Кратко — с последствиями, уязвимостями и мерами.
1) Последствия атаки NotPetya ($2017$)
- Для критической инфраструктуры: нарушение работы государственных служб Украины (налоги, таможня, больницы), кратковременные остановки в логистике и на пунктах пропуска; ухудшение способности реагировать на аварии и оказывать базовые сервисы.
- Для коммерческих структур: массовые операционные простои и восстановительные расходы — глобальные оценки ущерба порядка $\sim 10\text{млрд USD}$; крупные потерпевшие: Maersk (сотни млн USD), Merck (около $870\text{млн USD}$ по отчетам), FedEx/TNT (сотни млн USD).
- Характер ущерба: потеря данных/работоспособности, длительные простои, репутационные и контрактные убытки, затраты на восстановление и судебные разбирательства.
2) Ключевые уязвимости и методы, использованные атакой
- Компрометация поставщика/обновлений (supply‑chain): вредоносный апдейт бухгалтерской программы (MeDoc) — вектор первоначального внедрения.
- Неисправленные уязвимости и эксплойты: использование эксплойтов из набора EternalBlue/EternalRomance (MS17‑010), которые были исправлены, но не везде патчены.
- Плохая сегментация сети и широкие административные права: свободное латеральное перемещение с помощью PSExec, WMIC; применение Mimikatz для кражи учетных данных домена.
- Отсутствие защищённых, тестируемых резервных копий (восстановление оказалось затруднённым).
- Недостаточная телеметрия и реагирование: слабый мониторинг, отсутствие EDR/поведенческого детектирования, медленная координация реагирования.
3) Комплекс мер (технические, управленческие, международно‑правовые)
Технические (приоритеты)
- Патч‑менеджмент: внедрить автоматизированный цикл обнаружения и развертывания патчей для критических уязвимостей; приоритет — исправления критического уровня (например, MS17‑010).
- Сегментация и «микро‑сегментация»: изолировать критические подсети, использовать VLAN/NSX/ACL, сегментировать производственные и офисные сети.
- Принцип наименьших привилегий и PAM: убрать постоянные доменные админ‑привилегии; внедрить Vault, привилегированный доступ по Just‑In‑Time и MFA для всех админов.
- Защита концов: EDR/NGAV, поведенческая аналитика, блокировка выполнения неподписанных бинарников и application whitelisting.
- Ограничение распространённых векторов: отключить/запретить SMBv1, жесткие правила для RDP/PSExec/WMI, фильтрация портов и протоколов.
- Резервирование и DR: immutable/offline/air‑gapped бэкапы, регулярное тестирование восстановления; версия данных и проверка целостности.
- Защита цепочки поставок: проверяемые обновления (код‑подпись), SBOM для критичных приложений, ревью и аудит поставщиков, сегрегация поставщиков.
- Логирование и SOC: централизованный SIEM, 24/7 мониторинг, playbooks для быстрых ответных действий, регулярные учения (tabletop, red/blue).
Управленческие (организация и процессы)
- Обязательная классификация критичных сервисов и планов непрерывности бизнеса (BCP/DRP); регулярные тесты и сценарии кризисного реагирования.
- Роли/ответственность: CISO с прямой отчетностью в совет директоров; KPI по рискам и инвестициям в кибер‑устойчивость.
- Учет поставщиков: договорные требования по безопасности, страхование киберрисков, аудит поставщиков, SLA на безопасность и доступность.
- Обучение персонала и процедуры по выявлению фишинга, управление изменениями, контроль доступа к критичным системам.
- Регулярные независимые аудиты, пентесты и проверка соответствия стандартам (ISO 27001, NIST CSF).
Международно‑правовые и кооперационные меры
- Международное сотрудничество CERT/SOC: оперативный обмен IOC, координация расследований, общие playbooks для трансграничных инцидентов.
- Санкции и правоприменение: развитие механизмов быстрой атрибуции и правовых мер против государственно‑поддерживаемых атак и злоумышленников.
- Нормы по обращению с уязвимостями: продвижение процессов эквити‑процессов (VEP), обязательной отчетности при наличии эксплойтов и ответственности за «незаявленные» эксплойти.
- Обязательная отчетность инцидентов и минимальные требования к защите для критической инфраструктуры на национальном уровне.
- Международные соглашения о минимальных правилах операций в киберпространстве (неэскалация, запрет использования эксплойтов в мирных целях, помощь пострадавшим государствам).
4) Приоритетный план внедрения (ориентир)
- Немедленно (в пределах $48\text{–}72$ часов): отключить SMBv1, включить MFA для админов, изолировать критичные сервисы, обеспечить офф‑лайн бэкапы.
- Краткосрочно ($1\text{–}3$ месяца): автоматизация патчей, PAM, развёртывание EDR/SIEM, таблицы инцидентов и тренировки.
- Средне‑/долгосрочно ($3\text{–}12$ месяцев и далее): переработка архитектуры сети (микро‑сегментация), SBOM и политика безопасности для поставщиков, законодательные инициативы и международные соглашения.
Вывод: NotPetya показала, что главное — сочетание технической готовности (патчи, сегментация, бэкапы, EDR), управленческой дисциплины (риски, контракты, учения) и международной кооперации/правовой ответственности. Без одновременно проведённых мер риск повторения остаётся высоким.