Max Home IndustryБританская библиотека раньше была моим неофициальным офисом. Однажды я даже заявил, что для писателей Британская библиотека — лучший аспект жизни в Лондоне.
Но сейчас национальная библиотека Великобритании напоминает возвращение к временам, когда еще не было Интернета. Книги необходимо заказывать лично, используя бумажные квитанции. Большая часть его цифрового контента недоступна.
Проблема связана с атакой программы-вымогателя в октябре 2023 года, которая парализовала ИТ-системы.
Российская хакерская группа Rhysida взяла на себя ответственность и потребовала выкуп в размере 20 биткойнов (что на тот момент эквивалентно 600 000 фунтов стерлингов). После того как Британская библиотека отказалась платить и после онлайн-аукциона украденных данных хакеры слили в даркнет почти 600 ГБ частной информации.
Лишь в январе 2024 года онлайн-каталог снова стал доступен для использования, и даже это была неполная версия.
Организация подготовила пользователей к длительному процессу восстановления, отметив, что только анализ утекших данных может занять несколько месяцев. Библиотека не назвала сроки дальнейшего восстановления, но сторонние наблюдатели полагают, что это может занять год.
Британская библиотека отказалась комментировать эту статью.
Хорошей новостью является то, что для восстановления после кибератаки требуется необычайно много времени. По данным сайта Statista, с 2020 по середину 2022 года среднее время простоя после атаки программы-вымогателя в США составило 24 дня.
Опрос правительства Великобритании, проведенный в 2022–2023 годах, показал, что 88 % предприятий и 84 % благотворительных организаций смогли восстановить свою деятельность в течение 24 часов после наиболее разрушительного кибернарушения или атаки.
Однако длительное восстановление не является чем-то необычным. От выявления затронутой ИТ-системы до расшифровки серверов, удаления нефункциональных приложений, блокировки соединений, отключения учетных записей и восстановления незараженных резервных копий — каждый шаг может создавать узкие места.
В некоторой степени долгосрочное восстановление зависит от объема восстановления или создания новой системы, которую организация проводит после кибератаки.
Для Шотландского агентства по охране окружающей среды (SEPA), которое пострадало от атаки программы-вымогателя еще в декабре 2020 года, этот процесс продолжается и сегодня. «SEPA приняла решение лучше отстраиваться от новых, а не восстанавливать устаревшие системы», — сообщил представитель агентства.
Существует множество переменных, определяющих продолжительность восстановления после кибератаки. К ним относятся тип и количество затронутых систем, качество и количество резервных копий, опыт ИТ-персонала, а также сложность как атаки, так и первоначального реагирования.
Например, с развитием облачных вычислений компании все чаще используют гипервизоры, которые по сути создают цифровые версии (виртуальные машины) физических компьютерных систем.
Злоумышленники-вымогатели могут зашифровать гипервизор, блокируя несколько систем и программ за один раз. Эту тенденцию наблюдает Mandiant, фирма по кибербезопасности, которая сейчас является дочерней компанией Google Cloud.
В ситуации, когда на гипервизоре выполняется множество программно-критичных для бизнеса операций, «воздействие более существенно и в некоторых случаях может фактически повлиять на базовую инфраструктуру, которую организация будет использовать, чтобы иметь возможность быстрее восстановить работу». «, — говорит Кимберли Муди, руководитель отдела анализа киберпреступлений в Mandiant.
Размер организации также может иметь значение. «Более крупной организации может потребоваться больше времени для восстановления, потому что, если посмотреть на персонал, уровень систерентности может быть намного выше, чем в небольшой организации», — говорит Гуди.
В аномальных случаях, когда восстановление затягивается на месяцы или даже годы, одной из возможных причин является то, что «резервные копии организации могли быть зашифрованы, и они не смогли их восстановить», — комментирует Гуди. Например, получение ключа дешифрования может оказаться мучительно медленным.
Обеспечение частого создания и проверки резервных копий — это один из способов повысить устойчивость организаций к кибератакам.
Еще технологии бизнеса
Другой вариант — не полагаться на какой-то один тип профилактики. По словам Гуди, одна из причин, по которой антивирусы терпят неудачу, заключается в том, что «сегодня существует целый подпольный рынок», где преступники могут дешево протестировать образцы вредоносного ПО на различных антивирусных программах. Если они увидят, что их вредоносное ПО не обнаруживается конкретным антивирусным продуктом, они могут атаковать организацию с такой слабой защитой.
Усиление защиты будет включать в себя инвестиции в персонал и инструменты кибербезопасности. Гуди также дает несколько советов организациям, которые перегружены разнообразием продуктов кибербезопасности на рынке. «Единственный способ узнать, насколько они эффективны для вас и насколько они будут актуальны для вас и вашей команды, — это проверить это в вашей собственной среде», — подчеркивает она.
Даже хорошо подготовленные организации могут стать жертвами кибератак. В этих случаях страхование киберрисков может помочь покрыть финансовые потери. Гуди называет это «действительно ценным компонентом более широкого плана управления рисками организации, учитывая меняющийся характер кибератак».
Финансовые потери из-за срыва операций могут затмить первоначальные требования о выкупе. «Большая часть затрат может быть связана с прерыванием бизнеса, а не с вымогательством», — говорит Саймон Уэст, руководитель отдела киберконсультаций в Resilience.
Так обстоит дело с Британской библиотекой, цифровое восстановление которой обойдется в миллионы фунтов, что потребует от организации использования своих резервов.
Подготовка необходима, учитывая неизбежность будущих кибератак. Кьяран Мартин, бывший глава Национального центра кибербезопасности Великобритании, предсказал, что кибератака, столь же серьезная, как та, которая ослабила Британскую библиотеку, вероятна в течение каждого из следующих пяти лет.
Уэст говорит: «Несмотря на то, что наши исследования показывают, что суммы выкупа уменьшаются, это по-прежнему очень выгодно для преступников. Теперь это проще, чем когда-либо прежде» — киберзлоумышленники могут передавать фишинговые атаки и другие услуги третьим лицам. партиями, а ИИ открывает им новые возможности.
«Хотя у них дела идут хорошо, я не думаю, что они остановятся».