Decyzja o tym, czy płacić okup cyberprzestępcom przetrzymującym dane jak zakładników, zależy od tego, jakie wybory podjęli liderzy na długo nim do ataku w ogóle doszło.

Przestępczość z wykorzystaniem oprogramowania ransomware rośnie: w samych Stanach Zjednoczonych częstotliwość występowania tej formy cyberataku wzrosła o 200% w latach 2019‑2021. Jest to istotne zagrożenie, a jednak wielu liderów jest zaskoczonych, gdy pada ofiarą takiego ataku. Ransomware to złośliwe oprogramowanie, posługujące się szyfrowaniem w celu blokady dostępu do danych na zainfekowanym urządzeniu, w efekcie skutecznie paraliżujące system komputerowy. Sprawcy ataku żądają zapłaty w zamian za odszyfrowanie plików i przywrócenie dostępu do zainfekowanych systemów. Taktyka ta pochodzi z lat 80‑tych XX wieku, lecz stała się poważnym zagrożeniem dla firm po 2010 roku wraz z pojawieniem się kryptowalut, z których świat przestępczy często korzysta.

Cechą ransomware jest to, że jest zagrożeniem z wieloma niewiadomymi utrudniającymi planowanie reakcji. Wiele organizacji pragnie po prostu znaleźć najszybsze wyjście z sytuacji, a często oznacza to zapłacenie okupu, nawet gdy obciążenie finansowe może być znaczne, a rezultat bardzo niepewny. W niedawnym badaniu przeprowadzonym wśród 300 firm 64% przyznało, że w ciągu ostatnich 12 miesięcy doświadczyło ataku ransomware, a 83% z nich zapłaciło okup. Jednocześnie raptem 8% organizacji, które zapłaciły, odzyskało wszystkie swoje dane, a aż 63% straciło połowę.

Niektóre organizacje otrzymują żądanie drugiego (i być może nawet wyższego) okupu, mimo że pierwszy  został zapłacony w terminie. Najgorszy scenariusz to taki, w którym ofiara  zapłaci, lecz nie otrzyma klucza deszyfrującego lub okaże się on nieskutecznyIndeks górny 1¹.

Organizacje, które decydują się nie płacić, także ponoszą koszty w postaci przestojów w ich działalności i utraconych przychodów. Firmy nieprzygotowane na atak, bez niezawodnego systemu kopii zapasowych lub planu reagowania na incydenty, ponoszą największe straty – nie tylko finansowe, lecz także wizerunkowe.

Jeżeli twoja organizacja zostanie dotknięta atakiem ransomware, pierwszym krokiem powinno być powiadomienie organów ścigania oraz, w stosownych przypadkach, odpowiednich organów ochrony danych. Kolejne kroki zależą od tego, jak dobrze organizacja jest przygotowana na tego rodzaju ataki. Niniejszy artykuł ma za zadanie pomóc zespołom kierownictwa wyższego szczebla w podjęciu decyzji, jakie działania należy podjąć, zadając sześć pytań o charakterze pomocniczym. Rozważenie tych kwestii z dużym wyprzedzeniem przed nastąpieniem ataku może nakłonić do krytycznych działań, mogących całkiem wyeliminować zagrożenie albo pozwolić na lepszą reakcję i szybszy powrót do normalnego funkcjonowania w razie gdy atak dojdzie do skutku.

1. Czy jesteś przygotowany technicznie?

W lipcu 2021 r. ransomware REvil zaatakował firmę Kaseya. Hakerzy potrzebowali zaledwie dwóch godzin, by wykorzystać lukę w serwerach firmy i zainfekować tysiące powiązanych ze sobą systemów. Jest to czas niewystarczający, by większość systemów obrony sieciowej mogła skutecznie zareagować. Przyjęcie postawy „przypuszczalnego naruszenia”, opartej na absolutnym braku zaufania do systemów cyberochrony i traktującej priorytetowo procesy wykrywania prób ataku, bądź odzyskiwania danych, pozwoli organizacjom działać bardziej proaktywnie i skupić się zarówno na reagowaniu, jak i zapobieganiu.

W przypadku zagrożenia ransomware’em najważniejsze jest sprawdzenie, jak wygląda stan kopii zapasowych w organizacji. Posiadanie aktualnej kopii zapasowej oraz możliwość zapobiegania zaszyfrowaniu jej przez ransomware daje organizacjom pierwszą przewagę strategiczną. Jednakże samo posiadanie kopii zapasowych to za mało  – organizacje muszą mieć pewność, że w w sytuacji awaryjnej odzyskają z nich dane. A jeśli nabiorą podejrzeń, że tak nie jest, powinny zadbać o naprawę tego stanu rzeczy.. Zdolność ta w wielu organizacjach jest wciąż niedostateczna: aż w 58% firm proces odzyskiwania danych zawodzi. Niezwykle ważne jest, aby organizacje regularnie testowały swoją zdolność odzysku danych, tak aby nie spotkała ich przykra niespodzianka w momencie nadejścia kryzysu. Należy także pamiętać, że hakerzy dążą do znalezienia miejsca przechowywania kopii zapasowych i ich zaszyfrowania. Przechowywanie ich w miejscu fizycznie oddalonym od siedziby firmy, ale też w żaden sposób nie łączącym się z firmową siecią bardzo utrudnia ich odnalezienie.