Penetračné testy: Prípad firmy Maersk a ransomware útok NotPetya

V júni 2017 sa globálny prepravný gigant A.P. Moller-Maersk stal obeťou jedného z najničivejších kyberútokov v histórii. Ransomware NotPetya ochromil celú IT infraštruktúru firmy za necelých 60 sekúnd. Výsledok? Škody vo výške 300 miliónov dolárov, prestoj v prevádzke a chaos v 130 krajinách. Tento prípad ukazuje, prečo sú penetračné testy nevyhnutnou súčasťou firemnej bezpečnosti.

Ako to celé začalo

Maersk, jedna z najväčších lodných spoločností na svete s 76 000 zamestnancami, ovládala približne 20% svetovej nákladnej kontajnerovej dopravy. Ich IT infraštruktúra spájala stovky prístavov, logistických centier a kancelárií po celom svete.

27. júna 2017 o 14:30 miestneho času sa začal šíriť ransomware NotPetya cez ukrajinský účtovný softvér M.E.Doc. Malvér sa dostal do siete Maersk cez jednu ukrajinskú pobočku a v priebehu minút infikoval 45 000 počítačov v 130 krajinách. Všetky servery, počítače aj terminály v prístavoch prestali fungovať.

Zaujímavé je, že NotPetya sa tvárilo ako ransomware žiadajúce výkupné, ale v skutočnosti išlo o deštruktívny útok navrhnutý tak, aby znemožnil obnovenie dát. Ani po zaplatení výkupného by firma svoje dáta nezískala späť.

Dôsledky útoku na prevádzku

Maersk musel na 10 dní úplne zastaviť príjem nových objednávok. Lode v prístavoch nemohli vykladať ani nakladať kontajnery, pretože automatizované systémy nefungovali. Zamestnanci sa snažili riešiť všetko manuálne pomocou papiera a telefónov.

Firma musela reinstalovať 4 000 serverov, 45 000 počítačov a 2 500 aplikácií. Tento proces trval viac ako 10 dní a vyžadoval 24-hodinovú prácu stoviek IT špecialistov z celého sveta. Celkové náklady na obnovu a stratu obchodov dosiahli 200 až 300 miliónov dolárov.

Jediné, čo firmu zachránilo pred úplnou katastrofou, bola náhoda: jeden doménový radič v pobočke v Nigérii bol práve odpojený kvôli výpadku elektriny. Tento jediný neinfikovaný server umožnil obnoviť celú Active Directory infraštruktúru a zachrániť kritické konfigurácie.

Kde bola bezpečnostná medzera

Vyšetrovanie po útoku odhalilo niekoľko zásadných nedostatkov v digitálnej bezpečnosti Maersk:

• Nedostatočná segmentácia siete - malvér sa mohol voľne šíriť medzi všetkými pobočkami
• Chýbajúce pravidelné penetračné testy, ktoré by odhalili možnosti laterálneho pohybu útočníkov
• Neaktualizované systémy - NotPetya využíval zraniteľnosť EternalBlue, na ktorú už existovala záplata
• Nedostatočné zálohovanie dát - záložné systémy boli v rovnakej sieti a tiež sa infikovali
• Slabá kontrola prístupu tretích strán - útočníci vnikli cez dodávateľský softvér

Ako sa dalo útoku predísť

Pravidelné penetračné testy by odhalili väčšinu týchto zraniteľností skôr, než ich zneužili útočníci. Penetračný test simuluje skutočný kyberútok v kontrolovanom prostredí a identifikuje slabé miesta v obrane.

V prípade Maersk by komplexný IT audit a penetračný test odhalil:

• Nedostatočnú segmentáciu siete a potrebu implementovať mikrosegmentáciu
• Chýbajúce záplaty na kritických systémoch
• Možnosti laterálneho pohybu v sieti pre potenciálneho útočníka
• Slabosti v systéme zálohovania a potrebu offline zálohovania
• Zraniteľnosti v softvéri tretích strán a potrebu lepšej kontroly dodávateľov

Dánska vláda po tejto udalosti prijala prísnejšie požiadavky na kybernetickú bezpečnosť kritickej infraštruktúry. Maersk investoval státisíce dolárov do modernizácie IT bezpečnosti a dnes pravidelne vykonáva penetračné testy.

Poučenie pre slovenské firmy

Možno si myslíte, že váš podnik nie je tak veľký ako Maersk, a preto nie je atraktívnym cieľom. Opak je pravdou. Menšie firmy sú často ľahšími obeťami práve preto, že nemajú dostatočnú ochranu.

Stredne veľká výrobná firma z Trnavy, s ktorou sme spolupracovali, čelila podobnému útoku v roku 2022. Ransomware zašifroval všetky produktové výkresy, obchodné zmluvy a účtovnú dokumentáciu. Našťastie firma mala implementované naše riešenie na pravidelné zálohovanie a dokázali sme všetko obnoviť do 24 hodín bez platenia výkupného.

Kľúčom k prevencii je poznať svoje slabiny skôr než ich nájde útočník. Penetračné testy nie sú len záležitosťou veľkých korporácií. Každá firma, ktorá má zákaznícke dáta, finančné informácie alebo kritické obchodné procesy v digitálnej podobe, by mala pravidelne testovať svoju obranu.

Čo by vás ešte mohlo zaujímať

Ako často by sme mali robiť penetračné testy?

Odporúčame minimálne raz ročne, alebo vždy po väčších zmenách v IT infraštruktúre. Firmy v regulovaných odvetviach ako finančníctvo alebo zdravotníctvo by mali testovať častejšie, ideálne dvakrát ročne. Po každom teste je dôležité opraviť identifikované zraniteľnosti a následne overiť účinnosť opráv.

Koľko stojí penetračný test pre malú firmu?

Cena závisí od rozsahu infraštruktúry a hloubky testovania. Pre malé firmy s 10-30 počítačmi začínajú základné testy na niekoľko stovkách eur. V porovnaní s potenciálnymi škodami z kyberútoku, ktoré môžu dosahovať desaťtisíce až státisíce eur, je to minimálna investícia do prevencie.

Aký je rozdiel medzi penetračným testom a bezpečnostným auditom?

Bezpečnostný audit kontroluje, či dodržiavate stanovené bezpečnostné politiky a štandardy. Penetračný test ide ďalej - aktívne sa pokúša preniknúť do vašich systémov rovnako ako skutočný útočník. Oba prístupy sa dopĺňajú a ideálne je kombinovať ich pre kompletnú ochranu.

Nepoškodí penetračný test naše systémy?

Profesionálne vykonávané penetračné testy sú bezpečné a neohrozujú vašu prevádzku. Pred testom sa dohodneme na rozsahu, časovaní a pravidlách. Testy sa zvyčajne vykonávajú v mimopracovnom čase a testeri používajú kontrolované metódy, ktoré minimalizujú riziko výpadku. Všetky aktivity sú monitorované a dokumentované.

Ochráňte svoju firmu skôr, než bude neskoro. História Maersk ukazuje, že ani veľké spoločnosti s obrovskými IT rozpočtami nie sú imúnne voči kyberútokom. Rozdiel medzi katastrofou a včasnou prevenciou často spočíva v jednom penetračnom teste.