Мы живем во времена, когда интернет стал беспрецедентным источником информации. Но он принес с собой в нашу жизнь и новые опасности. Одна из них – кибер-атаки. Они проводятся с различными неблаговидными целями. Если их и объединяет что-то, так это то, что в современном мире мало кто может чувствовать себя в абсолютной безопасности. Вот и сайт Министерства здравоохранения Российской Федерации недавно подвергся массированной атаке. Как удалось отразить нападение злоумышленников? Об этом беседа с помощником министра Никитой Одинцовым.

- Никита Игоревич, вы курируете несколько интересных направлений в работе министерства. В том числе информационную безопасность ведомства. На днях произошел инцидент, который был широко освещен в СМИ. Некоторые его назвали так: «хакеры напали на минздрав». Мы бы хотели поговорить более подробно об этом. Откуда проводились атаки?

- Та география, которую мы увидели по атакующим адресам - это, в порядке убывания, Япония, далее - США, следом - российские ip-адреса. Далее - Европа и Китай.

В целом, география достаточно необычная, учитывая что традиционно лидируют по числу атак с зараженных серверов страны Юго-восточной Азии.

 - Какие действия были предприняты для борьбы с атакой?
- Подробный состав мер по предотвращению подобных инцидентов приводить, думаю, не имеет смысла, дабы не облегчать действия злоумышленников в дальнейшем. Можно сказать только,  что при возникновении существенной угрозы, сервисы Минздрава как правило, переводятся на резервное подключение к внешним сетям, а атакуемые ресурсы - переключаются в режим отдельной изолированной зоны не только программными средствами, но и физически.

- На какое время пришелся пик запросов на сайт?
 - Пик запросов пришелся на 12 часов дня и составил суммарно на всю сеть около 4х миллионов запросов в минуту. 

В среднем, за 6 часов (это - два часа, судя по всему тестовой атаки и четыре часа основной) - около двух миллионов в минуту.
- Как противостояли атаке на сервер?
- Естественно, по мере появления новых атакующих серверов, они максимально оперативно блокировались. С нашей точки зрения, конечно, было бы легче всего блокировать подсети из которых осуществлялись атаки, то есть секциями, как минимум, по 65 тысяч адресов, но федеральное ведомство не может позволить себе подобных действий, так как под блокировку могут попасть вполне законопослушные адреса и зоны, просто исходя из наличия в них нескольких десятков зараженных машин.

- Будете ли вы обращаться в Роскомнадзор с целью блокировки выявленных IP-адресов?
- Особенного смысла в этом не вижу, учитывая что число выявленных адресов составило свыше 3 миллионов. При этом, как показал предварительный анализ, атака шла через взломанные wordpress-сервера. То есть, бесплатные движки, администраторы которых вовремя не устанавливают заплатки безопасности.

Сводную информацию мы, естественно, передадим в компетентные органы, особенно учитывая тот факт, что во исполнение Указа Президента № 260 «О некоторых вопросах информационной безопасности Российской Федерации», Минздрав России осуществляет подключение к сети Интернет через сети Федеральной службы охраны.

- Сколько, по вашим оценкам, вложили организаторы в это мероприятие?
- Сложно оценить, ведь если организаторы использовали собственную сеть – это одни цифры, когда затраты идут в основном на ее создание. Другой вариант – аренда сети на проведение разового мероприятия. Так что приводить цифры здесь особенно нет смысла, разница может составлять несколько порядков.

- На ваш взгляд, в чем заключался смысл этой атаки?
- Наше предположение, на данный момент, - по результатам первичного анализа – скорее всего это была апробация бот-сети с целью поиска «легких целей», то есть исследование возможностей легкого взлома ряда ресурсов министерства.

До консультаций с коллегами из компетентных органов, излишних подробностей мы разглашать не станем, но анализ нескольких сотен дефейснутых (deface – замена содержимого сайта или сервера вредоносным содержимым, с заменой головной страницы коротким «сообщением» от злоумышленников) серверов с которых проводилась атака – показывает на ее ближневосточное сопровождение. Что, конечно, может быть простым совпадением, так как практически любой уязвимый сервер в сети интернет рано или поздно попадает на «черный рынок» для использования в одной или нескольких бот-сетях.

Полный текст - на сайте "Медицинской газеты":

http://www.mgzt.ru/content/zashchita-dostupa