🎙 Кейс страхового дома ВСК
14 апреля принял участие в https://cyberdom.moscow/event/19b027e9-5ca7-4320-8e04-75e42e8fa504», который прошел на площадке Кибердома. Напомню, что в ноябре 2025 года произошла масштабная атака на компанию, которая на время парализовала бизнес. Команда ВСК решила поделиться опытом восстановления с трех точек зрения: информационной безопасности, IT и бизнеса.
Наша команда много занимается стратегическим менеджментом, аудитами, непрерывностью бизнеса и кризис-менеджментом и мне было интересно:
1️⃣ Что привело к реализации атаки и как развивался инцидент во времени
2️⃣ Какие недостатки стали причиной закрепления и шифрования
3️⃣ Как была выстроена процедура расследования и восстановления
К сожалению технические детали остались за скобками: начиная от первичного вектора взлома и заканчивая особенностями закрепления и компрометации. В рамках инцидента была затронута большая часть инфраструктуры: повреждена вся виртуальная инфраструктура, серверы, рабочие станции в обоих ЦОДах, резервные копии в ЦОД-1. Были остановлены фронт-офисные системы продавцов, онлайн-оформление полисов, партнёрские API и пр., пострадали многие процессы
Сама реализация инцидента является накопительным клубком проблем ИТ × ИБ × Непрерывность × Кризис-менеджмент, нельзя выделить что-то одно:
🔹 План BCP был, но больше «бумажный», его никто не тестировал и он не покрывал киберриски
🔹 DRP планы оказались недоступными, когда это было нужно
🔹 Правило 3-2-1 было нарушено, а система СРК была плохо изолирована от корпоративной среды, что и стало следствием шифрования бэкапов
🔹 Многие активы, с которых началась атака, не были покрыты мониторингом , круглосуточное реагирование на инциденты – видимо нет
🔹 Присутствовали проблемы с BIA, что на выходе дало очередь из бизнес-владельцев для которых все надо было восстановить в моменте, а важность некоторых сервисов (такие как сервис печати полисов) была выявлена в момент восстановления
🔹 Управляющие интерфейсы судя по применяемым мерам были доступны атакующим и не выведены в отдельный management сегмент
🔹 Мощности под восстановление не были продуманы заранее
🔹 CMDB не включал информацию по всем бизнес процессам и ресурсам
Это лишь мои выводы по результатам слайдов, некоторые озвученные недостатки являются следствием принятых мер и не выделены явно. На мой взгляд ключевой провал заключался в плохом кризисном реагировании. Слайд «Взлом глазами бизнеса» показывает, что первые шаги включали:
🔹 Организацию штаба восстановления
🔹 Организация выделенных «кризисных» каналов связи
🔹 Поиск контактов руководителей подрядчиков
🔹 Организация помещений, питания, медицинского сопровождения
что означает что кризис-менеджмент выстраивался во время катастрофы и бизнес не был готов к инциденту, настольные (table top) учения кризисных сценариев не проводились, это снизило бы время на решение управленческих вопросов.
Ключевые проблемы системны для многих компаний: ограниченный бюджет, отсутствие глубины в реализации отдельных мер (харденинг, сегментация) в виду масштаба инфраструктуры, отсутствие интеграции ИБ и ИТ в процессах непрерывности бизнеса и восстановления, экономия на периодических проверках и тестовых симуляциях и восстановлениях.
Все рекомендации, которые коллеги дали на слайдах – это база, нет никакой экзотики типа выстраивания Zero Trust, все это есть и в требованиях регуляторов, и в лучших практиках по ИБ. Ключевой месседж - чтобы построить киберустойчивый бизнес, одной ИБ уже недостаточно. Раньше для ИБ нужно было делать ИБ, теперь — нет. Нужны и надежная ИТ, и системы резервного копирования, и харденинг, и сетевая сегментация, и здоровый периметр и много чего ещё
Здорово что коллеги решили поделиться кейсом, обмен опытом с комьюнити – бесценно
#ransomware
