Ameriška vladna služba zaradi majhne okužbe računalnike preprosto vrgla v smeti

Pred nekaj meseci smo pisali o nemškem reševanju okužbe računalniških sistemov, ko so 170 z virusi okuženih računalnikov preprosto zalučali v smeti, ne da bi jih poskusili očistiti. Še precej bolj radikalno so se tega lotili Američani, ki so v smeti pometali za milijon dolarjev računalniške opreme, ker je bil neznaten del sistemov okužen z zlonamerno programsko opremo.

Zgodba je tako absurdna, da ji brez uradnega poročila sploh ne bi verjeli, temveč bi jo odpisali kot tipično novinarsko raco. A primer je preiskalo ameriško ministrstvo za gospodarstvo oziroma njihov revizorski oddelek. Zgodba sega v leti 2011 in 2012.

Ameriški CERT je decembra 2011 zaznal nenavadno aktivnost na omrežju ministrstva za gospodarstvo (DOC), zato je obvestil njihovo računalniško službo (DOC-CIRT). Ta je ugotovila, da težave prihajajo iz stavbe Herbert C. Hoover (HCHB), kjer imata svoje sisteme Nacionalna agencija za oceane in atmosfero (NOAA) in Direktorat za gospodarski razvoj (EDA). Oboje so obvestili o incidentu. NOAA je računalnike identificirala in počistila, tako da so januarja 2012 ponovno delovali brez težav. EDA pa se je problema lotila z jedrskim orožjem, medtem ko bi zadoščalo že kladivo.

Med DOC-CIRT in EDA je sicer nastal komunikacijski šum, ugotavlja poročilo, saj je prvotno poročilo DOC-CIRT precej precenilo obseg okužbe. V nadaljnjih poročilih so to popravili, a tega niso zapisali dovolj odločno, da bi EDA to razumela. Medtem ko je EDA verjela, da imajo okuženih 146 komponent, sta bila v resnici okužena le dva računalnika. V naslednjih pet tednih je med ustanovama švignilo še več sporočil, a EDA je verjela, da so pod ogromnim napadom, DOC-CIRT pa je pravilno verjel, da je težava majhna in bo kmalu odpravljena.

EDA je popolnoma izključila svoj poštni strežnik in zaposlene odrezala od odstopa do interneta, ker so mislili, da se lahko virus razširi še drugam. Da so lahko normalno delovali, so najeli druge strežnike, osebne računalnike in ostalo opremo. EDA je najela zunanje strokovnjake, ki so jim povedali, da je sistem očiščen. Stoodstotnih zagotovil pa jim niso mogli (ali hoteli) dati, zato je informacijski direktor (CIO) v EDA nadaljeval z izrednimi ukrepi. Prepričan je bil namreč, da gre za izjemno trdovratno specializirano okužbo (advanced persistent threat), ki jo je podtaknila sovražna država.

Storil je še dvoje: računalniška oprema je romala na masovno uničenje, pri čemer so uničevali tudi tiskalnike, miške, tipkovnice, monitorje in ostalo periferijo. Uničevanje se je končalo šele, ko je oddelku zmanjkalo denarja za plačevanje uničevanja, kakorkoli ironično se to sliši. Hkrati je CIO najel zunanjega izvajalca, ki je pripravil dolgoročno rešitev, da se tovrstna "okužba" ne bi mogla ponoviti. Stroški: 823.000 dolarjev za analizo in čiščenje sistema, 1.061.000 dolarjev za najem nadomestne opreme, 175.000 dolarjev je znašala vrednost uničene strojne opreme, 688.000 dolarjev za pripravo dolgoročne rešitve. EDA je porabila leto dni, da je ponovno vzpostavila vse računalniške sisteme, in zapravila skoraj tri milijone dolarjev zaradi dveh okuženih računalnikov s klasičnim malwarom, ki ga lahko odstrani brezplačen antivirusni program.

Revizor je predlagal ukrepe, ki bodo preprečili podobne incidente v prihodnosti, znižanje stroškov za IT, preklic uničenja še neuničene, a že odstranjene strojne opreme in seveda, da ustrezna mesta zasedejo usposobljeni ljudje.