В прошлом месяце Департамент государственной инфосистемы (RIA) зарегистрировал более ста серьезных инцидентов. Два из них были связаны с собственными услугами RIA. В международном плане серьезное влияние оказала атака на американскую ИТ‑компанию Kaseya.
В начале июля внимательный пользователь портала Eesti.ee сообщил об ошибке программного обеспечения в предусмотренной для предпринимателей среде самообслуживания, где содержались имена и фамилии более 300 000 связанных с юридическими лицами человек, их личные коды, места работы, а у некоторых – связь с прежними должностями.
В прошлом месяце мы обнаружили и остановили массовую кражу данных, когда злоумышленник загрузил фотографии 286 438 человек из базы данных документов, удостоверяющих личность. Подозреваемый не получил доступа ко всей базе данных, а в корыстных целях воспользовался уязвимостью в одной из услуг под управлением RIA, которая позволяла ему обходить необходимые для аутентификации запросы и тем самым получить фотографии с документов людей. Сразу после обнаружения ненадлежащего использования RIA закрыл услугу и устранил ошибку в системе безопасности.
Кроме того, RIA зарегистрировал две атаки вируса-вымогателя. 12 июля сервер одного судебного исполнителя был заражен программой-вымогателем. Система была восстановлена из последней резервной копии. В середине июля об атаке вируса-вымогателя нам сообщило одно из крупнейших промышленных предприятий Эстонии. Атака существенно нарушила работу предприятия. В отношении таких атак необходимо учитывать, что перед шифрованием злоумышленники могут попытаться украсть информацию из систем и угрожать раскрытием данных в случае невыплаты требуемого выкупа.
Во второй половине месяца одна больница уведомила RIA об инциденте, в котором из-за аномалий сетевого трафика были явно нарушены услуги внутри больницы. Выяснилось, что причиной инцидента стал сотрудник больницы, который предложил помочь улучшить соединение Wi-Fi и добавил в сеть новое устройство. Однако переподсоединив кабели, он обусловил еще большую проблему, чем прежде.
Если говорить о международном киберпространстве, то в июле произошла обширная кибератака шифровальщика-вымогателя на американскую ИТ-компанию Kaseya. Действующей в России группировке REvil удалось заразить программой-вымогателем около 1500 предприятий из 17 стран, которые использовали облачное решение Kaseya для удаленного администрирования ИТ-систем. Атака также затронула шведскую сеть магазинов COOP, которой на пять дней пришлось закрыть 800 магазинов, поскольку хакеры путем шифрования данных заблокировали систему бухгалтерского учета.
Полный обзор деятельности RIA по улучшению киберпространства Эстонии и обзор международных киберинцидентов можно найти на сайте RIA.