Во всеобщей неразберихе и сумятице, которую буквально за считанные часы создал в мире шифровальщик WannaCry, финансовым организациям пришлось разгребать последствия там, где они, возможно, меньше всего ожидали.
Во всех соцсетях и новостях появились изображения банкоматов, POS-терминалов и различных информационных табло, поражённых пресловутым зловредом. Не то чтобы это сильно ударило по конфиденциальности данных, хранящихся в банковских системах, но вот репутация финансовых организаций понесла серьёзный урон. А сами они лишились какой-то доли прибыли из-за неработающего оборудования, да ещё и потратили кучу денег на устранение проблемы — перезагрузку устройств, переустановку системы и т. п.
По логике вещей этой проблемы вообще не должно было бы быть. Создатели шифровальщиков не интересуются встраиваемыми системами, на которых работают всевозможные терминалы и банкоматы, ведь вряд ли кто-то будет платить выкуп за восстановление подобной системы, в ней, как правило, не содержится никаких ценных данных, а всё решение проблемы сводится к форматированию жёсткого диска и переустановке. Однако шифровальщик WannaCry не отличался особой избирательностью и проникал во все системы, в которых имелась незакрытая уязвимость в Windows. А благодаря особенностям этой уязвимости он быстро и беспрепятственно распространялся по локальным сетям и, таким образом, оказался там, куда не стремился,— в банкоматах и терминалах.
Нельзя сказать, что атаки WannaCry открыли общественности и компаниям глаза на проблемы безопасности встраиваемых систем (Embedded Systems). Дела всегда обстояли так, что защитой подобного рода устройств занимались далеко не в первую очередь. Кроме того, до недавнего времени не существовало и специальных решений, позволяющих обеспечить должный уровень безопасности банкоматов, терминалов самообслуживания, информационных табло, вендинговых аппаратов и прочих устройств, работающих на тех самых embedded systems. Тем не менее WannaCry это ещё один веский повод разобраться, в чём проблема с кибербезопасностью встраиваемых систем и как эту проблему можно решить.
Хотя, если уж совсем начистоту, проблем тут две. Первая, как уже было сказано выше,— недостаток внимания, уделяемого защите встраиваемых систем. Вторая проблема заключается в том, что зачастую устройства типа банкоматов и терминалов самообслуживания работают на устаревших операционных системах. В России, например, они до сих пор в большинстве своём работают на Windows XP, которая уже несколько лет как не поддерживается официальным производителем. А в случае с WannaCry, как мы знаем, именно уязвимость в Windows сыграла ключевую роль в распространении шифровальщика.
Мы, конечно же, рекомендуем всем и всегда использовать самые свежие версии программного обеспечения и своевременно устанавливать все официальные обновления. Однако мы, разумеется, не призываем в срочном порядке проводить апгрейд всех встраиваемых систем и тратить на это уйму средств и ресурсов. И всё же решать вопрос с безопасностью embedded systems нужно. И чем быстрее, тем лучше.
И тут, как говорится, не было бы счастья, да несчастье помогло. После WannaCry о защите встраиваемых систем задумались даже те, кто никогда не придавал этому особого значения. И это очень положительная тенденция. Главное — выбрать подходящее защитное решение.
Дело в том, что встраиваемые системы потому и идут особняком, что их организация, поддержка и защита в значительной мере отличаются от обслуживания классических корпоративных сетей. Следовательно, традиционные защитные решения для них не подходят: они просто не учитывают особенности встраиваемых систем. К счастью, сегодня спасти банкоматы, терминалы и иже с ними от разного рода киберугроз можно с помощью специализированных решений для embedded systems. В отличие от традиционных защитных средств, они менее требовательны к ресурсам системы (а это крайне важно при условии, что система простая и зачастую устаревшая), но при этом содержат антивирусные модули и комплексно закрывают специфичные векторы атак на подобные устройства.
Вкратце принцип работы защитных решений для встраиваемых систем сводится к следующему:
- запрещено всё, что не разрешено (Default Deny),— никакая неизвестная и не допущенная к работе на этом устройстве программа или исполняемый файл просто не смогут запуститься;
-
контроль целостности файлов и процессов в памяти — никто извне не сможет вмешаться в запрограммированное функционирование устройства;
-
предотвращение попыток эксплуатации уязвимостей — система блокирует методы использования «брешей», которые зловреды выбирают для распространения внутри сети;
-
централизованное управление файерволами для закрытия всех неиспользуемых портов, чтобы через них не могли проникнуть зловреды.
-
Другими словами, защитное решение для встраиваемых систем гарантирует, что банкомат, терминал или информационное табло будут доступны только для тех операций, для которых они предназначены, и процессы в них не будут нарушены. И в некоторых случаях это гарантирует не только безопасность этих устройств, но и всей корпоративной сети банка, ведь всё это единый IT-организм.
