Každú minútu sa vo všetkých kútoch sveta potvrdzuje, že najzraniteľnejším bezpečnostným článkom v IT sfére je človek. Bezpečnostné riziká v online priestore sa dajú iba minimalizovať, nie odstrániť. S vyspelou technológiou pracujeme takmer všetci, preto stačí sekundová nepozornosť či kliknutie na podozrivý odkaz a problém je na svete. Svoje o tom vie výrobná spoločnosť Remeslo strojal, s.r.o., ktorú stál jeden takýto klik 130-tisíc Eur.

A to hovoríme o príbehu so šťastnejším finále. Všetky dáta sa podarilo vďaka duchaprítomnosti manažérov podniku a rýchlemu zásahu odborníkov tretích strán zachrániť pre ďalšie fungovanie.
Ale vráťme sa do marca 2022 a udalostiam krok za krokom.

Ransomvér v akcii

Spoločnosť Remeslo strojal, s.r.o., je súčasťou holdingu Remeslo a svoje strojárske produkty exportuje do 17 krajín sveta. Útok zaznamenala skoro ráno.

„Kolega mi oznámil, že nevie otvoriť súbor na sieťovom disku. Mal príponu .xlsx.kqgs,“ začína rozprávanie IT technik Richard Ševčík. To .kqgs nesedelo, tak ho odstránil. Súbor však nemal správny obsah a rovnaká prípona bola v každom adresári na sieťovom disku. „Už som začal tušiť, že niečo nie je v poriadku. Z ekonomického oddelenia prišlo hlásenie – Nemôžeme otvoriť databázu účtovníctva, a problémy začali nahlasovať ďalšie oddelenia. Neboli to ľahké chvíle. Sme zašifrovaní,“ oznámil zjavný fakt vedeniu holdingu a začal konať.

Okamžite zhodil všetky servery a switche vo firme, aby prerušil sieťovú komunikáciu cez internet so svetom. Oslovil firmu, čo sa starala o firewall, internet, e-maily. Tá na riešenie akútneho problému odporučila bratislavských špecialistov, ktorí mali s podobnými situáciami skúsenosť. Bolo jasné, že ide o ransomvérový útok: v adresári bol pripojený súbor s pokynmi na odšifrovanie. Otázka, či zaplatiť útočníkovi bola zreteľne na stole.

„V týchto prípadoch máte vždy len dve možnosti. Zaplatiť útočníkovi výkupné a čakať, či skutočne pošle sľúbený odšifrovací kľúč, alebo sa spoľahnúť na obnovu dáta zo záloh. Zaplatili sme,“ priznáva Richard Ševčík. S tým, že suma, našťastie, nebola likvidačná, a útočník skutočne zaslal funkčný dešifrátor, ktorým dešifrovali potrebné údaje.

Riešenia po odšifrovaní

Spoločnosť následne zakúpila 5 počítačov, aby na nich IT pracovníci nanovo vystavali „čistú“ lokálnu sieť. Nahrali dáta zo záloh, čo neboli napadnuté. Údaje z obnovených odšifrovaných dát, vrátane ekonomických, prechádzali antivírovými programami: „Šlo naozaj o vysoko náročnú, pedantnú prácu.“

Šťastím bolo aj to, že útočník sa nedostal ďalej ako do sieťových adresárov, že zálohy boli v dobrom stave, aj že výrobný program Remeslo strojal, s.r.o, fungoval.

Zároveň na všetky napadnuté počítače, zapli switche a skúmali aktivitu na sieti. Pre kolegov zriadili provizórne pracovisko, zasadačku s piatimi kusmi počítačov, na ktorých sa zatiaľ striedali účtovníci a vyrobári. Po zistení, že výrobný server nebol napadnutý, pripojili 3 počítače už aj na výrobný server.

„Vytvorili sme krízový tím, denne sa na pravidelných poradách stretávalo vedenie s výrobou a ekonómami, ktorí rozhodoval o ďalších krokoch: ako zabezpečiť komunikáciu cez e-maily, ako si plniť záväzky a dodať ekonomické údaje štátu, ako rýchlo požiadať o odklady DPH a podobne. Bolo toho dosť,“ potvrdzuje Richard Ševčík a je vďačný za absolútne nasadenie všetkých kolegov.

Smerom k budúcnosti

Richard Ševčík tiež priznáva, že o útočníkovi, našťastie, viac nepočuli. „Prípad sme, samozrejme, nahlásili polícii a tá začala trestné stíhanie voči neznámemu páchateľovi. Zo skúseností iných napadnutých spoločností či jednotlivcov však neočakávame, že by sa nám „výpalné“ vrátilo. Ideme ďalej a obozretnejšie.“ 

Po prvom náročnom týždni oslovila napadnutá spoločnosť zo Žiaru nad Hronom odborníkov z banskobystrickej firmy GAMO, a. s., ktorá riešila podobný prípad aj neďaleko, v Kremnici. Išlo o komplexné navrhnutie systému obnovy spoločnosti zasiahnutej ransomvér útokom aj s dodaním riešenia.

Spoločnosť Remeslo strojal, s.r.o. potrebovala zabezpečiť LAN infraštruktúru s bezpečným pripojením do a z internetu, serverovú infraštruktúru a jednotné desktopové prostredie na prácu. Za prítomnosti ich vedenia a prizvaných hostí následne GAMO so svojím tímom vypracovali postupný plán obnovy. Alternatívu nasadenia riešenia či prejdú do cloudu, alebo vybudujú servery vo firme, nechali na rozhodnutí napadnutej spoločnosti.

„Absolvoval som množstvo telefonátov a mailovej komunikácie s dodávateľmi účtovných a mzdových programov, s dodávateľom výrobného programu a GAMO špecialistami, aby sme pre nás vybrali to najvhodnejšie a najbezpečnejšie riešenie,“ vysvetľuje rozhodnutie IT technik.  „Výsledkom bolo zostať s dátami na on-premise infraštruktúre, teda na našich serveroch.“

Riešenia tretích strán

Spoločnosť Remeslo strojal, s.r.o., spätne hodnotí stav zabezpečenia pred útokom a dnes takto: „Mali sme nainštalovaný antivírový program na jednotlivých počítačoch, mali sme zabezpečený firewall aj zálohovanie. Sieť sme mali však len na Workgroupe, bez doménového servera, čo je na dnešnú dobu určite málo.“

Riešenie od GAMO a. s. bolo navrhnuté s tým, že spĺňalo najvyššie štandardy bezpečnosti pri práci s dátami a zaisťovalo ich ochranu. Richard Ševčík: „Návrhy boli korektné a na vysokej technickej a profesionálnej úrovni. Rozhodli sme sa pre spoluprácu, pre bezpečné a finančne únosné riešenia.“

Rozmeňme si to rekapituláciou na drobné.

Aké boli dôvody pre obnovu infraštruktúry?

• Výmena a konsolidácia zastaraných hardvérových zariadení;
• Prechod na virtualizačnú platformu, ktorá zjednoduší prevádzku a umožní ďalej rozvíjať systémy v budúcnosti;
• Zariadenia s aktívnou podporou výrobcov – garantovaná záruka, t. j. v prípade poruchy zariadenia jeho výmena za nové zariadenie bude realizovaná v krátkom čase;
• Zvýšenie celkovej bezpečnosti pri práci s dátami spoločnosti.

Úlohou špecialistov bolo vytvoriť hardvérové zázemie, ktoré umožní Remeslu dlhodobé a stabilné používanie informačného systému. Riešenie, ktoré môže firma v čase ďalej rozvíjať, bude jednoduché na správu, a zvýši odolnosť systémov.

Finále v praxi

GAMO postupne dodalo nové servery, počítače a notebooky, a začali sa na ne nahrávať čisté a skontrolované dáta. Medzitým boli na USB kľúče sťahované dáta zo starých počítačov a zasielané na kontrolu antivírusom do Banskej Bystrice, sídla GAMO, a. s. Napadnutá spoločnosť zakúpila novú doménu remeslostrojal.sk a na ňu sa vkladali dáta, aj s priamym vkladaním do aplikácií v cloudovom prostredí. Na Microsoft 365 sa ukladali zložky jednotlivých pracovníkov zo skontrolovaných USB kľúčov a postupne sa pripájalo do siete všetkých novo zakúpených 62 počítačov. Zároveň sa pracovalo na rozdelení siete na jednotlivé segmenty a na nastavení nových pravidiel. Prebehli školenia pracovníkov a zaviedli sa striktné obmedzenia, politiky, ako aj pravidlá vhodného správania sa užívateľov na internete.

„Zakúpili sme zariadenie, kde sa nahrali zálohy zo starých serverov. Išlo o veľké množstvo dát, ktoré sa niekoľko dní kontrolovali, a až potom sa uložili na zariadenie. Skoro 6 mesiacov sa čakalo na nové switche, z dôvodu nedostatku špecializovaných čipov na trhu. Asi až po 7 mesiacoch sme sa dostali do normálu a spustenia všetkých programov, doterajšie výdavky sa vyšplhali na 130-tisíc Eur,“ rekapituluje polročnú cestu IT technik.

Cestu, ktorú spustil jeden nešťastný klik na zašifrovaný súbor.

Dobré správy na záver

Situácia, spôsobená kyber útokom, prinútila Remeslo strojal, s.r.o., zabudnúť na postupnú digitálnu transformáciu a urobiť veľký skok. Z úrovne spred 10-tich rokov naplno vkročili do prostredia modernej digitálnej kancelárie a na všetkých úrovniach začali pracovať so systémami a aplikáciami Microsoft 365. Tie umožňujú dokonalú kolaboráciu, jednoduchú komunikáciu a, hlavne, poskytujú prvotriednu ochranu identít a zariadení. Vďaka technológii EDR dnes majú v tomto úspešnom výrobnom podniku podrobný prehľad o hrozbách v systéme, detegujú nezvyčajné správanie a narušenia zabezpečenia.

Rozfázovanie krokov firmy Remeslo od útoku

1. Vytvorenie krízového tímu pre kontakt vedenia s výrobou a ekonómami.
2. Riešenie obnovy dát cez odborníkov, ktorí majú skúsenosť s útočníkmi a obnovou dát a vytvorenie dočasného pracoviska práca v provizórnych podmienkach na cca 5 počítačov, následne potom 10 počítačov.
3. Oslovenie firmy na dodanie nového železa alebo reinštalácia napadnutých PC a vybudovanie novej sieťovej infraštruktúry na základe bezpečnosti.
4. Postupné nasadenie nových PC pre výrobu, ekonomiku, obchod.
5. Vytvorenie nových pravidiel na sieti.
6. Nahratie tlačiarní, čistých dát zo starých počítačov na nové, nasadenie programov, potrebných pre prácu jednotlivým užívateľom.