06.02.2013 05:30:26
Эраст Костюк

За прошедшие три месяца было три инцидента, буквально остановивших работу наших клиентов.

Трудно назвать это вирусной атакой. Скорее это беспечность пользователей или целенаправленные действия, хотя не думаю, что стоит драматизировать. Выражается это в том, что в какой то момент времени рабочие файлы пользователя оказываются зашифрованными и недоступными. Шифруется все, что открыто для данного пользователя - документы Word и Excel, прочие файлы - и ВНИМАНИЕ! - базы 1С. После этого приходит письмо с просьбой о выкупе.  Пока цена вопроса называется 10 тыс. рублей.

Понятно, что если 1С работает в файловом режиме, я вынужден дать полный доступ пользователям к файлам 1С. Понятно, что если базы 1С будут зашифрованы и станут недоступны, то работа компании может остановиться. 

За прошедшие три месяца мы имеем три таких случая, один в октябре и два в начале февраля с разбежкой в день. Причем я точно знаю, что система безопасности у этих клиентов настроена согласно всех необходимых канонов. Имеется антивирус настроенный на разумные ограничения, имеется файервол на выходе в интернет, включены все разумные механизмы защиты.

Вопрос - как восстановить работу?  В двух из трех случае просто подняли резервную копию вчерашнего дня и продолжили работать.  В третьем случае резервная копия базы 1С не делалась умышленно, поэтому пришлось вернуться на несколько недель назад.  Есть еще вариант - заплатить выкуп, мы пока не пробовали это делать, результат неизвестен. Так как являемся подписчиками Касперского - направлен соответствующий запрос. Ответ пока не получен.

Обращаясь к клиентам, к руководителям компаний я хочу донести следующую мысль.

1. Нужно провести работу с сотрудниками и предупредить, что не нужно из интернета ничего запускать и ничего устанавливать. Это может плохо закончиться. Я отдаю себе отчет, что это не панацея, это человеческий фактор, но предупредить, что в случае когда будет установлено, что сотрудник посещал не нужные ему для работы сайты и тем более запускал с них какие то программы или плагины, то будут применены административные меры.

Для себя мы должны понимать, что далеко не у всех из наших клиентов имеется инструментарий для обнаружения кто из сотрудников чем занимался в интернете. Если такая необходимость есть, можно отдельно ее реализовать, но это в индивидуальном порядке.

2. Единственное, что спасает - наличие резервной копии. В своей работе я отдельно концентрируюсь именно на системе резервного копирования у наших клиентов. Мы понимаем, что важно не только и не столько  настроить систему, сколько регулярно проверять ее работоспособность. С этой целью мы создали систему автоматического предупреждения в случае, когда резервное копирование не сработало. С этой целью мы выделили отдельного специалиста, который ежедневно мониторит ситуацию и раз в неделю докладывает руководителю компании результат мониторинга. С этой целью мы выборочно раз в месяц восстанавливаем данные по ряду клиентов и убеждаемся, что все в порядке.

Что на другом плече?  Ряд клиентов считают, что им не нужна система резервного копирования.  Ряд клиентов понимают, что нужна, но откладывают решение с резервированием данных до лучших времен. Ряд клиентов - те, кто разово просил настроить систему - возможно думает, что система работает, но в этих ситуациях я не слежу на результатом, так как это была разовая работа по настройке. А еще были ситуации, когда у клиента были разделы данных, достаточно важных, но ни кто не предупредил нас, что эти данные следует резервировать.

В связи с этим - качество работы по резервному копированию данных зависит не только от меня, но и от того, как к этому подходят руководители фирм-клиентов. Я призываю моих коллег еще раз хорошо подумать над ценностью тех данных, которые хранятся в системе и убедиться, что то, что архивируется и то, что нужно архивировать - совпадает.  Мы с Вами подписывали карты архивирования. Для меня это была не простая формальность.  Но я точно знаю, что целый ряд компаний отнеслись к этому без должного внимания.

Отсутствие системы резервного копирования или ее мониторинга может привести к остановке работы компаний.  Я готов в индивидуальном порядке провести работу по проверке соответствия работы системы резервного копирования у наших клиентам ожиданиям руководителей компаний.

3. Так же мы можем ужесточить правила антивирусов.  Сделать это в общем случае невозможно, так как тут же пойдут обращения от сотрудников клиентов, которые будут требовать доступ к ресурсам интернета. Если руководители компаний готовы осознанно ограничить доступ сотрудников к интернету и действительно готовы довести до своих сотрудников свою волю, мы готовы в индивидуальном порядке  провести эту работу.

Таким образом, в ситуации, когда мы нос-к-носу сталкиваемся с угрозами IT системам наших клиентов, я еще раз обращаю внимание руководителей компаний, что эти угрозы невозможно устранить только техническими средствами. Требуется совместная работа и готовность клиентов инвестировать в оборудование, необходимое для обеспечения безопасности.

Эраст Костюк. Руководитель компании.



  
 

Комментировать
Логин:

E-mail:

  Enter text shown in left: