Robin Varley, nasz Senior Data Security Manager, wyjaśnia, dlaczego zagrożenie atakami typu ransomware rośnie i przedstawia kroki, które możesz podjąć w celu ochrony swojej firmy.
To telefon, którego obawia się każdy manager. Twoja firma ucierpiała w wyniku ataku ransomware, a Twoje dane zostały skradzione lub zaszyfrowane, chyba że zapłacisz hakerom zawrotną sumę. Gdy początkowa panika opadnie, trzeba się zastanowić, w jaki sposób najlepiej zareagować na zaistniałą sytuację.
Taki właśnie scenariusz rozegrał się w przypadku amerykańskiego giganta w dziedzinie rurociągów do przesyłu paliw płynnych Colonial Pipeline w maju 2021 r. oraz największego na świecie dostawcy mięsa JBS w czerwcu 2021 r. Obie firmy podjęły decyzję o zapłaceniu okupu, który w przypadku Colonial Pipeline wyniósł równowartość około 17,7 mln zł (4,4 mln USD), a w przypadku JBS 44,2 mln zł (11 mln USD).
A czy Ty zapłaciłbyś okup? Czy powinieneś to zrobić? To bardzo ważne pytanie, na które nie ma prostej odpowiedzi. Nie należy go jednak ignorować, ponieważ bez względu na wielkość organizacji i sektor, w którym działa, zagrożenie jest bardzo realne.
Co to ransomware i kto jest celem ataku?
Pandemia Covid-19 wywołała idealne warunki dla złośliwych cyberataków. Gwałtowny wzrost popularności pracy zdalnej stworzył luki w systemie, ponieważ managerowie nie mieli czasu na wprowadzenie lub wzmocnienie środków bezpieczeństwa dla swoich rozproszonych pracowników. Nawet teraz wielu z nich wciąż próbuje nadrobić zaległości.
Celem ataków ransomware są przedsiębiorstwa każdej wielkości, ale szczególnie narażone są te, które mają minimalną tolerancję czasu przestojów. W skali globalnej liczba ataków typu ransomware tylko w pierwszej połowie 2021 roku wzrosła o 151 procent.
Czy powinieneś płacić?
Każda organizacja musi sama zadecydować, czy zapłacić okup czy nie. Z pewnością nie jest to łatwa decyzja. Nawet FBI (Federalne Biuro Śledcze) złagodziło swoje stanowisko na ten temat, stwierdzając, że firmy muszą rozważyć wszystkie opcje.
Według prezesa JBS jego firma zdecydowała się zapłacić, aby "zapobiec potencjalnemu ryzyku dla naszych klientów". Z kolei CEO Colonial Pipeline powiedział: "To było działanie podjęte dla dobra kraju”. Ale przyznał również, że była to "wysoce kontrowersyjna decyzja".
... czy nie płacić? Oto jest pytanie
To trudny wybór. Odmowa zapłaty może prowadzić do całkowitego zablokowania dostępu do własnej strony internetowej i systemów. Tak stało się z firmą zajmującą się wymianą walut Travelex, która została zablokowana na miesiąc, co spowodowało katastrofalne konsekwencje. Płacenie okupu nie daje jednak żadnych gwarancji.
Nie jest wielką niespodzianką, że cyberprzestępcom rzadko można ufać. Badanie z 2021 roku wykazało, że z 57% ofiar ataków typu ransomware, które zapłaciły okup, 28% nie odzyskało swoich danych.
Istnieją również dowody na to, że zapłacenie okupu może prowadzić do dodatkowych żądań płatności od pierwotnego sprawcy. Uleganie żądaniom cyberprzestępców może również przyciągnąć uwagę innych hakerów. Badanie przeprowadzone przez firmę Veritas wykazało, że organizacje, które uczestniczyły w incydencie związanym z oprogramowaniem ransomware, doświadczały średnio 4,46 dodatkowych ataków.
Ponadto za utratę danych w wyniku ataków typu ransomware mogą zostać nałożone kary wynikające z przepisów i regulacji prawnych. Z kolei reputacja tych, którzy zapłacą za odzyskanie swoich danych, może ucierpieć. Badania wykazały, że tylko 23% klientów uważa, że firma powinna kiedykolwiek negocjować z przestępcami.
Gdy atak ransomware zostanie skutecznie przeprowadzony, każda z opcji może potencjalnie zaszkodzić Twojemu biznesowi, a nawet go zrujnować.
Atak ransomware: co możesz zrobić?
1. Zmierz się z problemem
Nie czekaj, aż otrzymasz telefon oznajmiający, że padłeś ofiarą ataku typu ransomware. Poświęć czas na przeprowadzenie niewygodnych rozmów o tym, jak Twoja firma powinna zareagować w przypadku tego rodzaju zagrożenia. Następnie zrób wszystko, co możliwe, aby podjąć proaktywne działania w celu zmniejszenia ryzyka.
Powinieneś również używać różnych scenariuszy ataków typu ransomware podczas testowania swoich Planów Ciągłości Działania i Disaster Recovery Plan. Chociaż wszyscy mamy nadzieję, że odpowiednie zabezpieczenia będą działać na hakerów odstraszająco, to ataki ransomware na globalnych gigantów wskazują, że takie podejście może okazać się niewystarczające. Wskazane jest posiadanie odpowiedniej strategii, postępowania w przypadku ataków oprogramowaniem ransomware.
2. Nie polegaj na ubezpieczeniu
Ubezpieczenia cybernetyczne stają się coraz droższe i trudniejsze do pozyskania. Wynika to głównie z dużej liczby roszczeń w połączeniu z wysokim poziomem ryzyka. Niektórzy ubezpieczyciele, jak np. AXA na terenie Francji, obecnie odmawiają wystawiania polis ubezpieczenia cybernetycznego, gwarantujących wypłatę odszkodowania za ataki oprogramowania ransomware. Ta tendencja może utrzymywać się u innych ubezpieczycieli oraz w innych krajach. W przypadku tego typu polis przyjęcie do ubezpieczenia z pewnością staje się coraz bardziej rygorystyczne. Jeśli poziom cyberbezpieczeństwa jest poniżej normy, roszczenia mogą zostać odrzucone.
3. Ustanów protokoły bezpieczeństwa pracy zdalnej
Atak ransomware na firmę Colonial Pipeline odbył się za pomocą naruszenia sieci prywatnej, powszechnie używanej przez osoby pracujące zdalnie w celu łączenia się z systemem organizacji. Ważne jest przeprowadzenie dokładnego przeglądu wszystkich protokołów pracy zdalnej i zasięgnięcie profesjonalnej porady w przypadku jakichkolwiek wątpliwości co do bezpieczeństwa obecnych praktyk.
4. Przegląd środków wykrywania
Niektóre ataki ransomware są skutecznie przeprowadzane na długo przed zażądaniem okupu. W ten sposób przestępcy mają dużo czasu na zebranie i zaszyfrowanie danych. Zautomatyzowane narzędzia, które koncentrują się na ochronie bezpieczeństwa punktów końcowych, systemach wykrywania włamań (IDS) i zaporach sieciowych są pomocne w początkowej fazie ataku. Zespoły ds. cyberbezpieczeństwa muszą jednak również mieć czas i zasoby, aby korzystać ze strategii i narzędzi, które mogą zidentyfikować podejrzaną aktywność w tym okresie.
5. Przygotuj wielopoziomową strategię tworzenia kopii zapasowych
Oprogramowanie ransomware może szybko rozprzestrzeniać się w sieci, dlatego wiele kopii zapasowych musi być przechowywanych w chronionym środowisku, z dala od głównej sieci. Kopie zapasowe poza siedzibą firmy mogą być przechowywane w chmurze, co stanowi tanią i skalowalną opcję. Istotne jest również odizolowanie kopii zapasowych i kopii przechowywanych na urządzeniach oraz zapewnienie, że są one w formacie, którego nie można zmienić ani modyfikować.
6. Zaangażuj zaufanego specjalistę
Jak usunąć ransomware? Zaufany Major Incident Manager (MIM) może w sposób optymalny kosztowo zapewnić dodatkowe wsparcie i dostarczyć odpowiednie zasoby wewnętrznym zespołom ds. cyberbezpieczeństwa. MIM służy fachową wiedzą i doświadczeniem w firmach różnej wielkości i z różnych sektorów, dostarczając wskazówek dotyczących oceny ryzyka, solidnych środków bezpieczeństwa oraz opracowania i wdrożenia skutecznego planu działań naprawczych.
Elavon może pomóc Państwu w zakresie wyzwań związanych z bezpieczeństwem danych (cyberbezpieczeństwem, PCI DSS, GDPR). Skontaktuj się z nami w celu omówienia Twoich potrzeb z zakresu bezpieczeństwa danych.