Streszczenie: Decyzja o płaceniu okupu po ataku ransomware jest złożoną kwestią, której skutki mogą być dalekosiężne. W przypadku takiego ataku, firmy stają przed dylematem, czy zapłacić żądany okup, by odzyskać dostęp do zaszyfrowanych danych, czy odmówić i ryzykować paraliżem działalności. Stephen Nix, agent Secret Service odpowiedzialny za cyberbezpieczeństwo, przestrzega przed płaceniem, argumentując, że daje to przestępcom sygnał, że opłaca się kontynuować takie działania. Ponadto, nie ma pewności, że po zapłaceniu okup dane rzeczywiście zostaną odzyskane. Nix zaleca, by w takiej sytuacji zgłaszać incydent organom ścigania, co może pomóc w odzyskaniu danych i walce z cyberprzestępczością. Informowanie o ataku jest również kluczowe z punktu widzenia ochrony reputacji firmy.
Stephen Nix, agent specjalny amerykańskiego Secret Service, odpowiedzialny za cyberbezpieczeństwo, na stronach MIT Sloan School of Management radzi, co zrobić w przypadku ataku hakerskiego. Szczególny nacisk kładzie na sytuację, w której firmowa infrastruktura IT zostanie zaatakowana wirusem typu ransomware.
Pierwsze i kluczowe pytanie, jakie się wówczas pojawia: „zapłacić okup czy nie?”. Od odpowiedzi zależy szereg kolejnych działań, między innymi decyzja o tym, czy ujawniać na zewnątrz informację o ataku.
Faktem jest, że ataki ransomware mogą sparaliżować całą firmową infrastrukturę, zerwać łańcuchy dostaw i wywołać kryzys, którego skutki, zarówno finansowe, jak i wizerunkowe, bywają trudne do przewidzenia. Ataki cyfrowe są coraz częstsze, a miniony rok wręcz obfitował w przypadki łamania cyfrowych zabezpieczeń firm.
W marcu 2021 roku firma ubezpieczeniowa CNA Financial zapłaciła 40 milionów dolarów, a JBS Meats 11 miliardów dolarów. Obie padły ofiarą ataku ransomware. Podobnie jak firma Colonial Pipeline, jeden z głównych dostawców ropy naftowej na Wschodnie Wybrzeże USA, która zapłaciła „jedynie” 4,4 miliona dolarów, by odzyskać dane utracone po ataku w maju 2021 roku.
W Polsce sytuacja wygląda lepiej, ale wynika to raczej ze skali działania i globalnej pozycji rodzimych firm. Według danych Sophos (brytyjskiego przedsiębiorstwa specjalizującego się cyberbezpieczeństwie) koszt, jaki ponoszą polskie firmy w wyniku ataku, to średnio 1,5 miliona złotych (wliczając w to wartość danych, straty poniesione wskutek zastoju, ale także koszty powrotu do działania). Jednak zdaniem Stephena Nixa dziś nawet małe firmy powinny czuć się zagrożone. Hakerzy łaszą się na dużo mniejsze sumy, nawet rzędu 500 czy 1000 dolarów (zapewne działa tu efekt skali, czyli mały łup od wielu firm) i coraz częściej celem ataku stają się firmy funkcjonujące na peryferyjnych rynkach, gdzie poziom zabezpieczeń i możliwości wsparcia są mniejsze.
Konsekwencje uległości
Stephen Nix przekonuje, że nigdy nie powinno się płacić okupu. Po pierwsze, płacenie tylko zachęca hakerów do coraz bardziej agresywnych akcji. Po drugie, nigdy nie ma pewności, że dane zostaną faktycznie odzyskane i że mimo zapewnień przestępców nie zostaną sprzedane na czarnym rynku. Oczywiście, teoria to jedno, a praktyka – drugie. Wiele firm płaci i zamiata sprawę pod dywan, by informacja o ataku nie wyciekła na zewnątrz. Wówczas bowiem do strat finansowych należy doliczyć straty wizerunkowe. I o ile te pierwsze można wliczyć w koszt prowadzenia biznesu, o tyle z tymi drugimi już nie jest to takie łatwe. Firmy jednak płacą i starają się jak najszybciej wrócić do pracy. Czy zatem milczenie to dobre rozwiązanie? W opinii Nixa – najgorsze z możliwych. Powiadomienie organów ścigania pozwala czasami odzyskać dane bez opłacania szantażystów. Ponadto pomaga stosownym służbom walczącym z cyberprzestępcami zdobywać informacje pomocne w kolejnych tego typu sytuacjach.
Zdaniem Nixa informowanie organów ścigania i opinii publicznej to także forma walki z cyfrowymi przestępcami.
– Gdy już zdecydujesz się zapłacić, nie milcz. Jest całkiem możliwe, że jednak odzyskasz pieniądze, ponieważ organy ścigania są w stanie przechwycić płatność dokonywaną za pomocą kryptowalut – wyjaśnia Nix i podaje przykład: Departament Sprawiedliwości Stanów Zjednoczonych przejął większość bitcoinów, które Colonial Pipeline zapłaciło hakerom stojącym za atakiem ransomware.
– Nie zapominaj, że hakerzy też mają swój „model biznesowy”. Analizując dziesiątki czy setki ataków, jesteśmy w stanie znaleźć sprawców, ale potrzebujemy informacji od firm, które zostały zaatakowane – tłumaczy Nix.
Nie karmić trolla
Dlaczego płacenie to nie najlepszy wybór? Otóż, jak przekonuje Nix, według wyliczeń Secret Service aż 70% ataków ransomware to kolejne ataki na ten sam cel. Hakerzy będą szantażować te firmy, które już raz udało im się zmusić do płacenia. Tak jest łatwiej. Działa tu prosty mechanizm – płaci ktoś, kto się boi i jest wielce prawdopodobne, że ugnie się po raz kolejny. Kolejny argument przeciwko płaceniu okupu jest również natury biznesowej. Przekazywanie pieniędzy hakerom sprawia, że ci stają się silniejsi. Każde pieniądze wyłudzone od firmy oznaczają fundusze na rozwój, testowanie nowych rozwiązań, zatrudnianie lepszych fachowców, inwestycje w szybsze maszyny i oprogramowanie. Według wyliczeń Secret Service aż 40% wpłat z okupu grupy hakerskie postanowiły wydać na analizę tego, jak działać w przyszłości i jak się rozwijać. Dziś za atakami stoją bowiem nie pojedynczy hakerzy, ale sprawnie funkcjonujące organizacje.
