Decyzja o tym, czy płacić okup cyberprzestępcom przetrzymującym dane jak zakładników, zależy od tego, jakie wybory podjęli liderzy na długo nim do ataku w ogóle doszło.
Przestępczość z wykorzystaniem oprogramowania ransomware rośnie: w samych Stanach Zjednoczonych częstotliwość występowania tej formy cyberataku wzrosła o 200% w latach 2019‑2021. Jest to istotne zagrożenie, a jednak wielu liderów jest zaskoczonych, gdy pada ofiarą takiego ataku. Ransomware to złośliwe oprogramowanie, posługujące się szyfrowaniem w celu blokady dostępu do danych na zainfekowanym urządzeniu, w efekcie skutecznie paraliżujące system komputerowy. Sprawcy ataku żądają zapłaty w zamian za odszyfrowanie plików i przywrócenie dostępu do zainfekowanych systemów. Taktyka ta pochodzi z lat 80‑tych XX wieku, lecz stała się poważnym zagrożeniem dla firm po 2010 roku wraz z pojawieniem się kryptowalut, z których świat przestępczy często korzysta.
Cechą ransomware jest to, że jest zagrożeniem z wieloma niewiadomymi utrudniającymi planowanie reakcji. Wiele organizacji pragnie po prostu znaleźć najszybsze wyjście z sytuacji, a często oznacza to zapłacenie okupu, nawet gdy obciążenie finansowe może być znaczne, a rezultat bardzo niepewny. W niedawnym badaniu przeprowadzonym wśród 300 firm 64% przyznało, że w ciągu ostatnich 12 miesięcy doświadczyło ataku ransomware, a 83% z nich zapłaciło okup. Jednocześnie raptem 8% organizacji, które zapłaciły, odzyskało wszystkie swoje dane, a aż 63% straciło połowę.
Niektóre organizacje otrzymują żądanie drugiego (i być może nawet wyższego) okupu, mimo że pierwszy został zapłacony w terminie. Najgorszy scenariusz to taki, w którym ofiara zapłaci, lecz nie otrzyma klucza deszyfrującego lub okaże się on nieskutecznyIndeks górny 11.
Organizacje, które decydują się nie płacić, także ponoszą koszty w postaci przestojów w ich działalności i utraconych przychodów. Firmy nieprzygotowane na atak, bez niezawodnego systemu kopii zapasowych lub planu reagowania na incydenty, ponoszą największe straty – nie tylko finansowe, lecz także wizerunkowe.
Jeżeli twoja organizacja zostanie dotknięta atakiem ransomware, pierwszym krokiem powinno być powiadomienie organów ścigania oraz, w stosownych przypadkach, odpowiednich organów ochrony danych. Kolejne kroki zależą od tego, jak dobrze organizacja jest przygotowana na tego rodzaju ataki. Niniejszy artykuł ma za zadanie pomóc zespołom kierownictwa wyższego szczebla w podjęciu decyzji, jakie działania należy podjąć, zadając sześć pytań o charakterze pomocniczym. Rozważenie tych kwestii z dużym wyprzedzeniem przed nastąpieniem ataku może nakłonić do krytycznych działań, mogących całkiem wyeliminować zagrożenie albo pozwolić na lepszą reakcję i szybszy powrót do normalnego funkcjonowania w razie gdy atak dojdzie do skutku.
1. Czy jesteś przygotowany technicznie?
W lipcu 2021 r. ransomware REvil zaatakował firmę Kaseya. Hakerzy potrzebowali zaledwie dwóch godzin, by wykorzystać lukę w serwerach firmy i zainfekować tysiące powiązanych ze sobą systemów. Jest to czas niewystarczający, by większość systemów obrony sieciowej mogła skutecznie zareagować. Przyjęcie postawy „przypuszczalnego naruszenia”, opartej na absolutnym braku zaufania do systemów cyberochrony i traktującej priorytetowo procesy wykrywania prób ataku, bądź odzyskiwania danych, pozwoli organizacjom działać bardziej proaktywnie i skupić się zarówno na reagowaniu, jak i zapobieganiu.
W przypadku zagrożenia ransomware’em najważniejsze jest sprawdzenie, jak wygląda stan kopii zapasowych w organizacji. Posiadanie aktualnej kopii zapasowej oraz możliwość zapobiegania zaszyfrowaniu jej przez ransomware daje organizacjom pierwszą przewagę strategiczną. Jednakże samo posiadanie kopii zapasowych to za mało – organizacje muszą mieć pewność, że w w sytuacji awaryjnej odzyskają z nich dane. A jeśli nabiorą podejrzeń, że tak nie jest, powinny zadbać o naprawę tego stanu rzeczy.. Zdolność ta w wielu organizacjach jest wciąż niedostateczna: aż w 58% firm proces odzyskiwania danych zawodzi. Niezwykle ważne jest, aby organizacje regularnie testowały swoją zdolność odzysku danych, tak aby nie spotkała ich przykra niespodzianka w momencie nadejścia kryzysu. Należy także pamiętać, że hakerzy dążą do znalezienia miejsca przechowywania kopii zapasowych i ich zaszyfrowania. Przechowywanie ich w miejscu fizycznie oddalonym od siedziby firmy, ale też w żaden sposób nie łączącym się z firmową siecią bardzo utrudnia ich odnalezienie.
Planując działania, liderzy organizacji powinni również upewnić się, że ich zespoły IT opracowały szczegółowe procedury reagowania na incydenty oraz że są one aktualne, zrozumiałe dla pracowników i często testowane. Ma to zasadnicze znaczenie dla powstrzymania rozprzestrzeniania się złośliwego oprogramowania, przyspieszenia procesu przywracania sprawności operacyjnej i zachowania dowodów potrzebnych organom ścigania. Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) przygotowała przewodnik, w którym szczegółowo opisano najlepsze praktyki zapobiegania atakom i reagowania na nie, a Narodowy Instytut Standardów i Technologii oferuje przydatne wskazówki dotyczące ochrony danych przed oprogramowaniem ransomwareIndeks górny 22.
Decydujący czynnik: Jeśli dysponujesz kopią zapasową i pewność, że zawsze odzyskasz z niej dane, nie musisz płacić okupu – przestępcy nie mają żadnej przewagi.
2. Czy masz dostęp do danych o zagrożeniach?
Ransomware ma różnych wariantów, ale mechanizmy obronne również ewoluują. Eksperci, którzy rozpracowują poszczególne odmiany, publikują obecnie w Internecie ogólnodostępne zasoby zawierające kilka kluczy deszyfrujących. Analizując opcje dostępne po wystąpieniu ataku, organizacje powinny sprawdzić wspomniane zasoby, aby dowiedzieć się, czy istnieje już rozwiązanie problemu. Powinny również przejrzeć raporty dotyczące zagrożeń oferowane przez organizacje badawcze i usługodawców w zakresie bezpieczeństwa cybernetycznego w celu uzyskania informacji o konkretnym przedsięwzięciu przestępczym, odpowiedzialnym za atak.
Zrozumienie, z kim się dokładnie ma do czynienia, jest bardzo cenne, gdyż nie brakuje podmiotów stanowiących źródło zagrożeń związanych z oprogramowaniem ransomware. Odkąd pojawił się model biznesowy „ransomware jako usługa”, w zasadzie każdy może zlecić taki atak. Niektóre grupy hakerskie są bardziej wybredne, inne mniej, oferując swoje usługi każdemu, kto skłonny jest zapłacić. Czasami układ polega na tym, że zleceniodawca dzieli się z hakerami otrzymanym okupem. Najgorsze jest to, że wielu hakerów nawet nie zawraca sobie głowy wysyłaniem klucza po zapłaceniu okupu. Dobrze jest więc wiedzieć, jakie zwyczaje mają ludzie, którzy zaatakowali twoją firmę. To ważna wskazówka, pomocna przy podejmowaniu decyzji o tym, czy w ogóle rozmawiać z szantażystami.
Decydujący czynnik: Jeżeli masz dostęp do odpowiednich kluczy deszyfrujących, prawdopodobnie będziesz w stanie przywrócić dane bez konieczności przekazywania okupu. Jeśli zaś masz jakiekolwiek informacje o grupie, która zaatakowała, to mogą się one przydać, gdy nadejdzie czas decyzji, czy płacić.
3. Czy masz ubezpieczenie od przestępstw internetowych i jaki jest jego dokładny zakres?
Na początku wieku kilka firm ubezpieczeniowych zaczęło oferować ochronę przed zagrożeniami cybernetycznymi i rynek ten wciąż się rozwija. Uznanie oprogramowania ransomware za istotne ryzyko spowodowało radykalny wzrost wysokości składek: ataki ransomware stanowią obecnie 75% wszystkich roszczeń z tytułu ubezpieczeń cybernetycznych. W przypadku zawarcia ubezpieczenia trzeba mieć na względzie jego warunki, oraz to czy w zakresie ubezpieczonego ryzyka mieści się także konieczność zapłacenia okupu. Większość ubezpieczycieli zobowiązuje się jedynie do kompensaty straty prowadzonej działalności. A wobec ataków podejrzewanych o finansowanie przez państwo, takich jak atak NotPetya w 2017 r., ubezpieczyciel może zdecydować się na zaklasyfikowanie ich jako działań wojennych, co zwalnia go z odpowiedzialności za wypłacanie odszkodowania. Liderzy powinni więc znać warunki swojej polisy ubezpieczeniowej w zakresie zagrożeń cybernetycznych oraz dowiedzieć się, czy zapewnia ona ochronę przed atakiem ransomware.
Decydujący czynnik: Jeśli ubezpieczenie od cyberprzestępczości obejmuje okup, zapłacenie go może mieć sens, o ile nie ma innego sposobu na przywrócenie danych.
4. Sprawdź, co jest tańsze i na co stać firmę
Określ koszt odzyskiwania danych: oblicz, ile kosztowałyby Twoją organizację potencjalne straty biznesowe i odzyskanie zaszyfrowanych danych. Pozwoli to nie tylko zrozumieć, jakie są koszty zaniechania inwestycji w bezpieczeństwo informacji, lecz także pomoże ocenić, czy zapłacenie okupu jest ekonomicznie uzasadnionym działaniem w przypadku braku innych rozwiązań.
Decydujący czynnik: Jeżeli firma może sobie pozwolić na zapłacenie okupu, i jest on niższy niż ostateczny koszt odzyskania danych, to w przypadku braku innych możliwości wyjścia z kryzysu takie działanie ma sens.
5. Jakie są konsekwencje prawne płacenia okupu?
W przypadku braku aktualnych, kompletnych kopii zapasowych i dobrze przygotowanego planu odzyskiwania danych lub kompleksowego ubezpieczenia, niektóre organizacje uznają, że ich jedynym wyjściem jest zapłacenie okupu. Jednakże nawet ta droga może być w niektórych przypadkach zablokowana. Na przykład wtedy, gdy atak dotyczy firmy działającej na terenie USA (lub gdy osoba odpowiedzialna za realizację płatności jest obywatelem amerykańskim). We wrześniu 2021 r. amerykański Departament Skarbu przypomniał, że dokonywanie lub ułatwianie płatności okupu na rzecz cyberprzestępców jest nielegalne i może skutkować wszczęciem postępowania karnego. Kraje europejskie również rozważają wprowadzenie podobnych ograniczeń prawnych, to na razie są to tylko przymiarki, żadne takie rozwiązania nie weszły jeszcze w życie. Zapłacenie okupu może wydawać się rozsądnym wyjściem z sytuacji, lecz może też powodować nowe wyzwania prawne. Niezbędna jest dokładna znajomość ram prawnych oraz podmiotu stanowiącego zagrożenie, z którym się ma do czynienia.
Decydujący czynnik: Jeżeli wypłata okupu nie zagraża prawnie organizacji ani jej pracownikom, stanowi jedną z opcji rozwiązania sytuacji.
6. Czy możesz przystąpić do negocjacji?
Gdy firma uzna, że zapłacenie okupu jest jedynym rozsądnym rozwiązaniem, warto by, nim dojdzie do jego przekazania, zaangażowała profesjonalnych negocjatorów, którzy nawiążą bezpośredni kontakt z szantażystą. Dobry negocjator jest w stanie znacząco zmniejszyć kwotę, przykładem może być przypadek południowokoreańskiego dostawcy usług hostingowych firmy NAYANA. Pierwotnie hakerzy żądali 550 bitcoinów wartych wówczas ponad 1,6 mln USD (sytuacja miała miejsce w 2017 roku). NAYANA po negocjacjach z cyberprzestępcami zgodziła się zapłacić 397,6 bitcoinów (około 1,01 miliona dolarów) W niektórych przypadkach końcowa kwota wynosiła mniej niż połowę, a czasem nawet tylko jedną dziesiątą pierwotnie żądanej sumyIndeks górny 33. Należy jednak pamiętać, że niektóre grupy cyberprzestępcze grożą, iż jeśli ofiary wynajmą profesjonalnych negocjatorów, usuną klucz deszyfrujący, niszcząc tym samym wszelkie nadzieje na odzyskanie systemu. W takim przypadku do ocen ryzyka może się przydać wywiad dotyczący zagrożeń, który omówiliśmy powyżej.
Decydujący czynnik: Jeżeli nie ma możliwości kontaktu z osobami odpowiedzialnymi za szantaż, zapłata pełnej kwoty lub akceptacja kosztów odzyskiwania może okazać się jedynym wyjściem.
PRZECZYTAJ TAKŻE:
Uczyń cyberbezpieczeństwo strategicznym zasobem swojej firmy
Zmiana podejścia liderów do cyberbezpieczeństwa może zwiększyć odporność i przewagę biznesową – trzeba tylko zacząć traktować je jako źródło możliwości, a nie operacyjną konieczność.
Jeżeli Twoja organizacja stała się celem cyberprzestępców, zgłoś to odpowiednim władzom. Bez względu na to, co zdecydujesz się zrobić w sprawie zapłacenia okupu, zachęcamy do przekazywania informacji o każdym incydencie związanym z ransomware przedstawicielom władz. Nowe prawo w Stanach Zjednoczonych będzie wymagać od firm z sektorów uznawanych za infrastrukturę krytyczną niezwłocznego zgłaszania ataków do CISA. W Europie ogólne rozporządzenie o ochronie danych również zawiera obowiązek zgłaszania incydentów cybernetycznych.
Cyberataki mogą być analizowane skuteczniej, jeśli eksperci mają dostęp do informacji o podobnych zdarzeniach i współpracują z poszkodowanymi stronami. Ponadto w szybko zmieniającym się środowisku najlepszą okazją do nauki mogą być doświadczenia innych, a to wymaga ujawniania tych informacji. Istnieje już kilka inicjatyw mających na celu promowanie wymiany danych wywiadowczych w ramach zaufanej sieci współpracowników. Indeks górny 44
W idealnym świecie, ostatecznym rozwiązaniem epidemii ransomware byłoby niepłacenie cyberprzestępcom. Jednak wiele organizacji zmagających się z ekonomicznymi skutkami wirusa COVID‑19 lub ustalających priorytety budżetowe wokół inicjatyw związanych z transformacją cyfrową, niedostatecznie inwestuje w bezpieczeństwo cybernetyczne. Wydatki dotyczą głównie prewencji, zakupów programów antywirusowych czy wprowadzania wierzytelniania wieloetapowego, natomiast kwestie wykrywania zagrożenia, reakcji i odzyskiwania danych często schodzą na drugi plan. Dopóki każda organizacja nie zainwestuje w podniesienie poziomu bezpieczeństwa internetowego, liderzy będą musieli się pogodzić się z tym, że i ich firma może paść ofiarą ransomware, a następnie zaakceptować fakt, że zapłacenie okupu jest czasem jedynym wyjściem.
Nasz artykuł sugeruje, co można zrobić, by przygotować się na atak, co nie znaczy, że jeśli do niego dojdzie, będzie on mniej bolesny. Mamy jednak nadzieję, że pomoże on kadrze kierowniczej przygotować się na najgorsze i zachować spokój, gdy nadejdzie czas podejmowania decyzji.
PRZYPISY:
1. TrendMicro News, What Happens When Victims Pay Ransomware Attackers? [dostęp: kwiecięń 2022] .
2. Ransomware Guide, plik PDF (Waszyngton, D.C.: Cybersecurity and Infrastructure Security Agency and the Multi‑State Information Sharing and Analysis Center, wrzesień 2020 r.), www.cisa.gov; oraz Protecting Data From Ransomware and Other Data Loss Events: A Guide for Managed Service Providers to Conduct, Maintain, and Test Backup Files, plik PDF (Gaithersburg, Maryland: National Cybersecurity Center of Excellence at the National Institute of Standards and Technology, kwiecień 2020), www.nccoe.nist.gov, [dostęp: maj 2022]
3. P. Hack i Z. Wu, ’We Wait, Because We Know You. Inside the Ransomware Negotiation Economics”, NCC Group, https://research.nccgroup.com, [dostęp: luty 2022].
4. Ö. Işik, T. Jelassi, i V. Keller‑Birrer, „Five Lessons of Cybersecurity the Public Sector Can Offer”, European Business Review, publikacja wkrótce.
