, в частности, передавать туда данные (часто очень чувствительные для бизнеса). Поэтому, если не будет уверенности в том, что важная информация в государственных дата-центрах надежно защищена, это может оттолкнуть потенциальных инвесторов. Так что по итогу цена халатного отношения к политике ИТ-безопасности в целом и резервного копирования в частности, может привести к значительному ущербу для экономики страны.