В начале августа Центр информационных систем культуры подвергся серьёзной кибератаке. Хакерам удалось взломать шесть систем, парализовать работу множества культурных учреждений и надолго заблокировать общий музейный каталог и единую архивную систему. Злоумышленники использовали новое программное обеспечение-вымогатель, которое зашифровало данные. Эксперты по кибербезопасности из CERT считают, что целью атаки была не сама культура, а, скорее всего, деньги в обмен на восстановление данных, сообщает передача Nekā personīga (TV3).
Центр информационных систем культуры (KISC) — учреждение, подчинённое Министерству культуры, основанное в 2013 году. В его ведении находятся 60 систем культурных данных. Шесть из них — картотека гербов, единая государственная архивная система, общий музейный каталог, система подачи проектов в Культурный фонд, библиотечный портал и система культурных данных — подверглись атаке в ночь на 7 августа.
Этими ресурсами широко пользуются как жители, так и учёные. В их числе — ведущий исследователь Института философии и социологии Латвийского университета Каспар Зеллис, который сразу ощутил сбои в работе систем.
"Я это ощутил очень остро, потому что у нас с коллегами как раз после атаки была командировка в Даугавпилс, где мы работали в Зональном архиве. К счастью, мы заранее заказали нужные дела и описания, но когда приехали — системы уже не работали. Благодаря помощи сотрудников архива и наличию старых аналоговых систем поиска, работа не остановилась. Но сегодня, если мы хотим изучить какие-то конкретные дела, приходится делать это, как десять лет назад", - рассказал Зеллис.
Центру удалось восстановить работу библиотечного портала за несколько дней, однако общий музейный каталог и единая архивная система оставались недоступными ещё три недели после атаки.
Восстановление систем осложнилось из-за использованного вируса. Хакеры не пытались украсть данные, а зашифровали их, чтобы вымогать деньги за восстановление. Они оставили виртуальную записку с указанием Telegram-аккаунта для связи и обсуждения выкупа. Известно, что за атакой стоит хакерская группа под названием Silencer. Специалистам CERT удалось отследить виртуальный адрес, с которого была совершена атака — он находился за пределами Латвии.
"Да, это был финансово мотивированный злоумышленник. Из других атак, приписываемых этой группе, не видно, что она была заинтересована чем-то кроме получения денег.
[NP: Это крупная международная группа?] Эти ребята ведь не раздают визитки, так что насколько они крупные — судить сложно. Вероятнее всего, в таких группах несколько человек, но насколько они масштабны — не будем спекулировать", - указал эксперт по кибербезопасности CERT.LV Гинт Малкалниетис.
По мнению CERT, целью были не сами культурные системы. Хакеры искали системы с большими объёмами данных. Атака была осуществлена с помощью нового и очень специфичного вируса-вымогателя, который использовал уязвимость, присутствующую в системах Центра культурно-информационных систем (KISC). Такие же системы используют и другие учреждения, которые CERT уже предупредил о возможной угрозе и дал рекомендации по её устранению.
"Использованная уязвимость довольно редкая. В Латвии немного систем, где используется это программное обеспечение. Мы их выявили и предупредили, но успешных атак на них не было. […] Это не следует воспринимать как целенаправленную атаку именно на эту систему. Это атака на систему, в которую удалось проникнуть, но точно так же могли атаковать любую другую с аналогичными последствиями", - заверил Малкалниетис.
KISC всё же потерял часть информации. Сколько именно — неясно, но надеются, что потери минимальны, так как ежедневно создаются резервные копии. Большую часть данных удалось восстановить.
"Учитывая масштаб атаки, нам пришлось перестроить часть инфраструктуры — это была рекомендация CERT по реагированию на подобные атаки. Кроме того, восстановление с резервных копий требует времени. В отдельных случаях, например, с общим музейным каталогом, необходимо было практически заново настраивать всю инфраструктуру и связку серверов, потому что объём данных — очень большой", - рассказал заместитель директора KISC Янис Зиединьш.
"Наука и культура всегда в роли падчериц. Их поддержка и обновление систем никогда не были приоритетом по сравнению с другими сферами. Долгое восстановление подтверждает, что мы недостаточно защищаем то, что политики называют нашей наивысшей ценностью и приоритетом. На деле же — это не так", - отметил ученый Каспарс Зеллис.
Расследование атаки находится в ведении Государственной полиции. В настоящее время проводится ведомственная проверка, но официальное расследование не начато, так как заявление не подано. KISC обратится в полицию после устранения последствий атаки. Предварительно оценено, что восстановление обойдётся в 15 000 евро, которые покроют из собственного бюджета.
[NP: Ранее Центр информационных систем культуры сталкивался с кибератаками?] Нет, ранее кибератак не было. […] Возможно, можно было избежать атаки, если бы использовались ещё более продвинутые технические средства, но надо понимать, что сейчас идёт постоянное сканирование систем, поиск уязвимостей, и в наше время довольно трудно избежать атак, даже крупным компаниям с высокой степенью защиты", - пояснил Зиединьш.
Системы, находящиеся под управлением KISC, размещены на серверах дата-центра Латвийской национальной библиотеки.
"Каждому клиенту мы предоставляем возможность локального хранения данных, поэтому работа других клиентов дата-центра не была затронута. Это был локальный инцидент, касающийся исключительно систем, находящихся в ведении Центра информационных систем культуры. Работа Латвийской национальной библиотеки и других клиентов не пострадала", - отметила директор Латвийской национальной библиотеки Дагния Балтиня.
Балтиня подтвердила, что внутренние системы библиотеки безопасны. В то же время на этой неделе Национальная библиотека сообщила, что ресурс periodika.lv временно недоступен. Директор пояснила, что это связано не с кибератакой, а с работами по модернизации системы.
[NP: Выявила ли эта атака уязвимости во внутренних системах библиотеки?] Мы постоянно следуем всем рекомендациям и принимаем соответствующие меры. [NP: Но были ли выявлены уязвимости?] Нет, никаких дополнительных уязвимостей выявлено не было", - заверила Балтиня.
Хотя атака не затронула системы библиотеки и других пользователей дата-центра, Балтиня признала, что библиотека сталкивается с кибератаками. Однако как часто это происходит — она не уточнила.
[NP: Насколько распространены кибератаки в последнее время в Латвии? Их число растёт или остаётся стабильным?] Мы продолжаем фиксировать рост числа атак. К сожалению, периодически случаются атаки с использованием шифрующих вирусов, и борьба с ними временами очень напряжённая", - рассказал Малкалниетис.
По словам заместителя директора KISC, общий музейный каталог и единая архивная система могут заработать в полном объёме уже на этой неделе. Однако в воскресенье утром сайты ещё были недоступны.
А директор Латвийской национальной библиотеки пояснила, что periodika.lv снова станет доступен жителям в течение ближайших двух недель, но только при посещении библиотеки. Когда сайт заработает в полном объёме — пока неизвестно.
Оставить комментарий
(1)