США: История о том, как атака вируса-вымогателя была ликвидирована слишком быстро

Данная заметка Скотта Грина (Scott Greene) была опубликована в июне 2017 года на сайте компании Evidence Solutions, Inc. (ESI).

Мой комментарий: Это поучительная история о том, как недостаточное внимание к управлению документами и правовым вопросам способно подпортить итоги блестящей работы, проделанной ИТ-специалистами и специалистами по информационной безопасности.

В июне 2017 года семейный центр здоровья «Салина» (Salina Family Healthcare Center – на фото) в Канзасе, США, подвергся атаке вируса-вымогателя. К счастью, у Салины была внедрена отлаженная система создания и хранения резервных копий их информационной системы. Поскольку компания добросовестно выполняла процедуры резервного копирования, ей удалось быстро восстановить работоспособность своих компьютеров и серверов, а также возобновить уход за пациентами и повседневную деловую деятельность. Однако в ходе восстановления стало очевидным слабое звено этого процесса. Специалисты по электронной судебной экспертизе не смогли изучить пострадавшую систему с тем, чтобы определить масштабы утечки и установить, имела ли место кража данных, поскольку система была перезаписана с резервных лент.

Процедуры «Салины» предусматривают проведение резервного копирования данных каждую ночь, серверы резервируются один раз в неделю, а полная резервная копия системы создается раз в месяц. Кроме того, все резервные копии шифруются и хранятся в удаленном месте. Электронные доказательства происшедшего оказались недоступными, поскольку все серверы были очищены от данных и восстановлены с резервных лент. «Если бы остался хотя бы один неочищенный сервер, он помог бы получить больше доказательств в ходе судебной экспертизы», - говорит один из специалистов. «У нас были очищены и перестроены 33 терминала конечных пользователей, и нам следовало бы сохранить один или два жестких диска для следователей». Сотрудники «Салины» не нашли времени для того, чтобы сохранить какие-нибудь жесткие диски для экспертизы.

Поскольку электронная судебная экспертиза осталась незаконченной, компания не смогла определить, какие данные пациентов не были скомпрометированы. В качестве меры предосторожности, письма-уведомления об утечке были разосланы 70 тысячам пациентов. В письмах содержалось предложение одного года бесплатного кредитного мониторинга и услуги по защите личности от компании AllClear ID.

Данные пациентов, к которым могли получить доступ хакеры, включали имена пациентов, их адреса, номера социального страхования, даты рождения, информацию о медицинском страховании и о лечении. «На сегодняшний день у нас нет сведений о случаях злоупотребления чьей-либо информацией в результате этого инцидента», - говорится в письме организации пациентам.

Найти время на то, чтобы сохранить электронные доказательства, крайне важно для определения того, чтобы установить, как произошёл инцидент и какие данные могли быть были похищены киберпреступниками.

Скотт Грин (Scott Greene)

Источник: сайт компании Evidence Solutions, Inc. (ESI)
https://www.evidencesolutions.com/web/index.php/Digital-Evidence-Expert-Witness-Images/digital-forensics-expert-ransomware-crisis-averted-too-fast.html