27 червня 2017 року Україну сколихнула найбільша за всю її історію кібератака. Можливо, вона не мала би стати темою для обговорення у бухгалтерських виданнях та на форумах, якби не те, що відправною точкою для поширення шкідливого програмного забезпечення стала відома всім бухгалтерам програма M.E.Doc.
Упереддень Дня Конституції України близько 10:30 почалася хвиля відмов у роботі комп'ютерних мереж. Відмовлялися працювати банкомати деяких банків, системи «клієнт-банк» та Iнтернет-банкінгу, касові термінали в супермаркетах...
Повідомлення у «Фейсбуці» та в стрічках новин про вражені підприємства нагадували інформаційні зведення з фронту.
Атаковані комп'ютери перевантажувалися, після чого на моніторах з'являвся екран начебто перевірки жорсткого диска — а тоді на чорному тлі висвітлювалися червоні літери, якими повідомлялося про те, що файли на комп'ютері зашифровані і для розблокування потрібно сплатити викуп у бійткойнах в еквіваленті 300 доларів.
Дещо зменшити шкоду допомогло те, що наступний день був святковим, хоча для дуже багатьох системних адміністраторів він несподівано став робочим.
Вірус, який паралізував роботу багатьох українських підприємств (а як згодом виявилося, і в інших країнах), став найбільше відомий під назвою Petya, хоча антивірусні лабораторії ідентифікують його під іменами Diskcoder.C, ExPetr, PetrWrap або NotPetya, вказуючи на значну відмінність від відомого з 2016 року вірусу Petya.
Нижче відповідаємо на деякі запитання, які висуваються у зв'язку з цією кібератакою.
Кібератака чи ні?
Усупереч висловлюванням анонімних і напіванонімних тролів на сайті «Дебету-Кредиту», подія 27 червня має всі ознаки кібератаки, спрямованої проти України, її економіки та інфраструктури. Щоправда, є й деякі відмінності від «типової» кібератаки, але вони незначні і не мають принципового характеру.
Дослідники, які аналізували код вірусу Diskcoder.C, виявили в ньому параметр EDRPOU — ЄДРПОУ по-нашому. Iншими словами, вірус від самого початку був спрямований саме проти українських підприємств. Те, що від нього постраждали підприємства інших країн — це, як кажуть військові, супутня шкода. Вона почасти пов'язана зі способами поширення вірусу через комп'ютерні мережі. Не можна також виключити, що така супутня шкода була зразу закладена як прийнятна шкода, щоб відвернути увагу від основної спрямованості атаки.
Можна також говорити, що вимагання грошей не було основною метою цього вірусу — метою було саме посіяти хаос. Спосіб отримання оплати був зовсім не продуманий, а блокування провайдером зазначеної у вірусі поштової скриньки унеможливило зв'язок з авторами вірусу.
Ну і, звичайно, про те, що йшлося саме про кібератаку, свідчить первісне джерело поширення вірусу. Станом на зараз можна вважати доведеним, що вірус прийшов з оновленнями програми M.E.Doc від 14 квітня, від 15 травня та від 22 червня.
Платити чи не платити?
З якого боку не глянь, відповідь однозначна — не платити.
З одного боку, плата в таких випадках — це фінансування кібертероризму, мотивування зловмисників до створення нових, вигадливіших вірусів.
З другого боку, оплата ніяк не гарантує, що ваші файли буде відновлено. На те є багато причин. По-перше, цьому може зашкодити надто низька кваліфікація авторів вірусу. Так, є свідчення, що через помилку в коді вірус Petya може ще раз зашифрувати вже зашифровані файли, після чого розшифрування стане абсолютно неможливим. По-друге, вже відомі віруси-шифрувальники, які шифрують без можливості розшифровувати, хоча так само вимагають гроші. Ну і по-третє, як уже було сказано вище, в цьому конкретному випадку це неможливо ще й тому, що поштова скринька, через яку мав би відбуватися зв'язок зі зловмисниками, заблокована, а більше жодних контактів з ними немає.
Як таке могло статися?
А от на це запитання мають відповісти компетентні органи. Й окремим питанням тут стоїть поведінка служби підтримки програми M.E.Doc, яка масово рекомендувала користувачам для встановлення оновлень вимикати антивірус або додавати пакет оновлення до переліку винятків («білий список») антивірусу та встановлювати оновлення під обліковим записом адміністратора домену.
Форс-мажор чи ні?
Саме це питання найбільше цікавить майже всіх бухгалтерів. Адже потерпілими від кібератаки виявилися не тільки підприємства, на комп'ютерах яких спрацював вірус, а й усі користувачі програми M.E.Doc, які виявилися позбавленими можливості подати електронну звітність. Потерпіли й ті платники податків, які не користуються M.E.Doc, але отримують електронні ключі від АЦСК «Україна»: ключі цього центру сертифікації виявилися скомпрометованими.
Встановленням обставин форс-мажору, як відомо, займається Торгово-промислова палата України. Однак є надія, що уникнути відповідальності за невчасне подання звітності користувачам програми M.E.Doc можна буде і без звернення до ТППУ. Як повідомив «Урядовий портал», КМУ на засіданні 4 липня запропонував відповідний законопроект. Залишається сподіватися, що доведення користування програмою M.E.Doc буде простим і не вимагатиме від користувачів особливих зусиль, а сам законопроект буде прийнято досить швидко.
Чи є альтернативи програмі M.E.Doc?
Звичайно. Щонайменш про одну з них ми вже писали, коли говорили про альтернативи «1С» (див. «ДК» №22/2017), — це бухгалтерський сервіс iFin.
До речі, в тому ж номері «ДК», але на останній сторінці обкладинки, згадується ще одна альтернативна програма подання звітності — «Арт-Звіт Плюс».
Не всі знають, що компанія «Ліга:Закон», відома своїми інформаційно-правовими системами, пропонує й рішення для подання електронної звітності — сервіс RePORT.
Ще одна програма електронної звітності — «Соната», для юросіб пропонується пробна безплатна версія на один місяць.
Повністю безплатне рішення — ПЗ «Єдине вікно подання електронної звітності» (EDZV).
Що робити, щоб це не повторилося?
Повної гарантії, що таке не повториться, не може дати ніхто. Автори зловмисних програм вигадливі, а користувачі комп'ютерів — легковажні і довірливі. Світ бачив уже багато кібератак та хвиль вірусів. Окремі песимісти стверджують, що найбільших ще лише слід чекати, адже проникнення комп'ютерів у всі сфери нашого життя досі триває, тому кібератака, яка покладе взагалі все, — лише питання часу.
Повністю вберегтися від вірусів та атак ззовні, очевидно, неможливо. Але є низка запобіжних заходів, яких слід дотримуватися, щоб убезпечити себе і своє підприємство від шкоди.
Перше і найголовніше: робочий комп'ютер — для роботи! Не встановлюйте на робочому комп'ютері нічого, що не потрібно для роботи. Як правило, за цим стежать системні адміністратори, але й рядові користувачі повинні знати, що це не просто примха. До речі, це стосується і використання соцмереж на роботі. Сидіти у фейсбучику можна і зі смартфона, не з'єднаного з мережею підприємства.
Якщо встановлено антивірус — не вимикайте його. Для додавання програм до «білого списку» антивірусу звертайтеся до сисадміна.
Не відкривайте вкладень у листах від незнайомих респондентів! Написане великими літерами «СРОЧНО!!! НДС!!!» у темі листа має не приспати вашу пильність, а навпаки — загострити її. Найкраще — не відкривайте не лише вкладень, а й взагалі не відкривайте підозрілих листів, зразу ж відправляйте їх у спам.
Використовуйте для роботи обліковий запис з обмеженими правами, іншими словами — не працюйте під обліковим записом адміністратора. Якщо програма вимагає від вас зайти під адміністратором — зверніться до системного адміністратора.
У будь-якій підозрілій ситуації — зверніться до адміністратора.
I змініть паролі.
Андрій ПОРИТКО, заступник головного редактора