Информационное сообщение ФСТЭК России от 02.07.2017 N240/22/3171 "О мерах по защите информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций".
В мае - июне 2017 года отмечены масштабные компьютерные инциденты, связанные с проникновением в информационные и автоматизированные системы, в том числе системы органов государственной власти и организаций Российской Федерации, вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
Анализ компьютерных инцидентов, а также вредоносного программного обеспечения WannaCry, Petya, Misha показал, что проникновение указанных вирусов в информационные (автоматизированные) системы и их распространение осуществляется за счет эксплуатации уязвимости операционной системы Windows и пакета программ Microsoft Office (BDU:2017-01034), а также уязвимостей протокола SMB v.1 (BDU:2017-01095, BDU:2017-01096, BDU:2017-01097, BDU:2017-01098, BDU:2017-01099, BDU:2017-01100), позволяющих нарушителю выполнить произвольный код.
После успешного проникновения в информационную систему для распространения некоторых модификаций вредоносного программного обеспечения (Petya/ExPetr) используются методы перехвата учетных данных привилегированных пользователей. Таким образом, наличие указанных уязвимостей даже на одном компьютере локальной вычислительной сети компьютера ставит под угрозу все компьютеры данной системы.
При проникновении в информационную (автоматизированную) систему вредоносное программное обеспечение осуществляет шифрование файлов пользователей и (или) главных загрузочных записей загрузочных секторов машинных носителей информации, что приводит к нарушению целостности и доступности информации, а также к нарушению штатного режима функционирования информационных (автоматизированных) систем.
Отмечаем, что безопасность информации в государственных информационных системах, в информационных системах персональных данных, а также в автоматизированных системах управления технологическими и производственными процессами на критически важных объектах должна обеспечиваться в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 N17, Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 N21, а также в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управлениях производственными и технологическими процессами на критически важных объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды, утвержденными приказом ФСТЭК России от 14.03.2014 N31.
Указанными нормативными правовыми актами ФСТЭК России установлена необходимость реализации в информационных (автоматизированных) системах мер защиты, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций. К указанным мерам по защите информации относятся:
- обновление программного обеспечения до актуальных версий;
- выявление и анализ уязвимостей информационной (автоматизированной) системы и оперативное устранение выявленных уязвимостей;
- обнаружение и реагирование на поступление в информационную (автоматизированную) систему незапрашиваемых электронных сообщений (электронных писем, документов);
- периодическое резервное копирование информации на резервные машинные носители информации и обеспечение возможности восстановления информации с резервных машинных носителей информации;
- защита периметра информационной (автоматизированной) системы (исключение доступа к ТСР-портам 139 и 445).
Кроме того, защита от угроз безопасности информации, связанных с проникновением вредоносного программного обеспечения, обеспечивается применением средств антивирусной защиты, в которых реализованы эвристические методы выявления вредоносного программного обеспечения, систем обнаружения (предупреждения) вторжений (атак), в которых настроены соответствующие решающие правила, а также систем управления и корреляции событий с настроенными индикаторами на действия вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
В ходе контроля состояния технической защиты информации в информационных (автоматизированных) системах органов государственной власти и организаций, проводимого ФСТЭК России в пределах своих полномочий, выявляются нарушения указанных выше требований по защите информации, что создает условия для реализации угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
Обращаем внимание специалистов по защите информации, операторов информационных (автоматизированных) систем на необходимость неукоснительного выполнения требований по защите информации в информационных (автоматизированных) системах. Принятие указанных выше мер по защите информации позволит существенно снизить вероятность возникновения угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
Заместитель директора
В.Лютиков