Ночью в символичную дату - 13 мая случилась авария на одном из объектов. Утром все пользователи уже не могли подключиться к 1С и общим папкам на сервере, а также все файлы на компьютерах превратились в объекты неизвестного формата, - сработал вирус-шифровальщик, как выяснилось позже одна из новых модификаций Trojan.Encoder. Шифрование идет на высоком уровне и подобрать ключ расшифровки невозможно, даже если бросить на вычисления всю компьютерную мощность города. Злоумышленники за предоставление дешифратора просили 1000$ на каждый компьютер.
С террористами решили переговоров не вести. Учитывая слабую вероятность возможности определения «точки входа» вируса, а также трудоемкость данного процесса, было принято решение в первую очередь заняться восстановлением инфраструктуры.
Наряду с ужасом от объема предстоящих работ по развертыванию сетевой инфраструктуры почти с нуля, грела мысль, что резервные копии есть, и система их защиты сработала как надо. Копии размещались в хранилищах, к которым не было прямого доступа из общей сети. Часто при отсутствии механизма защиты резервных копий, данные вирусы шифруют также и сами спасительные резервные копии данных.
Учитывая определенный «зоопарк» техники и ПО на объекте, все восстановление у двух специалистов заняло порядка недели времени по 12 часов работы в день. Что бы не утомлять подробностями, скажу о выводах, которые сделали после данной ситуации:
Лекарства от вируса нет, но защищаться все равно надо. Сейчас, мы вынуждено обновили все ПО до современного уровня, что откладывалось ранее по разным причинам (отсутствие финансов, консервативность пользователей, отсутствие понимания необходимости);
- Резервные копии – наше всё. Не все организации могут позволить себе штат ИТ-специалистов и постоянный мониторинг сетевой структуры. Если нет возможности поддерживать актуальными все ПО и технику – определите и надежно защитите копии важной информации, все остальное можно переустановить;
Знайте где что лежит и доводите правила размещения информации до сотрудников. К сожалению руководство мало времени уделяет пониманию того какие данные резервируются и насколько надежно это происходит. И к моменту «пожара» часто выясняется, что многие данные уже хранятся не в защищённой области серверов, а на рабочих столах и внешних дисках пользователей;
- Все меняется. Пока вы занимаетесь своим бизнесом ситуация на рынке ИТ стремительно меняется. Многие решения, которые были недоступны ранее даже для среднего бизнеса, сегодня может себе позволить малый.
Не реже раза в год уделяйте время что бы пообщаться с тем, кто занимается ИТ в вашей организации, узнайте его взгляд на ситуацию, сообщите о ваших задачах и вместе выработайте и утвердите оптимальный курс. Именно вместе, т.к. зачастую ИТ-специалистов воспринимают как рядовой обслуживающий персонал. Между тем «цифровизация» поглотила большинство бизнес-процессов и ИТ-специалисты уже являются скорее партерами по бизнесу, которым вы доверяете созданное вами, уже во многом цифровое, детище. Всегда рады помочь и ответить на ваши вопросы .