Ранним утром в пятницу мир пережил новейшую в этом году кибератаку.
Всё началось в Великобритании и Испании, откуда вредоносное ПО WannaCrypt стало быстро распространяться по всему миру, блокируя пользователям доступ к их данным, пока они не заплатят выкуп с помощью криптовалюты Bitcoin.
Вредоносный код WannaCrypt, использовавшийся для атаки, относится к вирусам, украденным у Агентства национальной безопасности (АНБ) США, информация об этой краже была опубликована ранее в этом году. А еще за месяц до этого, 14 марта, корпорация Microsoft выпустила обновление безопасности, чтобы исправить эту уязвимость и защитить наших пользователей. И хотя оно было установлено на самых современных системах и компьютерах Windows с включенными обновлениями, множество компьютеров по всему миру по-прежнему оставались незащищенными. В итоге оказались зараженными системы в больницах, на предприятиях, в правительственных организациях, а также домашние компьютеры многих пользователей.
В результате появился самый яркий в истории пример программы-вымогателя, которая является одним из типов кибератак. К сожалению, пользователи и руководители предприятий уже знакомы с такими терминами, как «эксплойт нулевого дня» и «фишинг», относящимися к широкому спектру инструментов, используемых для атаки на частные устройства и инфраструктуру. Мы серьезно относимся к каждой кибератаке на системы Windows, и с пятницы мы работаем круглосуточно, чтобы помочь всем пользователям, пострадавшим от этого инцидента. Помимо прочего, мы предпринимаем дополнительные действия для помощи пользователям с устаревшими системами, у которых истек цикл технической поддержки. Разумеется, приоритетом номер один является реагирование на такую атаку и помощь пострадавшим.
В то же время, уже очевидно, что следует сделать важные выводы из ситуации с WannaCrypt, чтобы избежать таких атак в будущем. На мой взгляд, существует три сферы, в которых это событие открывает новые возможности для развития Microsoft и отрасли.
Microsoft как технологическая компания в первую очередь должна решать такие вопросы. Мы все чаще одними из первых в Интернете реагируем на них. В нашей компании работает более 3500 инженеров по безопасности, и мы принимаем комплексные меры для нахождения решения по борьбе с угрозами кибербезопасности. Это, в частности, реализация нового функционала безопасности на всей нашей программной платформе, в том числе постоянное совершенствование службы Advanced Threat Protection для обнаружения и противодействия новым кибератакам. В данном случае среди принятых мер были разработка и выпуск патча в марте, оперативное обновление Windows Defender в пятницу для обнаружения атаки WannaCrypt и работа службы поддержки для оказания помощи пользователям, пострадавшим от атаки.
Но как показала эта атака, нет повода для ликования. Мы проанализируем эту атаку, поймем, какие уроки можно из нее извлечь, и используем все это для совершенствования наших возможностей. Через Microsoft Threat Intelligence Center (MSTIC) и Digital Crimes Unit мы также поделимся тем, что узнали, с правоохранительными органами, правительствами и другими пользователями по всему миру.
Во-вторых, эта атака показала, что кибербезопасность – зона общей ответственности технологических компаний и пользователей. Доказательством этого служит то, какое огромное количество компьютеров осталось уязвимым спустя два месяца после выпуска патча. Поскольку киберпреступники становятся более изощренными, у пользователей просто нет другой возможности защититься от угроз, как обновлять свои системы. Иначе получается, что они пытаются бороться с проблемами сегодняшнего дня, используя устаревшие инструменты. Атака также доходчиво напоминает нам, что базовые принципы информационных технологий, такие как своевременная установка обновлений и патчей, крайне важны для всех, и каждый топ-менеджер должен это поддерживать.
В то же время, у нас есть ясное понимание сложности и разнообразия современной ИТ-инфраструктуры, мы осознаем, что на практике своевременная установка обновлений может вызывать трудности у многих пользователей. Сегодня мы используем надежное тестирование и аналитику для создания решений по быстрому обновлению ИТ-инфраструктуры, и наша цель – обеспечить незамедлительную установку обновлений безопасности во всех элементах ИТ-инфраструктуры.
Наконец, эта атака показывает, почему накопление правительствами данных об угрозах безопасности является проблемой. Это новая модель 2017 года. Мы видели, что ранее на WikiLeaks была опубликована информация об уязвимостях, хранившихся ЦРУ, а сегодня пользователи по всему миру пострадали от вредоносного ПО, украденного из АНБ. Вредоносные коды, хранимые госструктурами, неоднократно «утекали» в публичный доступ и причиняли существенный вред. Это равносильно тому, как если бы из вооруженных сил США украли несколько ракет «Томагавк». И последняя атака выявила абсолютно непреднамеренную, но от этого не менее удручающую связь между двумя самыми опасными формами современных мировых киберугроз – атак на уровне государств и атак организованной преступности.
Мировые правительства должны рассматривать эту атаку как тревожный сигнал. Им нужно по-новому подходить к киберзащите и придерживаться в сфере кибербезопасности тех же норм, которые применяются в отношении вооружения в реальной жизни. Необходимо, чтобы правительства осознали, какой ущерб гражданам наносит хранение уязвимостей и использование относящихся к ним вредоносных кодов. Этот довод мы уже приводили в тексте о «Необходимости Женевской конвенции в области цифровых технологий» для решения таких проблем, включая новое требование для правительств сообщать об уязвимостях поставщикам, а не хранить их, продавать или использовать. И поэтому мы взяли на себя обязательство защищать каждого пользователя в мире от кибератак, вне зависимости от страны их происхождения. В эти выходные в Лондоне, Нью-Йорке, Москве, Дели, Сан-Паулу и Пекине мы претворяем этот принцип в жизнь в работе с нашими пользователями на всей планете.
Недавняя атака выявила еще более неотложную необходимость срочно предпринять коллективные действия. Необходимо, чтобы технологический сектор, пользователи и правительства работали вместе для защиты от кибератак. Действовать нужно незамедлительно. В этом смысле атака WannaCrypt стала сигналом тревоги для всех нас. Мы осознаем, как важно откликнуться на этот призыв, и Microsoft обязуется выполнить свою часть.
Автор Брэд Смит, президент и главный юрисконсульт Microsoft