Kai kurios pamokos išmokstamos tik skaudžiai. Verslo pasaulyje tai reiškia prarastus milijonus, sugriautas reputacijas ir – kartais – visišką įmonių žlugimą. Štai istorijos, kurios privertė pasaulį kitaip pažvelgti į tai, kas vyksta už ekranų.
Maersk: kai virusas sustabdė pasaulinę prekybą
2017 metų birželis. Danų laivybos gigantas Maersk – viena didžiausių konteinerių gabenimo bendrovių pasaulyje – per kelias valandas neteko prieigos prie visos savo IT infrastruktūros.
NotPetya virusas, pradžioje atrodęs kaip paprastas išpirkos reikalautojas, iš tiesų buvo sukurtas griauti. Jis užšifravo duomenis be galimybės juos atgauti. Maersk prarado 45 000 kompiuterių, 4 000 serverių ir dešimtis tūkstančių programų.
Laivai nežinojo, kur plaukti. Uostai negalėjo iškrauti krovinių. Per dešimt dienų bendrovė turėjo atstatyti visą infrastruktūrą nuo nulio. Nuostoliai – apie 300 milijonų dolerių.
Pamoka? Virusas į Maersk sistemas pateko per buhalterinės programos atnaujinimą. Vienas pažeidžiamas taškas – ir sustojo globalus tiekimo tinklas.
Target: 40 milijonų kortelių per šventes
2013 metų lapkritis–gruodis. Amerikietiška mažmeninės prekybos tinklo Target kasose – įprastas švenčių šurmulys. Po kasomis – programišiai, renkantys klientų mokėjimo kortelių duomenis.
Įsilaužėliai į sistemą pateko per… kondicionavimo įmonę. Trečiosios šalies rangovas turėjo prieigą prie Target tinklo, o jo saugumas buvo silpnas. Užteko vieno phishing laiško.
Per kelias savaites pavogti 40 milijonų mokėjimo kortelių duomenys ir 70 milijonų klientų asmeninė informacija. Target sumokėjo 18,5 milijono dolerių baudą, generalinis direktorius atsistatydino, o bendrovės reputacija patyrė ilgalaikę žalą.
Pamoka? Kibernetinis saugumas – ne tik savo sistemos, bet ir visų, kurie prie jos jungiasi.
Equifax: pusė Amerikos kišenėje
2017 metai. Equifax – viena trijų didžiausių kredito istorijos agentūrų JAV – pranešė apie duomenų nutekėjimą. Paveikti 147 milijonai žmonių – beveik pusė suaugusių amerikiečių.
Socialinio draudimo numeriai, gimimo datos, adresai, kai kurių – vairuotojo pažymėjimų numeriai. Visa tai, ko reikia tapatybės vagystei.
Priežastis? Nepritaikytas saugumo atnaujinimas. Apache Struts sistema turėjo žinomą pažeidžiamumą. Pataisymas buvo išleistas kovo mėnesį. Equifax jo nepritaikė. Gegužę–liepą programišiai ramiai rinko duomenis.
Įmonė sutiko mokėti iki 700 milijonų dolerių kompensacijoms ir baudoms. Generalinis direktorius, saugumo vadovas ir informacinių technologijų vadovas – visi paliko postus.
Garmin: kai sustojo laikrodžiai
2020 metų liepa. Garmin – sporto laikrodžių ir navigacijos sistemų gamintojas – staiga nutilo. Programėlės neveikė, laikrodžiai nesisinkronizavo, net aviacijos duomenų bazės tapo nepasiekiamos.
WastedLocker išpirkos virusas užšifravo sistemas. Bendrovė tylėjo kelias dienas, vartotojai spekuliavo. Vėliau pasirodė informacija, kad Garmin sumokėjo apie 10 milijonų dolerių išpirką.
Kas svarbiausia šioje istorijoje: net įmonė, kurios produktai susiję su sauga ir navigacija, nebuvo apsaugota. Profesionali serverio priežiūra ir nuolatinis monitoringas – ne prabanga, o būtinybė.
SolarWinds: kai saugumas tapo pažeidžiamumu
2020 metų pabaiga. Išaiškėjo viena rafinuočiausių kibernetinių atakų istorijoje. Programišiai įsiskverbė į SolarWinds – IT valdymo programinės įrangos tiekėjo – sistemas ir įterpė kenkėjišką kodą į oficialius atnaujinimus.
18 000 organizacijų parsisiuntė užkrėstą atnaujinimą. Tarp jų – JAV Finansų ministerija, Valstybės departamentas, dalis Fortune 500 įmonių, „Microsoft”.
Ataka tęsėsi mėnesius, kol buvo aptikta. Programišiai turėjo prieigą prie jautriausių sistemų ir duomenų. Nuostolių tiksliai niekas neįvertins – kai kurie teigia, kad tikroji žala dar neaiški.
Ko šios istorijos mus moko
Kiekviena šių atakų turi bendrų bruožų:
Pažeidžiamumas buvo žinomas arba galėjo būti aptiktas. Ne viena ataka naudojo seniai žinomus metodus.
Trečiosios šalys – silpna grandis. Tiekėjai, rangovai, partneriai – visi jie gali tapti durų raktais.
Greitis svarbus. Kuo ilgiau ataka nepastebėta, tuo didesnė žala.
Pigiau išvengti nei gydyti. Prevencijos kaina – dalis to, ką kainuoja atsistatymas po incidento.
Klausimas, kurį verta užduoti
Ne „ar mane užpuls”, o „kada ir ar būsiu pasiruošęs”.
Didelės korporacijos, turinčios šimtų milijonų biudžetus, tapo aukomis. Tai nereiškia, kad mažesnės įmonės saugios – priešingai, jos dažnai lengvesnis taikinys.
Skirtumas tarp įmonių, kurios atsistato per dienas, ir tų, kurios nebeatsitiesia – pasiruošimas. Atsarginės kopijos, atnaujinimai, stebėsena, reagavimo planai.
Tai ne istorijos iš kito pasaulio. Tai realybė, kuri vyksta kasdien, tiesiog ne visos atakos patenka į antraštes.