Rekonštrukcia kyberútoku na slovenskú výrobnú spoločnosť so 70-ročnou úspešnou históriou
Je utorok, 13. apríla 2021, 6. hodina ráno. Zamestnancovi výrobného podniku sa začína klasický pracovný deň. Zapína počítač – a okamžite sa všetko mení. Na obrazovke svieti oznam od kyberútočníka: „Počítač je zakryptovaný, kontaktujte ma do 24 hodín.“ Zjednodušene povedané: systém napadol heker a za navrátenie dát chce výkupné.
„Šlo o najčernejší deň v 70-ročnej histórii našej spoločnosti,“ zhodujú sa dnes manažéri podniku.
Nielen vo svete, ale aj na Slovensku sú útoky na súkromné spoločnosti aj štátne inštitúcie na dennom poriadku. Niekde idú kybernetickí útočníci na istotu, inde to len skúšajú a čakajú, ktorá akcia sa vydarí. Škody úspešne napadnutých spoločností sú následne obrovské. Prichádzajú o státisíce eur najmenej v štyroch rovinách: v prerušení činnosti, v nutnosti technickej obnovy systémov, na zmluvných pokutách pre obchodných partnerov, a nezriedka aj pri zaplatení výkupného. Neželaným dôsledkom navyše býva strata dôvery zákazníkov a reputácie.
V nasledujúcom článku prinášame rekonštrukciu útoku na slovenskú výrobnú spoločnosť, ktorý sa vďaka rýchlemu hľadaniu odborných riešení manažmentu, vysokému nasadeniu lojálnych zamestnancov, a v neposlednom rade včasnej a otvorenej komunikácii ku klientom, blíži k úspešnému finále.
Prvé kroky spoločnosti po útoku
Vráťme sa k osudnému 13. aprílu 2021. Zamestnanec, ktorý odkaz od útočníka našiel, kontaktoval IT manažéra firmy. Jeho prvá telefonická reakcia bola: „O ktorý server ide?“ Už predtým mali skúsenosť s individuálnym zašifrovaním, a vždy ho hravo zvládli. Odpoveď zamestnanca však znela: „Obávam sa, že o všetky.“
Pôvodne klasický pracovný deň sa tak vo výrobnom podniku zmenil na súbeh dramatických udalostí, vyžadujúci nasadenie všetkých vnútropodnikových zložiek vrátane top manažmentu.
V prvom rade bolo potrebné vypnúť všetkých 38 serverov, vrátane počítačov a tlačiarní, z dátovej siete. Tie, čo sa napadnutým vírusom opätovne nanovo naštartovali alebo zasekli, bolo nutné „natvrdo“ vytiahnuť zo skriniek elektrického napätia. „Vtedy sme všetci pochopili, že náprava bude trvať dlhšie ako odstávka pri údržbe,“ spomína IT manažér.
Bežne sa totiž ich server obnovoval zo záloh v priebehu jedného až dvoch dní, po napadnutí sa však aj po skúšobnom zapnutí servera údaje šifrovali ďalej. Čo s tým?
Okamžitou reakciou manažmentu bol, pochopiteľne, hnev proti útočníkovi. „Prečo práve naša firma? Pre koho môžeme byť ako terč zaujímaví,“ spomína na čierny deň člen vedenia spoločnosti. IKT infraštruktúra, systémy, zariadenia, tok informácií do výroby, mailová komunikácia, všetko, čo mali priamo naviazané na IT, zrazu nefungovalo. „Predstavte si, že máte vypnutú sieť, ktorá je kontaminovaná, máte kontaminované servery, a zisťujete, nakoľko zasiahnuté boli aj vaše zálohy.“
Každý jeden človek vo firme mal pocit, že sa ocitol v bode nula. Isté bolo len jedno: spravodlivo rozčúlení členovia manažmentu sa zhodli a dohodli, že v žiadnom prípade nebudú nikomu nič platiť.
„Zároveň sme si uvedomili, že hnev nepomôže, že treba konštruktívne uvažovať, nastaviť stratégiu a situáciu postupnými krokmi riešiť. Všetkým nám bolo jasné, že najdôležitejšie je udržať výrobu, ktorá je z hľadiska produkcie, príjmov aj záväzkov spoločnosti kľúčová. A to aj za cenu, že sme sa pri riadení činností museli vrátiť k papieru a ceruzke,“ spomína na prvé hodiny čierneho dňa člen vedenia výrobného podniku. „Bolo to nesmierne ťažké.“
Prvé odporúčania špecialistov
Technici najskôr uvažovali o možnosti pripojenia cez Windows zariadenia na NAS-ko v serverovni. Ide o úložné zariadenie umožňujúce firmám bezprácne skladovať a chrániť veľké objemy dát. Aj tu však hrozila možnosť, že dôjde ku prenosu škodlivých kódov či ku spusteniu šifrovania. Spoločnosť sa preto obrátila na poskytovateľa konzultačných služieb, IT firmu GAMO.
Prvé odporúčanie konzultanta znelo: Skontrolovať zálohy cez linuxové zariadenie. „Šli sme postupne, hromady súborov, ktoré sme prechádzali, boli vždy úplne alebo čiastočne zašifrované. A vieme, že ak je niečo na virtuálnom serveri čiastočne šifrované, už tam môže byť vložený neviditeľný škodlivý kód. V takomto prípade by sme z tohto servera nemali nič používať,“ komentuje vtedajšiu situáciu vedúci IT napadnutej spoločnosti.
Obrátili sa teda na lídra na trhu v oblasti bezpečnostných riešení. Ten síce ransomvérové útoky na viaceré slovenské spoločnosti registroval, ale konkrétne riešenie daného stavu nemal. „Čiže plán, že všetko obnovíme zo záloh, nefungoval. A čas nám bežal.“
Jednou z nádejí v záchrane časti dát boli kazetové pásky. „Zálohovali sme ich na tieto nosiče približne pred polrokom. Dúfajúc, že by na nich mohli byť využiteľné informácie, sme pásky za posledných päť rokov poslali nášmu konzultantovi,“ pokračuje IT manažér.
Tie prešli v GAMO pomocou robotizovaného zariadenia prácnou kategorizáciou. Proces postupného pretočenia pások a nájdenia súvislostí v záznamoch trval viac ako tri týždne. Spoločnosť paralelne hľadala aj iné spôsoby riešenia.
Rýchly prechod do cloudu
Keďže bola celá infraštruktúra napadnutého podniku zašifrovaná, hľadalo sa prostredie, ktoré postaví informačný systém rýchlo a bezpečne späť na nohy. Ideálnym riešením bol cloud. Manažment podniku už na druhý deň konzultácií so špecialistami zvolil túto novú cestu fungovania a vyžiadal si službu pre všetky servery.
Technickí pracovníci krok za krokom prechádzali čo ešte možno zachrániť. Našla sa napríklad databáza výrobného systému z predošlého dňa. Skúškou zistili, že nie je kontaminovaná, ale iba poškodená silným vypnutím servera. Opravili sa poškodené transakcie, nainštalovala sa MS SQL prázdna databáza a pri importe bola dodaná databáza bez prípony, bez zašifrovania. „Ak by nebola databáza v poriadku a nesedeli kontroly všetkých jednotiek vnútri, databázový systém by ju neprijal. Keď však očistili transakcie a databáza bola korektne importovaná, prešla testovaním a následne bola poslaná do cloudu,“ približuje IT manažér podniku.
„Zachránené databázy a dáta najdôležitejších systémov firmy sme vložili do dvoch diskov,“ približuje krízový moment jeden z vrcholových manažérov podniku.
Zo stredného Slovenska ich bolo nutné urýchlene doručiť do Bratislavy, aby ich technici GAMO oživili do cloudového prostredia. „Bol to zvláštny pocit, že na dvoch diskoch máte zrazu celé bohatstvo firmy, ktorú budujete 70 rokov. Nie je to hala, ktorá sa dá postaviť, nie sú to stoje, ktoré môžete kúpiť. Sú to dva disky, s ktorými neviete, čo máte robiť. Tie dáta tam niekde boli, no bolo potrebné ich vydolovať,“ spomína s tým, že ich mal „celú noc, namiesto manželky, ktorá bola mimo domu, uložené pri sebe v posteli“.
Do Bratislavy vyrazil veľmi skoro ráno. „Hlavou mi vírili rôzne myšlienky a pracovné povinnosti – no všetky prebíjalo vedomie, že veziem vo svojom aute doslova možno jedinú záchranu pre firmu. A predstavte si, že nesiete niečo, čo má pre vás nevyčísliteľnú hodnotu, a potom si tieto vaše aktíva preberie na dohodnutom mieste človek, ktorého ste nikdy predtým nevideli. Ktorý si ich ako nič uloží do svojho ruksaku – a odíde… Stojíte tam a rozmýšľate, či ste práve urobili správne rozhodnutie,“ usmieva sa top manažér dnes.
Bezpečnostných opatrení v GAMO Cloud je hneď niekoľko. Prvým je samotné dátové centrum, z ktorého cloudové služby fungujú. Vďaka svojej konštrukcii a fyzickému i objektovému zabezpečeniu pôsobí navonok ako nedobytná pevnosť. Poskytovateľ navyše garantuje bezpečie a ochranu všetkých dát. Je vybudovaný na technológii SDDC od VMware s maximálnym dôrazom na bezpečnosť. Jeho zabezpečenie spĺňa štandardy TIA 942 pre úroveň Tier III. Ako prvý slovenský cloudový poskytovateľ získalo GAMO prestížny certifikát CSA Star udeľovaný za najkomplexnejšiu bezpečnostnú previerku. Tu už nie je potrebné riešiť prevádzku, údržbu, ani režim nepretržitej dostupnosti serverov.
Sanovanie výroby a pomoc dodávateľov
Vedenie sanovalo výrobu a hľadalo spôsoby ako a kde je možné získať dáta a databázy pre tri najdôležitejšie systémy – Výrobný systém, Výkresy a Technická príprava výroby.
Paralelne popri tých prioritách v spolupráci s dodávateľmi získavali nové aj zapožičané zariadenia pre spracúvanie údajov zo zachránených a nepoškodených databáz. Šťastím v nešťastí bol dodávateľ, ktorý mal päť rokov starú databázu z nadstavby systému, čo umožnilo nahliadnutie do starých položiek. Po odsúhlasení technikov sa jednotlivé technologické postupy a kusovníky tlačili na papier a posúvali do výroby.
Prebehla inštalácia ďalších troch počítačov a offline tlačiarne, aby pracovníci mohli kopírovať výkresy a konštruktéri mohli pripraviť výrobu v papierovej forme na ďalší týždeň. Podarilo sa zachrániť aj ďalšie výkresy zo zálohovaných pások, ktoré sa importovali do SharePointu a potom sa kopírovali do Wordu.
Tento proces bol však zdĺhavý a sprevádzaný každodenným tlakom.
Nastavenie správnej komunikácie
Výrobná spoločnosť rýchlo pochopila dôležitosť každého jedného rozhodnutia a zostavila krízový tím odborníkov. Tvorili ho manažment napadnutej spoločnosti a odborníci z GAMO, každý mal presne určené kompetencie i úlohy.
Keďže Exchange server bol vypnutý, obchodníci a nákupcovia začali so zákazníkmi komunikovať prostredníctvom súkromných mailov a telefonických kontaktov. Okrem nich žiadna iná elektronická komunikácia neexistovala.
„Smerom ku GAMO sme už mali pripravenú požiadavku na prechod z Exchange servera do cloudu na Office 365. Po týchto udalostiach bolo nutné, aby nám spoločnosť GAMO urýchlila realizáciu – inštaláciu prvej sady e-mailov v M365,“ približuje vtedajší posun IT manažér. Do týždňa dostali prvú sadu mailov a začali postupne komunikovať prostredníctvom nich. „To bol signál aj pre našich zákazníkov, že začíname žiť. Postupne sme rozbiehali aj ďalšie servery v cloude.“
Neprišli tak ani o jedného zákazníka či dodávateľa. „A to predovšetkým správne nastavenou otvorenou komunikáciu dovnútra aj von. Nebyť ochoty zo strany dodávateľov, ústretovosti zo strany zákazníkov a rýchlemu spojeniu sa so špecialistami, mohlo to dopadnúť úplne inak,“ dodáva člen vedenia výrobného podniku.
Zamestnanec = základ dobrej spoločnosti
Čo sa týka zamestnancov, ani tam nedošlo k podceneniu komunikácie v krízovej situácii. Spoločnosť ich v tom čase mala približne 350 a pracovali v nej celé rodiny. Problém reálne nevznikol, ale mohol. Výpadok dochádzkového aj mzdového systému či internetbankingu, na ktorý sa každý manažér spolieha pri spracúvaní a vyplácaní miezd, môže poriadne skomplikovať život.
Nevyplatenie peňazí mohlo navyše reálne ohroziť existenciu rodín v regióne. „Tu sa preukázala lojalita a súdržnosť našich zamestnancov. Boli ochotní pracovať nadčasy, za čo som nesmierne vďačný. Naša spoločnosť vždy dbala na prorodinný prístup, a to nám v tejto zložitej situácii veľmi pomohlo,“ vyzdvihuje svoj tím ľudí člen vedenia spoločnosti.
Oceňuje aj prácu mzdovej pracovníčky, ktorá vo firme pracuje 20 rokov. Tá napriek tomu, že mala podklady ku mzdám v informačnom systéme, vo zvyku „starej školy“ všetko pre kontrolu aj tlačila.
„Ďalším šťastím bolo, že naša spoločnosť nemá vysokú fluktuáciu. Kolegyňa z tímu si pamätala, ako sa mzdy vyplácali pred informačnými systémami – pomocou mincovky,“ objasňuje ďalší krok riešenia člen vedenia spoločnosti. No spraviť mincovku pre viac ako tristo ľudí, rozpočítať, koľko bankoviek a mincí na výplaty treba, a následne nahlásiť banke výber v hotovosti, vôbec nebolo jednoduché. „Potom bolo nutné aj celú sumu rozdeliť, ‚nasáčkovať‘ presne to, čo konkrétnemu zamestnancovi patrí, a nezanedbateľný problém bol aj s bezpečnosťou. Naše zamestnankyne na tom robili vo dne v noci a nešlo o malé sumy. Aj toto sú veci, na ktoré musí človek myslieť, keď zhasne celý systém.“
Samozrejmosťou boli denné a pravidelné stretnutia riaditeľa podniku s vedúcimi výroby pre informovanosť všetkých svojich ľudí.
Komunikácia s útočníkom
Na začiatku spoločnosť rázne odmietla zaplatiť výkupné. Uvedomovali si však dôležitosť niektorých serverov, preto sa s kyberútočníkom pokúsili vyjednávať.
„Niektoré dáta sa nám podarilo zachrániť, skúsili sme vyjednávať len o zaplatení tých, ktoré nám nefungujú. Tiež sme žiadali, aby nám útočník na ukážku poslal dôkaz, že ich vie aj dešifrovať. Odpovede od neho boli veľmi strohé. Náš systém mal dokonale zmapovaný a ak sme ho požiadali, aby nám na ukážku dešifroval nejaký server, dodal najmenej dôležitý, testovací, ktorý sa po chvíli zašifroval späť,“ spomína IT manažér.
V závere útočníkovi nezaplatili nič. „Našli sme človeka, ktorému sa podarilo obísť šifrovanie záloh aj u ostatných serverov, ktoré sme potrebovali.“
Vyhli sa tak aj problému so zákonom. Kyberútočníci spravidla požadujú výkupné vo forme kryptomeny, s čím je spojený problém zapísania transakcie do účtovníctva legálnou cestou. Vtedy vzniká riziko pokuty z daňového úradu, keďže nie je možné preukázať, na čo boli peniaze použité. Žiadny útočník totiž na tieto služby faktúru nevystaví.
„Kyberútočník je obyčajný kriminálnik a dáta sú mu ukradnuté. To, o čo mu ide, sú peniaze napadnutej spoločnosti. Spoliehať sa na to, že firma získa dáta späť, je naivné,“ hovorí k tomu špecialista na kybernetickú bezpečnosť Ľubomír Kopáček.
Prioritou útočníka zvyčajne je, aby dáta zašifroval, a nikoho nezaujíma, či ich dokáže aj dešifrovať. Dešifrovanie časti dát „na ukážku“ je absolútne nedôveryhodné a nevypovedá o ničom. „Ďalším argumentom prečo neplatiť je fakt, že ak zaplatíte a neurobíte zároveň perfektné ‚vyčistenie‘ napadnutých systémov, môžete s istotou počítať, že rovnaký incident sa čoskoro zopakuje,“ uzatvára špecialista.
„Súhlasíme, že treba dbať na dôkladnú kontrolu a vyčistenie systémov. Prísne sme dodržiavali postup obnovy „prelomených“ záloh serverov, s veľkou opatrnosťou sme vykopírované databázy systémov najskôr skontrolovali a až potom ich opäť použili,“ dopĺňa tému IT manažér výrobného podniku.
Aj keď nezaplatíš, stojí útok tisíce
Aj keď predmetná napadnutá spoločnosť kriminálnikovi nezaplatila nič, náklady kybernetického útoku odhaduje na približne pol milióna EUR. Iba technické náklady so službami ju stáli 142-tisíc EUR. Zvyšok tvorili predovšetkým mzdy a práca ľudí, ktorí museli pracovať nadčasy. Taktiež museli prijať okolo 30 nových pracovníkov, aby dobehli časové sklzy pri výrobe.
V sume navyše nie je započítaný stres, logistika a len zdanlivo čiastkové „maličkosti“. V kovidovom období napríklad nebolo jednoduché zohnať technológie. Na jar 2021 prebiehalo niekoľko útokov súčasne a systém, že v jeden deň odíde objednávka a na ďalší deň kuriér prinesie techniku, neplatil. „V prvom momente sme sa snažili kúpiť NASko. Keď bolo konečne na sklade, poslali sme do Bratislavy – bez cenových ponúk, iba na základe telefonátov – auto, aby sme získali jedno z posledných. Bolo to v piatok, a v sobotu už ďalšie zariadenia neboli k dispozícii,“ opisuje stresujúce obdobie člen vedenia.
Po 4 mesiacoch spia už lepšie, no nie sú v cieli
Hoci sa firme podarilo veľa vecí úspešne rozbehnúť, nie je ešte nainštalované a fungujúce všetko, nie je nasadená ani kompletná infraštruktúra. Podarilo sa však zachrániť tri pilotné informačné systémy pre výrobu.
Všetky ďalšie stupne, ktoré si firma zaumienila technicky zlepšiť, sú v procese realizácie. „Bude to trvať ešte dlho. Potrebné je nahradiť pôvodné firewally novými a bezpečnejšími, zvýšiť povedomie pre užívateľov o odolnosti a správnom používaní zariadení, a podobne. Je to nekonečný príbeh. Technológie sa zlepšujú a útočníci sú stále pred nami,“ uzatvára IT manažér.
Nahlásiť alebo nenahlásiť útok polícii?
Napadnutá spoločnosť sa s GAMO radila aj o tom, či útok nahlásiť. Tu je odpoveď jasná. Je viac ako nerozumné počúvať útočníka, ktorý vydiera aj tým, že subjekt nesmie kontaktovať políciu či tretiu stranu.
Kyberexpert GAMO Ľubomír Kopáček prízvukuje: „Určite je rozumné incident nahlásiť. Ak je obeť útoku regulovaná zákonom o kybernetickej bezpečnosti a incident je vyhodnotený ako závažný, je to dokonca jej zákonná povinnosť.“ Taktiež odporúča podať trestné oznámenie. „Nie, že by polícia dokázala niečo bližšie zistiť a nebodaj vyšetriť, ale je užitočné mať o celej záležitosti úradný záznam.“ Je to dôležité pre prípadné ďalšie problémy napríklad s daňovým úradom, sociálnou poisťovňou, zdravotnou poisťovňou či inými. „Mlčať pri incidente je nielen nerozumné, ale vo väčšine civilizovaných krajín aj protizákonné a môže to spoločnosť stáť ďalšie peniaze.“
V Európskej únii platia rôzne vyhlášky a zákony, hovoriace o postupe v prípade bezpečnostného incidentu. Pri zanedbaní povinností v súvislosti s bezpečnostným incidentom (nenahlásenie alebo neriešenie) môže napríklad zákon o kybernetickej bezpečnosti na úseku správnych deliktov uložiť pokutu od 300 EUR do 300-tisíc.
Cloud = správne riešenie a budúcnosť
Napadnutá firma sa v odmietnutí požiadaviek útočníka aj vo všetkých bodoch krízového manažmentu zachovala správne. Nielenže sa už v rannom štádiu riešení obrátila na špecialistov a počúvala ich rady, ale tiež si zachovala dobré meno v komunikácii s dodávateľmi aj zamestnancami.
Jej príbeh je však ukážkovým príkladom, že aj keď pravidelne zálohujete svoje dáta na serveroch, nemáte istotu, že sú naozaj v bezpečí. Aby bola aj vaša spoločnosť chránená, potrebujete odborné riešenia, šité na špecifické potreby každého jedného subjektu. Prechodom do bezpečného cloudu máte istotu, že bude o ňu postarané na najvyššej úrovni. Manažmentu firmy tak odpadá jedna z najdôležitejších úloh moderného podnikania a môže sa 100-percentne sústrediť na svoj core business.