Исходные данные
Клиент обратился к нам с экстренной проблемой: атаке хакеров подвергся их физический сервер, вся информация с него — базы «1С:Торговля» и «1С:Бухгалтерия» и документы пользователей — была украдена. Вместо них появилась запись о том, что все перенесено в облако и для получения данных требуется выкуп. Работа в центральном офисе компании и во всех филиалах была парализована. Клиент обратился к нам за экстренной помощью.
Хочется сказать пару слов о причинах подобных ситуаций: очень часто мы сталкиваемся с отсутствием какой-либо системы или регламента при настройке удаленного доступа, невыполнении или откровенном незнании текущих рекомендаций разработчика ПО. В данном случае при удаленном подключении к серверу не применялись средства сетевой защиты, была открыта возможность подбора пароля администратора на сервер, чем и воспользовался злоумышленник для взлома сервера 1C.
Реализация
Для заказчика был критичен даже не день простоя, а часы — развозка товара по клиентам происходит целый день. Все заказы и транспортные листы хранились в 1С. Бизнес был полностью парализован. Учитывая высокую критичность, мы пошли навстречу клиенту и начали работы без предоплаты.
Быстро сориентировавшись в ситуации, проектная группа из инженеров «СТЕК» приступила к работе сразу же в день обращения — один из ИТ-инженеров (вместе с комплектом резервного оборудования, которое постоянно хранится у нас на складе) сразу же выехал на площадку к клиенту.
Тем временем руководитель рабочей группы и администратор сетевой безопасности удаленно изучили ИТ-инфраструктуру компании и помимо основной проблемы обнаружили отсутствие системы бэкапов, а также неудовлетворительное состояние «железа» сервера. Далее была спроектирована новая схема серверного ядра сети.
Сложности проекта
Гипотеза о том, что восстановить данные будет возможно, используя специализированное ПО, не подтвердилась. Сервер 1C был действительно абсолютно «пуст», все данные злоумышленник перенес в облако — надо сказать, что это новый тренд у сетевых вымогателей.
Клиент сознательно не хотел идти на контакт с хакером и становиться соучастником шантажа. Мы поддержали его выбор, ведь шанс поторговаться, сбить цену, заплатить и в итоге ПОЛУЧИТЬ ОБРАТНО свои данные уменьшается с каждым днем. Сегодня, по нашему опыту, ситуация может разрешиться удачно для пострадавших лишь в 30% случаев.
В связи с этим проектной группой была выбрана другая стратегия восстановления данных. По счастливой случайности у главного бухгалтера компании сохранились копии баз данных 1С месячной давности. Т.к. время восстановления было критичным — мы сначала собрали временную платформу на своих ресурсах и запустили оперативную работу компании заказчика.
Затем проектная группа инженеров за пару дней развернула серверную ИТ-инфраструктуру клиента, модернизировав серверную платформу, заменив сетевое оборудование на более профессиональное.
Финишно мы разработали и согласовали с клиентом регламент резервного копирования. Настроили мониторинг критичных ИТ-сервисов.
Результаты
- 1Запуск оперативных бизнес-процессов клиента в день обращения;
- 2Модернизация ИТ-инфраструктуры позволила увеличить быстродействие системы и надежно защитить бизнес-информацию;
- 3Клиент смог спокойно вздохнуть, остался доволен результатами сотрудничества.
Надо сказать, что клиент не сделал выводы на будущее — терапия все же лучше хирургии. Обсуждение абонентского сопровождения ключевого для жизнедеятельности компании ИТ-сервиса — сервера терминалов и сервера приложений 1С «потонуло» где-то на этапах согласования разного уровня начальников. Видимо мы опять скоро встретимся…
Рекомендации и выводы
Чек-лист для ТОПов и финансовой службы любого предприятия:
- Организуйте защищенные каналы связи филиалов с сервером через VPN-соединение при помощи профессионального сетевого оборудования, например, MikroTik, Juniper, Ubiquiti и тд;
- Ограничивайте доступ к удаленным рабочим столам с помощью межсетевого экрана: разрешайте вход только с конкретных IP-адресов/подсетей;
- Для защиты сервера используйте нетипичные названия учетных записей;
- Усложните подбор пароля администрирования сервера 1С с помощью блокировки учетной записи после введения определенного количества неверных комбинаций логин-пароль;
- Храните данные в защищенном частном облаке, производите бэкап не меньше 1 раза в день, а лучше имейте разработанный именно для ваших условий бизнеса регламент резервного копирования.
