Wszystkie systemy i usługi oparte na technologii działają ponownie w Seattle Public Library w tym tygodniu, około trzy miesiące po ataku ransomware, który częściowo sparaliżował instytucję i jej 27 oddziałów w całym mieście. Eksperci ds. cyberbezpieczeństwa chwalą niektóre kroki podjęte w celu ochrony przed przyszłymi atakami.
Naruszenie bezpieczeństwa cybernetycznego, do którego doszło w weekend związany ze świętem Memorial Day, wpłynęło na dostęp do komputerów pracowników i komputerów publicznych, internetowego katalogu i systemów wypożyczania książek, e-booków i e-audiobooków, sieci Wi-Fi w budynku, witryny internetowej biblioteki i innych.
W trakcie odzyskiwania SPL podawała stopniowe aktualizacje dotyczące tego, jakie usługi zostały przywrócone i jakie prace pozostały do wykonania. Eksperci ds. cyberbezpieczeństwa wcześniej również rozważali, dlaczego biblioteka stała się celem i co takie organizacje mogłyby zrobić, aby wzmocnić obronę.
Biblioteka stwierdziła w oświadczenie Wtorek, że pracuje nad przeprowadzeniem oceny swojej odpowiedzi na atak i wyda publiczny raport w tym roku. Ale SPL ujawniło GeekWire niektóre kroki, które podjęło, aby zapobiec przyszłym atakom.
„Prace nad wzmocnieniem naszych systemów rozpoczęły się przed atakiem, ale pozostałe elementy planu pracy IT zostały przyspieszone po ataku” — powiedziała Laura Gentry, szefowa komunikacji biblioteki. „Od weekendu Memorial Day biblioteka przyspieszyła migrację do SharePoint On-lineoraz wdrożenie uwierzytelniania wieloskładnikowego w systemach pracowniczych — co odbyło się w ciągu trzech dni, a nie, jak planowaliśmy, trwającego kilka tygodni procesu”.
Gentry powiedział, że SPL rozszerzył również wykorzystanie narzędzi Microsoft opartych na chmurze, które niedawno wdrożył do zarządzania plikami i potrzeb komunikacyjnych. Personel IT wykorzystał również możliwości infrastruktury opartej na chmurze i wycofał niektóre starsze usługi lokalne, aby „odbudować je lepiej” po ataku.
Według Gentry’ego biblioteka przeprowadziła również ponowną instalację obrazów około 1000 komputerów (obsługujących zarówno pracowników, jak i publiczność), wymusiła aktualizację haseł w całym systemie i zaostrzyła wymagania dotyczące haseł.
Jim Alkovedyrektor generalny działającego w Seattle startupu z branży cyberbezpieczeństwa Oleria, pochwalił bibliotekę za wdrożenie uwierzytelniania wieloskładnikowego i migrację do usług w chmurze, nazywając oba te działania niezbędnymi do przywrócenia działalności i wzmocnienia systemów bibliotecznych na przyszłość.
Choć uwierzytelnianie wieloskładnikowe znacznie zwiększa bezpieczeństwo, Alkove stwierdził, że jest ono najskuteczniejsze, gdy jest wdrażane kompleksowo i wykorzystuje silne, odporne na phishing metody, takie jak FIDO2 klucze i klucze dostępu.
„Innym krytycznym aspektem zapobiegania atakom ransomware jest łatanie” — powiedział Alkove. „Przechodząc na środowiska SaaS i chmurowe, SPL skutecznie przerzuciło odpowiedzialność za zarządzanie poprawkami krytycznych zasobów serwera na dostawców, którzy zazwyczaj mają lepsze zasoby, aby utrzymać zgodność z poprawkami”. Dodał, że zmniejszyło to powierzchnię ataku starszych systemów lokalnych, które mogą być częstym celem atakujących.
Sunil Gottumukkalawspółzałożyciel i CEO startupu cyberbezpieczeństwa Averlon z siedzibą w Seattle, również pochwalił przejście pracowników na MFA. Było to coś, na co miał nadzieję biblioteka wdroży, gdy rozmawiał z GeekWire krótko po ataku w maju.
„Jeśli chodzi o przejście na usługi w chmurze od Microsoftu, aby „odbudować lepiej” … chociaż jest to ogólnie dobre, może nie być istotne w kontekście obrony przed przyszłymi atakami ransomware” – powiedział Gottumukkala w czwartek w wiadomości e-mail. „Powinni wprowadzić plan „odzyskania i odbudowy”, który jest okresowo testowany, o czym nie wspomnieli”.
Dodał, że brak przygotowania może wyjaśniać, dlaczego biblioteka tak długo czekała na odzyskanie danych po ataku, ale ostrzegł, że nie są jeszcze znane wszystkie szczegóły dotyczące tego, jak SPL spędziło czas w procesie odzyskiwania danych.
Alkove zgodził się, że protokoły bezpieczeństwa biblioteki muszą być regularnie testowane, monitorowane i utrzymywane. Częścią tego jest rozwiązywanie uporczywych problemów związanych z „nadmiernym zaopatrzeniem” — co oznacza zapewnianie użytkownikom tylko dostępu i uprawnień, których potrzebują, i niczego więcej. Alkove powiedział, że większość organizacji zmaga się ze znacznym nadmierną aprowizacją dostępu użytkowników — co tworzy „dużą powierzchnię ataku dla złego aktora” — i Raporty Microsoftu że 95% dostępu pozostaje niewykorzystane.
Alkove powiedział, że harmonogram odzyskiwania danych może się znacznie różnić w zależności od organizacji, ale prawdziwa odporność to coś więcej niż tylko przywrócenie działania systemów.
„Incydent SPL, podobnie jak niedawny incydent Crowdstrike, podkreśla potrzebę skupienia się każdej organizacji na cyberodporności” — powiedział Alkove. „Dlatego planowanie ciągłości działania jest tak kluczowe. Organizacje muszą stale aktualizować i testować swoje plany odzyskiwania, aby mieć pewność, że będą mogły zareagować szybko i skutecznie następnym razem, gdy dojdzie do ataku”.