Первые сообщения, что в работе одной из крупнейших российских страховых компаний ВСК что-то пошло не так, пользователи начали оставлять в официальной группе страховщика во «ВКонтакте» еще ранним утром 12 ноября.
«Не работает ни горячая линия, ни местные номера, ни сайт, ни приложение — ничего!» — возмущались клиенты в комментариях в 07:55.
Компания сначала объясняла сбой «небольшими техническими сложностями», но через сутки признала масштабную кибератаку на свои IT-системы.
«Инцидент затронул только работоспособность нашей IT-инфраструктуры. Данные наших клиентов и партнеров в безопасности. Мы приносим искренние извинения нашим клиентам, агентам и партнерам за трудности, с которыми они могут столкнуться. Все ресурсы компании нацелены на решение этой проблемы», — говорится в сообщении ВСК, где подчеркивается, что все взятые на себя обязательства компания выполняет в полном объеме.
С последним тезисом согласятся далеко не все клиенты. Многие не могут застраховать автомобиль или внести изменения в страховой полис, получить гарантийное письмо… Кто-то даже присылает фотографии прав и все данные автомобилей прямо в комментарии под постом с требованиями оформить все как надо. «Ждала целый месяц записи [к врачу], и в итоге ваши сотрудники сказали клинике не принимать и перезаписывать после 17.11, а это, на секунду, запись еще через месяц», — негодует одна из пострадавших.
Автоответчик на горячей линии по вопросам организации медицинских услуг рекомендует подождать с плановым приемом, пока все заработает, а если обращение экстренное — советует обратиться по телефону 112 или 103, т. е… в скорую помощь. У кого-то получилось обойти систему, и они договорились с клиникой напрямую, но многие остались без приема. В чат-боте в «Телеграме» на сообщение о сроках возобновления работы на момент публикации не ответили.
Более того, 17.11 ситуация усугубилась: компания заявила, что домен vsк.ru тоже был подвержен хакерской атаке и на данный момент он ведет на мошеннический телеграм-канал. Пока всю коммуникацию с клиентами ВСК замкнула в личных сообщениях во «ВКонтакте», чат-боте в «Телеграме» и по телефонам горячей линии, оснащенным автоответчиками. Недоступен даже почтовый ящик. Компания предлагает направлять запросы бумажным письмом.
«Это один из тех примеров, когда компания сразу признала кибератаку и действительно подтвердила, что занимается устранением последствий и восстановлением работы. Судя по тому, насколько долго все происходит, у них атака завершилась именно потерей данных и шифрованием. Обычно атаки, приводящие к таким длительным последствиям, напрямую связаны с вирусами-шифровальщиками, которые специально распространяются для получения выкупа от компании. Но, судя по тому, что ВСК моментально заявила о случившемся и, соответственно, начала восстановление, очевидно, что они не намерены платить выкуп и пытаются справиться самостоятельно, восстанавливая данные. Это достаточно стандартная ситуация, хоть и очень страшная и неприятная для компании», — размышляет Антон Бочкарев, эксперт по информационной безопасности, сооснователь компании «Третья сторона».
Как сообщил известный ИБ-экспенрт Алексей Лукацкий, обрушение систем ВСК грозит ее клиентам тем, что они не смогут быстро воспользоваться услугами.
«Если, например, клиент за границей и ему нужна экстренная госпитализация, он может ее вовремя не получить, потому что процесс сильно усложнился и замедлился», — сказал Лукацкий.
Как быстро всё вернут — зависит от наличия копий и того, тестировали ли их восстановление в ВСК, говорит Лукацкий. Насколько там были готовы — неизвестно.
«По опыту других компаний, которые взламывали за последние три года, если они не уделяли должного внимания процессам восстановления, оно может занимать от нескольких дней до недель, — сказал эксперт. — Восстановление второстепенных функций может занимать несколько месяцев и даже больше».
«Кибератак не стало меньше, меньше стало успешных атак, но последствия успешных атак стали выше. Атаки тщательно готовятся, и тут в ход идут всевозможные средства и современные решения, включая технологии ИИ, который используется для кибератак более эффективно, чем для защиты. Кроме того, не так много аудитов IT-инфраструктур после кибератаки. Даже под видом незначительного киберинцидента может скрываться вредоносное ПО», — подчеркивает и Олег Седов, директор по развитию компании RusPoint. Он также отметил, что, если кибератаки предотвратить невозможно, нужно готовиться к ним так, чтобы выйти из них с минимальными потерями в максимально короткое время, т. е. сфокусироваться на задачах киберустойчивости предприятий.
С заботой о вашей безопасности, команда Origin Security
