Kącik redaktora: AbacusNext Odpowiedź na atak Cloud9 Ransomware Attack

Rzadko prowadzimy tego typu publikacje, ale biorąc pod uwagę fakt, że członkowie naszej audytorium zostali prawdopodobnie dotknięci tym incydentem, pomyśleliśmy, że odpowiedzialnym działaniem będzie wysłanie listu do klienta od prezesa AbacusNext, Alessandry Lezamy.

Dla tych nieświadomych, w trakcie Labor Day Weekend Cloud9 Realtime, usługa hostingu chmury używana przez wielu księgowych, którą AbacusNext nabył na początku tego roku, została uderzona atakiem okupowym. Jedną z osób, które ucierpiały w wyniku tego ataku, była nasza regularna blogerka, profesjonalna księgowa i ProAdvisor Jody Linick, która napisała o swoim doświadczeniu.

Aby zrównoważyć niektóre z jej komentarzy i lepiej informować naszą publiczność, zgodziliśmy się umieścić list Lezamy. Jako że jesteśmy stroną społecznościową dla księgowych, z zadowoleniem przyjmujemy wszystkie komentarze społeczności, jak również te, które jej służą.

W związku z tym prosimy o zapoznanie się z poniższym listem prezesa i skomentowanie go:

(wydany 9/11/2017)

Drogi Ceniony Kliencie Cloud9:

Ten e-mail ma na celu dać Ci lepszy wgląd w incydent bezpieczeństwa, który miał miejsce w ostatni weekend Dnia Pracy.Jak informowaliśmy w naszej korespondencji e-mail z 09/04/17, Cloud9 został poddany atakowi okupowemu, który rozpoczął się od jednego z naszych największych klientów i dotarł do około 30% klientów znajdujących się w obu naszych centrach danych w Kalifornii i Teksasie.

Po natychmiastowym wykryciu ataku, sieć Cloud9 została zamknięta jako środek bezpieczeństwa, aby zapobiec dalszym naruszeniom. Gdy zagrożenie zostało opanowane, przywrócono łączność sieciową i rozpoczęto szczegółową ocenę i odzyskiwanie złośliwie zaszyfrowanych plików.

Jako dostawca usług, Cloud9 traktuje przestoje dla naszych klientów bardzo poważnie i rozumie ich wpływ na Twoją organizację, Twoich pracowników i klientów, szczególnie biorąc pod uwagę zbliżający się termin podatkowy 9/15.Podczas gdy ja analizuję szczegóły reakcji na sytuacje awaryjne (“Code-Red”), kierownictwo i pracownicy zareagowali na nie na serio, stosując się do najsurowszych protokołów awaryjnych posiadających All-Hands-On Deck pracujący przez całą dobę, aby przywrócić dotkniętych klientów.

Proces odzyskiwania nie był jednak taki sam dla wszystkich klientów, których to dotyczyło; klienci hostowani poza centrum danych Cloud9 California byli pierwszą grupą, którą udało się odzyskać, ponieważ nasi inżynierowie z Cloud9 byli w stanie przywrócić zaszyfrowane pliki z naszych kopii zapasowych w tym samym dniu okna awaryjnego. Odzyskiwanie pozostałych 30% klientów znajdujących się poza naszym teksańskim centrum danych przebiegało stopniowo, ponieważ nasi inżynierowie stosowali skrypty do odzyskiwania zaszyfrowanych plików ze zdalnych środowisk, minimalizując jednocześnie zakłócenia w plikach, które nasi klienci tworzyli od początku zdarzenia.

Aby spojrzeć z szerszej perspektywy na wielkość procesu przywracania danych, pliki danych, które przeprowadziły proces przywracania uszkodzonych klientów w samym Teksasie, przekraczają 300 terabajtów. Proces ten, wykorzystujący zaawansowaną technologię i zasoby ludzkie, nieuchronnie wymagał czasu.

W tym momencie mamy przyjemność poinformować, że 100% plików zostało odzyskanych z powodzeniem i że ten incydent nie spowodował trwałej utraty danych dla żadnego z klientów Cloud9.

Chociaż nie mamy żadnych dowodów na to, że pliki klientów lub dane osobowe, które można zidentyfikować, zostały wzięte lub ujawnione w wyniku tego incydentu, traktujemy każdą formę działalności przestępczej niezwykle poważnie. Zgłosiliśmy to zdarzenie do FBI, jak również zaangażowaliśmy ekspertów ds. bezpieczeństwa cybernetycznego z RSA do pomocy w analizie kryminalistycznej tego zdarzenia.Przesłaliśmy również klientom, osobno, więcej informacji, aby lepiej zrozumieć, co pociąga za sobą obowiązki wynikające z ustawy o powiadamianiu o naruszeniu danych.

Jak w przypadku każdego wydarzenia mającego wpływ na usługi, jesteśmy świadomi negatywnych komentarzy, jakie na temat tego wydarzenia pojawiły się w mediach społecznościowych, w których klienci wyrażali niezadowolenie z komunikacji, jaką zapewnia Cloud9 w trakcie tego procesu. Przede wszystkim jednak jesteśmy wdzięczni setkom klientów, którzy dzięki temu próbnemu wydarzeniu cierpliwie współpracowali z nami w procesie przywracania ich usług do normy i obdarzali nas mailami zachęty i wdzięczności.

W celu uzyskania większej ilości informacji dla naszych klientów, zwrócę uwagę, że nasza organizacja utrzymuje ściśle przestrzeganą Standardową Procedurę Operacyjną (SOP) w przypadku wystąpienia zdarzenia awaryjnego (Kod Czerwony). Ta standardowa procedura operacyjna nakazuje wykonanie sekwencji kroków w celu zapewnienia, że wszystkie dostępne zasoby są kierowane do natychmiastowego powstrzymania, złagodzenia i rozwiązania problemu.

Naszym najwyższym priorytetem w tej sekwencji jest bezpieczeństwo, a następnie ocena wpływu i organizacji działań podejmowanych przez firmę w odpowiedzi na Czerwony Kodeks. Po wyczerpaniu tych kroków i uzyskaniu dokładnych informacji do przekazania naszym klientom, robimy to za pośrednictwem naszego doradztwa internetowego, poczty elektronicznej i linii wsparcia technicznego.

Po zakończeniu zdarzenia nadzwyczajnego przeprowadzamy dokładne dochodzenie i analizę pośmiertną oraz wdrażamy wszelkie niezbędne środki zaradcze. W odróżnieniu od wielu organizacji, nasza Polityka Czerwonego Kodeksu natychmiastowo przenosi się na najwyższy szczebel firmy, w tym na mnie (dyrektora generalnego), dyrektora ds. technologii oraz dyrektora ds. sprzedaży i marketingu, którzy byli bezpośrednio zaangażowani na pierwszym planie, zatwierdzając działania wykraczające poza zobowiązania umowne firmy w celu zapewnienia wykorzystania wszystkich dostępnych zasobów.

Cloud9 wstrzymuje się z decyzją o wdrożeniu swojej strategii reagowania kryzysowego, zwłaszcza biorąc pod uwagę czas, zasoby i charakter tego wydarzenia. Nie mógłbym być bardziej dumny z poświęceń członków naszego zespołu (i ich rodzin) w celu zapewnienia, że dotknięci klienci zostaną przywróceni do życia tak szybko, jak to możliwe.

Dodatkowo, od czasu przejęcia Cloud9 na początku tego roku, nasz zespół kierowniczy opracował plan, który wprowadzi zmiany w ogólnej infrastrukturze technologicznej Cloud9, aby zapewnić naszym klientom lepszą stabilność oraz doskonałe opcje bezpieczeństwa i wydajności. Podczas gdy konkurencyjny interes utrzymania ciągłości biznesowej naszych klientów w sezonie podatkowym wymagał opóźnienia wdrożenia niektórych zmian i ulepszeń, pewne wysiłki rozpoczęły się przed imprezą Labor Day Weekend.

Ostatecznie, skupienie się naszych pracowników, czas i zasoby, które zostały wydane, oraz ostatnie zmiany infrastrukturalne, które zostały już wprowadzone, przyczyniły się do znacznego złagodzenia ogólnego wpływu tego wydarzenia i umożliwiły osiągnięcie rozwiązania.

Teraz, gdy wszystkie dane klientów zostały przywrócone, naszym głównym celem jest staranna współpraca z RSA w celu zakończenia analizy sądowej tego zdarzenia i dostarczenia tego dochodzenia do Ciebie. W ramach procesu naprawczego udostępniamy Państwu techniczną grupę zadaniową.

Na Twoją prośbę, zespół ten będzie współpracował z Tobą w celu przeanalizowania Twojego obecnego stosu technologii, w tym hostowanych i nie hostowanych aplikacji oraz zapewni konsultacje na temat różnych dostępnych dla Ciebie opcji bezpieczeństwa, które będą lepiej spełniać Twoje potrzeby w zakresie bezpieczeństwa i hostingu w przyszłości. Jako Dyrektor Generalny AbacusNext – firmy macierzystej Cloud9 – mogę Państwa zapewnić, że każdy poziom naszej organizacji jest zaangażowany w Państwa sukces, teraz i na bieżąco.

Z poważaniem,

Alessandra Lezama

Dyrektor naczelny