Кибератака на высшую школу здравоохранения на несколько дней парализовала работу серверов

Подготовка и мониторинг атаки начались 31 августа, а 4 сентября в 20:32 преступники проникли в критическую зону информационных систем школы. Через четверть часа пользоваться большинством серверов и информационных систем  было невозможно.

"В результате взлома были уничтожены резервные копии, созданные для установки на рабочие станции клоны, файлы установки программного обеспечения, накопленный с течением времени фотобанк и исходные материалы многих обучающих видео. Большинство используемых виртуальных серверов были стерты», - пояснил главный специалист IT-службы Тартуской высшей школы здравоохранения Иво Ваакс.

Слегка повезло

По словам Ваакса, школа старалась обеспечивать максимальную безопасность систем. «Этот год прошел под знаком обновления устаревших программных платформ, чтобы они были как можно более современными и регулярно обновлялись», - объяснил он.

Аналитики безопасности государственных информационных систем уведомляли школу, если возникала необходимость обновить версию или услугу программного пакета.

Атаку заметил вечером 4 сентября коллега Ваакса, который позвонил ему и сказал, что больше не может выполнять необходимые действия с помощью приложения для удаленной работы.

"Я дистанционно подключился к университетскому серверу приложений для удаленной работы, и он показал мне совершенно неизвестный черный экран. Я увидел, что большая часть виртуальных серверов удалена", - говорит Ваакс. Кроме того, был оставлен  адрес электронной почты, на который просили написать, если есть интерес получить контроль над серверами обратно.

Глава отдела обработки киберинцидентов Департамента государственной инфосистемы (RIA) Тыну Таммер сказал, что агентство знает о происшествии в Тарту и оказало учебному заведению помощь.

Только за сентябрь RIA получил несколько сообщений об атаках с требованием выкупа, большинство из которых касалось учебных заведений, одно - медицинского учреждения. «Часто в случае атак с целью выкупа данные на устройствах компаний не только шифруются, но также крадутся и раскрываются», - пояснил Таммер.

Иво Ваакс с преступниками не торговался. «Восстановление части нанесенного ими ущерба было исключено, а для некоторых материалов у нас была резервная копия», - сказал он. По словам Ваакса, школе повезло, что это были преступники, которые не смогли преодолеть сбой системы. «Более осторожные злодеи нанесли бы гораздо больший ущерб», - сказал он.

Каковы решения?

В дни сразу после атаки IT-команде высшей школы здравоохранения пришлось рассчитывать на два дополнительных 12-часовых дня. На сегодняшний день ущерб целиком еще не устранен - по результатам аудита безопасности систем работы хватит на несколько недель.

Ваакс видит в качестве решения дополнительные ограничения в IT-системах учреждения в узлах критических систем. На повестке дня еще один важный вопрос. «Как я могу сообщить персоналу об опасности, если официальные информационные платформы агентства в настоящее время не работают?» - задается он вопросом.

 «Возможно, нам следует создать дополнительную опцию для SMS-уведомлений на мобильные телефоны, например, как в случае, когда от правительства приходит сообщение о кризисе или штормовое предупреждение».

По словам Таммера, для борьбы с кибератаками недостаточно создавать резервные копии данных: они также должны быть зашифрованы, и кроме того, необходимо убедиться, что резервные копии находятся не на том же носителе данных, что и исходные данные.

Также важно обновлять программное обеспечение и обучать персонал. «Преступники умеют оказывать психологическое давление на человека», - пояснил он. 

За последний год эстонские компании потеряли не менее одного миллиона евро из-за кибермошенничеств.