Во всех соцсетях и новостях появились изображения банкоматов, POS-терминалов и различных информационных табло, поражённых пресловутым зловредом. Не то чтобы это сильно ударило по конфиденциальности данных, хранящихся в банковских системах, но вот репутация финансовых организаций понесла серьёзный урон. А сами они лишились какой-то доли прибыли из-за неработающего оборудования, да ещё и потратили кучу денег на устранение проблемы — перезагрузку устройств, переустановку системы и т. п.

Шифровальщик WannaCry не отличался особой избирательностью и проникал во все системы, в которых имелась незакрытая уязвимость в Windows

По логике вещей этой проблемы вообще не должно было бы быть. Создатели шифровальщиков не интересуются встраиваемыми системами, на которых работают всевозможные терминалы и банкоматы, ведь вряд ли кто-то будет платить выкуп за восстановление подобной системы, в ней, как правило, не содержится никаких ценных данных, а всё решение проблемы сводится к форматированию жёсткого диска и переустановке. Однако шифровальщик WannaCry не отличался особой избирательностью и проникал во все системы, в которых имелась незакрытая уязвимость в Windows. А благодаря особенностям этой уязвимости он быстро и беспрепятственно распространялся по локальным сетям и, таким образом, оказался там, куда не стремился,— в банкоматах и терминалах.

Нельзя сказать, что атаки WannaCry открыли общественности и компаниям глаза на проблемы безопасности встраиваемых систем (Embedded Systems). Дела всегда обстояли так, что защитой подобного рода устройств занимались далеко не в первую очередь. Кроме того, до недавнего времени не существовало и специальных решений, позволяющих обеспечить должный уровень безопасности банкоматов, терминалов самообслуживания, информационных табло, вендинговых аппаратов и прочих устройств, работающих на тех самых embedded systems. Тем не менее WannaCry это ещё один веский повод разобраться, в чём проблема с кибербезопасностью встраиваемых систем и как эту проблему можно решить.

Хотя, если уж совсем начистоту, проблем тут две. Первая, как уже было сказано выше,— недостаток внимания, уделяемого защите встраиваемых систем. Вторая проблема заключается в том, что зачастую устройства типа банкоматов и терминалов самообслуживания работают на устаревших операционных системах. В России, например, они до сих пор в большинстве своём работают на Windows XP, которая уже несколько лет как не поддерживается официальным производителем. А в случае с WannaCry, как мы знаем, именно уязвимость в Windows сыграла ключевую роль в распространении шифровальщика.

Мы, конечно же, рекомендуем всем и всегда использовать самые свежие версии программного обеспечения и своевременно устанавливать все официальные обновления. Однако мы, разумеется, не призываем в срочном порядке проводить апгрейд всех встраиваемых систем и тратить на это уйму средств и ресурсов. И всё же решать вопрос с безопасностью embedded systems нужно. И чем быстрее, тем лучше.

Встраиваемые системы потому и идут особняком, что их организация, поддержка и защита отличаются от обслуживания классических корпоративных сетей

И тут, как говорится, не было бы счастья, да несчастье помогло. После WannaCry о защите встраиваемых систем задумались даже те, кто никогда не придавал этому особого значения. И это очень положительная тенденция. Главное — выбрать подходящее защитное решение.

Дело в том, что встраиваемые системы потому и идут особняком, что их организация, поддержка и защита в значительной мере отличаются от обслуживания классических корпоративных сетей. Следовательно, традиционные защитные решения для них не подходят: они просто не учитывают особенности встраиваемых систем. К счастью, сегодня спасти банкоматы, терминалы и иже с ними от разного рода киберугроз можно с помощью специализированных решений для embedded systems. В отличие от традиционных защитных средств, они менее требовательны к ресурсам системы (а это крайне важно при условии, что система простая и зачастую устаревшая), но при этом содержат антивирусные модули и комплексно закрывают специфичные векторы атак на подобные устройства.

Вкратце принцип работы защитных решений для встраиваемых систем сводится к следующему:

  • запрещено всё, что не разрешено (Default Deny),— никакая неизвестная и не допущенная к работе на этом устройстве программа или исполняемый файл просто не смогут запуститься;
  • контроль целостности файлов и процессов в памяти — никто извне не сможет вмешаться в запрограммированное функционирование устройства;
  • предотвращение попыток эксплуатации уязвимостей — система блокирует методы использования «брешей», которые зловреды выбирают для распространения внутри сети;
  • централизованное управление файерволами для закрытия всех неиспользуемых портов, чтобы через них не могли проникнуть зловреды.

Другими словами, защитное решение для встраиваемых систем гарантирует, что банкомат, терминал или информационное табло будут доступны только для тех операций, для которых они предназначены, и процессы в них не будут нарушены. И в некоторых случаях это гарантирует не только безопасность этих устройств, но и всей корпоративной сети банка, ведь всё это единый IT-организм.