LESY Slovenskej republiky sú štátny podnik, ktorého hlavnou úlohou je spravovanie lesného a iného majetku vo vlastníctve Slovenskej republiky. Víziou podniku je trvalo udržateľný rozvoj štátnych lesov, ktorý zabezpečí proporcionálne uspokojovanie potrieb spoločnosti a optimálne zhodnotí lesný majetok štátu. Zhodnotenie sa realizuje ťažbou a speňažením dreva, investičnou činnosťou, čerpaním fondov EÚ na rozvojové projekty a ďalšími aktivitami.
Východisková situácia
Jednou z najväčších hrozieb fungovania podnikov sa stávajú kybernetické útoky, ktoré dokážu cielene odcudziť alebo poškodiť údaje kritické pre ich fungovanie, znefunkčniť systémy a siete, ich zálohy, prípadne získať kontrolu nad základnými podnikovými aplikáciami alebo prístup k nim. Priamym dôsledkom kybernetického útoku býva vyradenie prevádzky celého podniku, pri rozsiahlejších útokoch aj na niekoľko dní až týždňov. Takejto výzve čelili v roku 2022 aj LESY Slovenskej republiky.
Na konci letných prázdnin 2022 spustila skupina útočníkov po niekoľkodňovej príprave plošné šifrovanie dát. Ransomvérový útok sa rozšíril po celej podnikovej sieti, od infraštruktúry dátového centra na generálnom riaditeľstve až po servery a počítače v lesných závodoch a na lesných správach. Došlo k infiltrácii doménových účtov, Active Directory a šifrovaniu podnikových aj používateľských dát a niektorých záloh.
Útok mal za následok vypnutie celej podnikovej IT infraštruktúry a jej postupné a bezpečné obnovovanie. Piaty deň od útoku bol poslaný prvý email, siedmy boli spustené prvé podnikové aplikácie, dvanásty nabehla väčšina centrálnych systémov a do mesiaca a pol od útoku došlo ku kompletnej reinštalácii celého prostredia vrátane pracovných staníc a notebookov. Prvé dva týždne bežali obchod a prevádzka podniku úplne v papierovej forme.
Technická výzva roka
Prvým krokom po zaregistrovaní útoku okolo 6:30 ráno bolo vypnutie dátového centra, odstavenie vonkajšej sieťovej komunikácie, neskôr aj kompletná izolácia celej siete. Behom niekoľkých hodín sa zapojilo do riešenia problému sedem špecialistov zo spoločnosti AUTOCONT, z ktorých viacerí vyrazili fyzicky do centrály Lesov SR v Banskej Bystrici. Vznikol krízový manažment, ktorý koordinoval spoločné tímy a postup prác na obnove.
Prvých niekoľko hodín sa snažili postupnou analýzou všetkých komponentov infraštruktúry určiť, ako prebiehal útok, kedy sa začali dáta šifrovať, čo tomu predchádzalo a celkový rozsah škôd a použiteľnosť dát v zálohách a replikách. Hľadal sa pevný bod, na čo sa dá v ICT infraštruktúre Lesov SR po útoku spoľahnúť. Tu sa ukázalo, že výrazne by usporil čas garantovaný a neprepisovateľný centrálny logovací systém odolný aj proti zásahom samotných administrátorov.
Počas analýzy rozsahu a dosahu incidentu sa zistilo, že sieťové prvky sa nepodarilo útočníkom infiltrovať, ostali k dispozícii použiteľné a overené zálohy systémov a dát a identifikoval sa pravdepodobný čas prvých rozsiahlych aktivít útočníka. Na základe detailných analýz sa stanovil „bezpečný“ stav, teda čas, do ktorého obnovia dáta a systémy. Postupne bolo podľa priorít obnovených zhruba 40 TB dát.
V rámci obnovy jednotlivých prostredí boli podľa dohodnutých postupov skontrolované všetky obnovené systémy na známe zraniteľnosti špecializovanými penetračnými testami, každý systém bol skontrolovaný z pohľadu kompromitácie útočníkom a najmä boli aplikované všetky odporúčané konfiguračné zmeny vedúce k zvýšeniu zabezpečenia daného prostredia (hardening). Išlo napríklad o hardening Active Directory, rekonfigurácia firewallov, hardening OS, tiering doménových správcovských účtov, zmena hesiel lokálnych administrátorov na koncových zariadeniach (LAPS), nasadenie nového antivírusového a dohľadového riešenia, zmena všetkých hesiel v doméne (používateľských, systémových aj administrátorských) a ďalšie kroky na zvýšenie bezpečnosti prostredia.
Paralelne s tým prebiehalo vyšetrovanie, komunikácia s príslušnými organizáciami zodpovednými za formálne zastrešenie, vyšetrovanie a riešenie incidentu – NBÚ, CSIRT, Úrad na ochranu osobných údajov a samozrejme Polícia SR.
Prvým veľkým míľnikom obnovy bolo spustenie elektronickej pošty na piaty deň, i keď si ju zatiaľ väčšina zamestnancov mohla čítať len na telefóne. Druhým bol nábeh podnikových aplikácií a spracovanie mesačnej uzávierky. No a tretím reinštalácia poslednej pracovnej stanice. Kompletný nábeh centrálnych komponentov po útoku trval 12 dní, nábeh všetkého do plnej prevádzky 7 týždňov. „Bezpečnostný incident v takom rozsahu, ako sa udial v štátnom podniku LESY Slovenskej republiky, naplno odhaľuje, aká krehká je bezpečnosť v prostredí IT a aké dôležité je neustále vzdelávanie všetkých zamestnancov, ktorí so systémami pracujú. Hoci fyzická obnova prevádzky informačných systémov sa ráta v dňoch a následná kontrola všetkých pracovných staníc v týždňoch, kľúčové rozhodnutia a plán obnovy prevádzky boli v reakčnom tíme odkonzultované a dohodnuté behom niekoľkých hodín, pričom správnosť rozhodnutí sa v celom procese obnovy potvrdila a nebolo potrebné zásadne ich meniť,“ povedal Andrej Melicher, vedúci správy systémov Lesy SR.
Zdroj: Obnova prevádzky podniku po kybernetickom útoku. AUTOCONT. [online]. Citované 8. 6. 2023.
-pev-
