Elolvasva az UNIX-ot ért zsarolóvírus-támadásról szóló beszámolót az juthat az ember eszébe, hogy az okos más kárából, ebben az esetben az önöket ért majdnem végzetes hackertámadás tanulságaiból tanul. Utólag hogyan látja, mi vezethetett el ahhoz, hogy az UNIX informatika rendszere percek alatt elesett, miután a támadók úgy döntöttek, itt az ideje megzsarolni a céget?
A legfontosabb hiba talán azt volt, hogy úgy gondoltuk, ilyen „katasztrófa” csak más vállalatokkal történhet meg. Volt egy lengyel eset, amelyen magamban jól kuncogtam, mert úgy gondoltam, hogy mi mindent megtettünk a baj elkerülésére. A szakmai sztenderdeknek megfelelő informatikai biztonsági rendszereket telepítettünk, alkalmaztuk az ismert protokollokat. Úgy gondoltuk, hogy ennek elégnek kell lennie. Ehhez igazodtak az erre költött forrásaink. Mint kiderült, ez kevés volt. Nem fordítottunk annyit erre a célra, amennyit kellett volna.
Fotó: UNIX
Ez utólag derült ki.
Igen, utólag jöttünk rá, hogy nem vezettük be azokat a szabályokat, amelyek egy a miénkhez hasonló, több százezer alkatrész nyilvántartását kezelő, így létfontosságú informatikai rendszer biztonságos üzemeltetéséhez kellett volna. Egyszerűen nem volt meg az a vállalati kultúra a munkatársainkban, hogy folyamatosan figyeljenek arra, hogyan használják a számítógépeiket. A támadás azzal kezdődött, hogy valaki gyanútlanul rákattintott egy e-mailre, amely megnyitotta az első vírus előtt az utat a rendszerünkbe.
El kell ismernem, hogy nem fordítottam kellő figyelmet a lehetséges veszélye és a vállalat munkatársait sem készítettük fel kellőképpen a baj megelőzésére. Nem költöttünk annyit erre, amennyit kellett volna, nem figyeltünk kellően, nem foglalkoztunk vele annyit, amennyit kellett volna.
Mi volt az első reakciója a hackertámadás után? Azonnal eldöntötte, hogy nem fizet a zsarolóknak?
Abban a pillanatban, amikor rájöttünk, hogy nem üzemzavar miatt állnak le egymás után a szervereink, nem tudtam, hogy mit akarok. Őszintén mondom, semmit nem tudtam. Le voltam fagyva, mint egy hűtőszekrény. Az is megfordult a fejemben, hogy a cégnek is vége, évtizedes növekedés után. Konkrétan azt sem tudtam hirtelen, hogy hová forduljak. Annyi lélekjelenlétem maradt, hogy felhívjam a feleségemet, és elmondjam neki, hogy egy darabig nem fogok hazamenni.
A bűnözők 2,7 millió dollárt követeltek azért, hogy feloldják a leblokkolt rendszert, amit öt nap után 5,4 millióra emeltek volna. Az előbbi nagyjából egymilliárd forint. A honlapon olvasható beszámolója szerint csak az egyhetes leállás miatt kiesett árbevétel 1,3 milliárd forint volt. Nem tartott attól, hogy a versenytársaik elszipkázzák a vevőiket, amíg nincsenek a piacon?
Szerencsénk volt azzal, hogy húsvétra esett a leállás, amit végigdolgoztunk nem éppen nyolcórás munkaidővel. Persze nem tudtuk, hogy végül mennyi időbe telik a helyreállítás. Ami a versenytársakat illeti, attól nem tartottam, hogy átvehetik a helyünket. Hála a méretünknek, a piaci súlyunknak, senki sem rendelkezik olyan raktárkészlettel, amelyből egyik napról a másikra át tudná venni a vásárlóink kiszolgálását.
Mi volt az első olyan jel, ami egy kicsit csökkentette a vérnyomását?
Több olyan rendszermérnök dolgozik nálunk, aki az adatmentésekért felel. Az gyorsan beugrott, hogy ha elvesztjük az adataink feletti ellenőrzést, akkor vagy fizetünk a zsarolónak vagy lehúzhatjuk a rolót. Ezért bementem a szerverszobába, hogy valami információt szerezzek arról, hogyan állunk a biztonsági mentésekkel. Ott találtam az egyik kollégát a földön ülve, ahogy géppuska kézzel veri a billentyűzetet.
Volt annyi lélekjelenléte, hogy amikor meglátta, hogy a rendszerünk pillanatokon belül kómába esik, berohant a szerverszobába és elindította a mentést. Amikor beléptem, felnézett rám és azt mondta megvan az utolsó mentés. Nem vagyok informatikus, de azért konyítok valamit a számítástechnikához. Így ez volt az a pillanat, ami hozott nekem némi megnyugvást. Úgy gondoltam, hogy erre alapozva még megmenthetjük, ami menthető.
Fotó: UNIX
Ez fordulópont volt?
Igen. Ettől kezdve pozitívan tudtam viszonyulni a helyzethez. Először – mint később kiderült, naívan – azt gondoltam, másnapra mindent rendbe teszünk. Visszatöltjük a szoftvereket, és megy tovább a verkli. Hát, ez súlyos tévedés volt. Akkor még nem tudtam, hogy katonai szintű vírussal bombáztak le bennünket, és a helyreállítás az alapoktól kezdve az egész informatikai rendszer újjáépítését jelenti majd.
Leültünk a teraszon a cég informatikai vezetőivel, 6-7 fővel, és elkezdtük átbeszélni, hogy mit tehetünk. Végül a támadás utáni napon reggel jöttünk rá, hogy nem tudjuk egyszerűen visszaállítani a rendszert, mert ahhoz túlságosan mélyen fertőződött. Akkor döntöttem el, hogy az alapjaitól a tetejéig mindent újjáépítünk, kerüljön bármibe. Hála istennek megvolt ehhez a cég pénzügyi ereje. Készek voltunk arra, hogy egy hónapig bezárva dolgozzunk, ha kell. Fontos volt, hogy jó csapat jött össze a cégnél, amely nem riadt meg a feladattól.
Ekkor már kihívásként tekintett a problémára?
Igen, ekkor már igen. Azzal kezdtünk neki a munkának, hogy úgy építjük újjá a vállalat informatikai tükörképét, hogy ilyen eset többé ne fordulhasson elő! Még egyszer érdemes kiemelni: arról persze fogalmam sem volt akkor, hogy ez mennyi ideig fog tartani. Végül egy hétig dolgoztunk szakadatlanul. Természetesen nem csak mi, hanem a külső segítőink is. Az egyik első reakcióm ugyanis az volt, hogy megkértem a kollégákat, hívjanak fel mindenkit, akit csak ismernek. Több száz hívás után jött össze a belsősökből és külsősökből álló 50-60 fős csapat, amely elvégezte a munkát.
Nem akarok a zsebében turkálni, de az informatikai projektek nem olcsók...
Meghaladta a 100-200 millió forintot a bérköltség hét-nyolc nap alatt. Projektvezetőt nem volt idő keresni, így ez rám hárult. Ahogy mondtam, konyítok valamit az informatikához, ami nagyon jól jött. Annyit értek hozzá, hogy felfogjam a lehetőséget és képes legyek választani. Volt hat-nyolc olyan külsős szakértő, akikre hallgattam, akiknek kikértem a véleményét, akikkel folyamatosan konzultáltam. Őket egyébként lényegében véletlenszerűen találtuk meg a vírustámadás utáni telefonálgatások során. A külsősök közül sokat azok ajánlottak, akiket a kollégáim ismertek a szakmából, és rájuk csörögtek.
A bérköltség azonban csak az egyik nagy kiadás volt. Azt tudtuk, hogy sokba fog kerülni a helyreállítás, de az menet közben derült ki, hogy semmit sem használhatunk a régi eszközökből. Vezetékeket is telepítettünk például.
Mi történt eközben a fizikai értékesítéssel? Hogyan reagáltak a vevők?
Nekik sem volt egyszerű a dolguk, mert – ahogy említettem – a nagyobb vásárlók az autóalkatrész-kereskedelemben nem tudnak egyik pillanatról a másikra szállítót váltani. Természetesen kínos volt, hogy megígértünk, hogy visszük az árut, aztán nem tudtuk ezt teljesíteni. Eközben ott állhatott a műhelyükben az alkatrészre váró, szétszerelt autó. Talán ennél is nagyobb gondot jelentett a saját beszállítóink kezelése. Attól, hogy minket vírustámadás ért, a beszállítás nem állt meg. Amit hetekkel, hónapokkal korábban rendeltünk, az megérkezett. Naponta 10-20 kamionnyi áruról van szó.
Korábban nem merült fel, hogy biztosítást kössenek kibertámadások esetére?
Őszintén megmondom, nem is tudtam, hogy ilyen létezik. Ugyanakkor ha már lenne erre pénzünk, akkor azt inkább további biztonsági védőrétegekre költeném. A biztosítás nem óv meg meg attól, hogy leálljon a rendszerünk. Arra sincs időnk, hogy esetleg hónapokig alkudozunk arról – nem beszélve a pereskedésről –, hogy mit fizet a biztosító.
A honlapunkon megjelent posztban az eset tanulságai között leírtam, hogy azóta egy külső biztonsági céggel is együttműködünk, amely folyamatosan monitorozza a rendszerünket. Emellett egy etikus hackerekből álló csapatnak is fizetünk, hogy teszteljék az ellenálló-képességét. A munkatársak odafigyelését is rendszeresen ellenőrizzük. Ezek a baj megelőzését szolgálják. Értelmesebbnek tartom erre költeni, mint biztosításra.
Hogyan alakult a hackertámadás utóélete? Nyilván nagyon sok emberrel találkozik az üzleti világban, kértek-e öntől tanácsot az alapos beszámoló megjelenése után?
A honlapunkon olvasható esetleírásnak híre ment. Előfordult, hogy Horvátországban nyaraltam és egyszer csak jött egy hívás egy cégtől, hogy őket is vírustámadás érte. Ha segítséget kérnek, örömmel adom meg azoknak a számát, akik bennünket támogattak. Úgy tudom, hogy ebben az esetben tudtak segíteni. Őszintén szólva azért tettem közzé a bennünket sújtó hackertámadásról szóló beszámolót, hogy megnehezítsem a hackerek dolgát.
Nem érdekel, hogy üzleti partner vagy versenytárs tanul-e az támadás előtt elkövetett hibákból vagy abból a rendszerből, amit utána bevezettünk. Úgy vélem, sok vállalatvezetőnek hasznos lehet elolvasni. A poszt megjelenése után nem keresett meg az iparkamara vagy egy menedzseriskola, hogy tartsak előadásokat. Olyanok hívtak fel, akik hasonló gödörbe kerültek, mint mi. Nem gondolom, hogy a beszámoló reklámot csinálna a cégünknek. Azt elmondhatom, hogy az UNIX működését lényegesen megváltoztatta az ügy. Olyan a hatása, mint amikor valaki nekimegy a villanypásztornak, és egy életre megtanulja, hogy azt az áramütést, amit ott kapott, nem szeretné újra átélni. Azok a kollégák, akik itt voltak, megtanulták a leckét, illetve aki nem, az már nem dolgozik nálunk.
Az újaktól elvárjuk, hogy felvegyék a ritmust az informatikai protokollok betartásában, de ehhez meg is adjuk a képzést és – ahogy említettem – a figyelmüket napra készen tartó teszteléseket. Például e-maileket küldünk nekik, hogy kiderítsük rákattintanak-e figyelmetlenül vagy sem.
Visszatekintve hogyan csapódott le az életében ez a drámai egy hét?
Azt mondhatom, hogy az én életemben és az UNIX történetében is új időszámítás kezdődött 2021 húsvétja után. Egészen más tudatossággal viszonyulok az informatikai biztonsághoz, ami egy olyan háború a kibertér bűnözőivel, amelyben nincs tűzszünet, nincs megállás a támadó és védekező fegyverek fejlesztésében. Egy meglehetősen költséges rendszert tartunk fenn, ami korábban fel sem merült volna. Rendszeresen monitorozzuk, pingeljük a technológiánk biztonságát. Vallásos vagyok, ezért úgy fogom fel a dolgot, hogy leestem ugyan a szakadékba, de a Jóisten félúton elkapott, és visszasegített a felszínre. Megtapasztalhattam, milyen a szakadékba zuhanni, és tudom, hogy soha többé nem akarom ezt átélni.
Elmondása szerint masszív rendszerrel rendelkeznek, ez megfelel a NIS2-es előírásoknak?
Őszintén szólva hónapokkal ezelőtt halottam csak a NIS2-ről. Egyelőre abban sem vagyunk biztosak, hogy vonatkozik-e ránk. Éppen ezért a szakhatóságtól kértünk állásfoglalást. Ugyanakkor az informatikai részlegünk vezetőjével és a kollégákkal egyeztetve úgy látjuk, hogy a NIS2-es előírásoknak már most is megfelelünk és kedvezőnek tartjuk, hogy lesz egy ilyen rendszer. Talán így még kevesebben kerülnek ijesztő helyzetbe.
Ha nem tudja, hogy az Ön szervezetére, cégére vonatkoznak-e a NIS2 előírásai, illetve bármilyen kérdése van a szabályozásnak való megfelelés, illetve a kiberbiztonság témakörében, regisztráljon NIS2 újratöltve - IT-biztonság a gyakorlatban, hasznos tippek és trükkök című, 2024. június 18-án, 16 órai kezdettel megrendezett eseményünkre, amelyen a hatóság képviselői, valamint a téma legjobb hazai szakértői is ott lesznek.
