logo

Киберзащита против кибератаки

Директор компании-партнера  INTECRACY DEALS Александр Вернигора рассказал про киберугрозы и способы защиты он них.

В начале прошлого месяца Департамент киберполиции Национальной полиции Украины рекомендовал всем пользователям сменить пароли и электронные цифровые подписи (далее - ЭЦП) в связи с тем, что эти данные могут быть скомпрометированы (то есть доступны посторонним лицам). Причиной такого заявления стала масштабная кибератака пользователей вирусом Petya.A и возможным инфицированием локальных компьютеров.

Учитывая такую ситуацию, владельцы ЭЦП должны подумать о безопасности. ЭЦП является основным элементом, без которого невозможно использовать электронный документооборот. Ст. 12 Закона Украины «Об электронных документах и электронном документообороте» предусматривает, что проверка целостности электронного документа может проводиться путем проверки электронной цифровой подписи.

Как работает ЭЦП?
Отметим, что согласно Закону, электронная цифровая подпись - это вид электронной подписи, полученной в результате криптографического преобразования набора электронных данных, который добавляется к этому набору или логически с ним объединяется и дает возможность подтвердить его целостность и идентифицировать подписчика. ЭЦП накладывается с помощью личного ключа и проверяется с помощью открытого ключа. Личный ключ - параметр криптографического алгоритма формирования электронной цифровой подписи, доступный только подписчику. Открытый ключ - параметр криптографического алгоритма проверки электронной цифровой подписи, доступный субъектам отношений в сфере использования ЭЦП.

Отметим, что полученный в соответствии с законом ЭЦП по правовому статусу приравнивается к собственноручной подписи (печати). ЭЦП используется физическими и юридическими лицами - субъектами электронного документооборота для идентификации подписанта и подтверждения целостности данных в электронной форме.

ЭЦП, как и подпись от руки, является уникальным для каждого подписанта. На практике он работает следующим образом. При формировании используется математический алгоритм, чтобы сформировать два длинных номера, которые называются ключами. Один ключ является публичным, а другой - частным. Когда подписант в электронном виде подписывает документ, подпись формируется с использованием частного ключа подписанта, который известен только подписанту и всегда надежно ним сохраняется.

Математический алгоритм выступает как шифр, создавая данные, которые соответствуют подписанному документу, а также шифрование этих данных. Полученные зашифрованные данные - это ЭЦП. Подпись также отмечается временем, когда документ был подписан. Если документ изменится после подписания, ЭЦП уже будет недействительным.

Азы безопасности ЭЦП
Чтобы защитить целостность ЭЦП, необходимо, чтобы ключи ЭЦП были созданы, выполнены и сохранены безопасным способом, требует услуг надежного центра сертификации. Формально все центры сертификации ключей ЭЦП, которые легально действуют в Украине, являются аккредитованными в соответствии с «Порядком аккредитации центра сертификации ключей», утвержденного постановлением Кабмина №903 от 13.07.2004 г., имеют свидетельство об аккредитации, а потому признаны государством как безопасные. Однако практика показывает, что необходимо тщательно выбирать даже Аккредитованный центр сертификации для получения ключей ЭЦП (далее - АЦСК), поскольку не все так безопасно, как может показаться на первый взгляд. Не все АЦСК имеют надлежащий уровень киберзащиты. Стоит только вспомнить недавнюю кибератаке вирусом Petya.A и перебои в работе АЦСК Украины.

Учитывая вышесказанное, по нашему мнению, безопаснее пользоваться услугами АЦСК, которые созданы и работают при госорганах. Речь идет об Аккредитованном центре сертификации ключей органов юстиции Украины и Аккредитованном центре сертификации ключей Информационно-справочного департамента Государственной фискальной службы Украины. Прежде всего, уровень киберзащиты этих центров является высоким. Ведь если ключи ЭЦП, выданные АЦСК органов юстиции Украины или Информационно-справочного департамента ДФС, будут скомпрометированы по вине последних, то государство потеряет доверие бизнеса и граждан в этой сфере. Вместе с тем практика показывает, что в случае чего более реально взыскать убытки с государства, чем из частных компаний.

Ключи ЭЦП рекомендуется хранить на компьютере, а на флешке. Это значительно повысит шансы того, что они будут надежно сохранены и не окажутся в руках злоумышленников, которые смогут попасть в ваш компьютер с помощью вируса.

Также важно использовать надежные программы с соответствующим уровнем безопасности. Например, система внешнего документооборота для бизнеса - DEALS, созданная на базе платформы UnityBase, обладает высоким уровнем защиты - Г2. Что это значит? На стадии разработки технического задания должны быть разработаны функциональные спецификации компьютерной системы (далее - КС). Представленные функциональные спецификации должны включать неформализованное описание политики безопасности, которая реализуется комплексом средств защиты (далее - КВС). Политика безопасности должна содержать перечень и описание услуг безопасности, предоставляемых КСЗ. По данному принципу построен надежный уровень защиты.

Таким образом, система защиты DEALS предоставляет круглосуточный доступ к необходимым документам нужном кругу лиц без риска потери данных. Система DEALS является ресурсом, который обеспечивает подписания, администрирование, хранение и доставку в электронном виде любых юридически значимых документов, которыми любая компания обменивается со своими контрагентами во всем мире в режиме онлайн. К сожалению, многие программные ресурсы в этой сфере пытаются сэкономить на безопасности, из-за чего впоследствии бизнес и государство несут большие убытки. Поэтому перед тем как начать пользоваться каким-то программным обеспечением, сначала нужно определить уровень защиты информации в ней.

Также рекомендуем сохранять документы с помощью облачных технологий и программных систем, которые позволяют это делать. Ведь тогда документы будут сохранены в целостном виде. Практика работы система DEALS, которая также сохраняет документы контрагентов, показывает, что это важно, ведь документы с жесткого диска компьютера восстановить не удастся, а получить документ из облака вполне возможно.

Общие рекомендации по защите
CERT-UA - специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозами Государственной службы специальной связи и защиты информации 04.08.2017 г. распространил официальное сообщение. В нем говорится о том, что возможна кибератака на информационные ресурсы Украины, посвященная Дню независимости, который украинцы празднуют 24 августа. Она может произойти в день, накануне или сразу после праздника. Киберзащитники призывают всех владельцев информационных ресурсов быть готовыми к возможной атаке и выполнять требования безопасности.

Владельцы сетей, подвергшихся воздействию кибератаки в июне 2017, даже восстановив компьютеры после атаки, могут стать потенциальным объектом повторной атаки. По данным Госспецсвязи, существует высокая вероятность того, что злоумышленникам известна информация о сети, пароли к учетным записям пользователей, администраторские пароли, примерные схемы сетей, пароли к электронным почтовым ящикам, ЭЦП и др.

Учитывая сказанное, Государственный центр киберзащиты и противодействия киберугрозами CERT-UA Госспецсвязи предоставил Рекомендации по защите компьютеров от повторного поражения вирусом-вымогателем.

Рекомендации CERT-UA:

  • Прекратить использование проблемного программного обеспечения до официального объявления о решении проблемы, отключить от сети компьютеры, на которых оно было ли установленным. Рекомендуется провести перезагрузку операционной системы на таких компьютерах.
  • Обеспечить недопустимости открытия вложений в подозрительных сообщениях.
  • Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности почтового и веб-трафика.
  •  Изменить все пароли, которые используются в сети, и другие идентификационные данные, которые могли быть скомпрометированы. Целесообразно изменить пул внутренних IP-адресов и структуру сети - схема сети может быть известна злоумышленникам, что облегчает реализацию следующей атаки.
  • Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: Windowsperfc.dat. Чтобы предотвратить шифрование нужно создать файл C: Windowsperfc. Перед началом процесса шифрования вирус проверяет наличие файла perfc в папке C: Windows, если файл уже существует, вирус завершает работу и не шифрует файлы.
  • Для предотвращения вредоносным ПО менять MBR (в котором в этом случае и записывалась программа-шифровальщик) рекомендуется установить одно из решений о запрете доступа к MBR.
  • Убедитесь, что на всех компьютерах установлено антивирусное программное обеспечение, оно функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установите и / или проведите обновление антивирусного программного обеспечения.
  • Установите официальный патч MS17-010.
  • Если есть возможность, отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445.
  • Ограничьте возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий% TEMP%,% APPDATA%.
  • Отключите устаревший протокол SMB1.
  • Обратиться к рекомендациям CERT-UA По поводу безопасности почтовых сервисов.
  • Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec.
  • В случае инфицирования персонального компьютера не перегружать систему.

Как видим, бизнесу необходимо быть готов к новым кибератак и сделать все возможное, чтобы минимизировать риски потери важных документов. Храните ключи ЭЦП на флешке, документы - в облаках, а ПО используйте надежное, с высоким уровнем защиты.