Czy firmy powinny płacić okup cyberprzestępcom?

 

W tym roku byliśmy już świadkami kilkuset ataków, w tym tych najgłośniejszych i najbardziej zuchwałych na firmy CD Projekt RED, Kaseya czy Colonial Pipeline w Stanach Zjednoczonych. Warto jednak pamiętać, że większość tego typu zdarzeń nie trafia na pierwsze strony gazet.

Ryzyko zapłaty

„Mamy kontrolę nad wszystkimi twoimi danymi. Zapłać X bitcoinów, a my je odblokujemy”.

Nie ma prostej odpowiedzi na tak postawione żądanie – nie mamy tu bowiem do czynienia z sytuacją zero-jedynkową – „nigdy nie płacić okupu” kontra „po prostu zapłacić okup”. Jak podkreślają specjaliści, można znaleźć argumenty zarówno „za” jak i „przeciw” płaceniu cyberprzestępcom. Każdy tego typu incydent należy jednak przeanalizować osobno.


< BR> Po pierwsze, zapłacenie okupu nie sprawi, że cyberprzestępcy samoistnie znikną z zaatakowanego środowiska. Płatność nie naprawi również błędów w zabezpieczeniach, a to przecież za ich sprawą atakującym udało się zdobyć przyczółek w sieci. W większości wypadków, cyberprzestępcy nie dzielą się nawet wiedzą jak udało im się włamać, a nawet jeśli to zrobią – na ile można im ufać, że podzielili się wszystkimi informacjami? Zaatakowana organizacja nie ma pewności czy faktycznie poznała wszystkie możliwe do wykorzystania furtki . Cyberprzestępcy na pewno skorzystają z kolejnej okazji, jeżeli taka się nadarzy.

Po drugie, biznesowa zasada mówi, że łatwiej jest generować przychody z istniejących klientów, niż szukać nowych. Ta prawidłowość ma zastosowanie również wśród hakerów. Nawet bez sprawdzonej ścieżki ataku, wykonali już mapowanie sieci, aplikacji i być może mają znacznie więcej danych i dostępów, niż przyznają. Przykładowo pełną listę kont z uprawnieniami administratora, do których hasła już złamali, albo złamią w ciągu najbliższych godzin czy dni. Mogą chcieć ponownie „spróbować szczęścia” z tą samą organizacją.

Po trzecie, nigdy nie można mieć pewności, że odblokowane dane nie zostały przypadkowo uszkodzone. Zawsze coś może pójść nie tak, nawet jeśli atakujący za pomocą oprogramowania ransomware stara się postępować „zgodnie ze sztuką”. Przypadki, gdy „oprogramowanie odszyfrowujące” lub po prostu klucz wpisany do złośliwego oprogramowania uszkadzał pliki w wyniku zwykłych ludzkich błędów programistycznych (cyberprzestępca-programista to nadal „tylko” programista) są liczne.



Okup to ostateczność

Zapłacenie okupu powinno być ostatecznością dla każdej ofiary cyberprzestępstwa. Zrozumiałe jest jednak, że niektórzy decydują się na zapłatę, ponieważ w wielu przypadkach stanowi to realnie niewielki procent całkowitych kosztów naprawy sytuacji. Na przykład, w zeszłym roku miasto Atlanta w Stanach Zjednoczonych wydało około 17 milionów dolarów na przywrócenie systemów po ataku ransomware, podczas gdy napastnicy początkowo zażądali okupu w wysokości 52 tys. dolarów.

To oczywiste, że przypadki włamań mających poważne konsekwencje społeczne lub potencjalnie wpływających na bezpieczeństwo ludzi będą stanowiły silniejszy bodziec do zapłaty.

Bycie „nieatrakcyjnym” to zaleta

Czy to się komuś podoba, czy nie, kiedy organizacja pada ofiarą ataku ransomware i zdecyduje się zapłacić, staje się partnerem biznesowym cyberprzestępców. Ludzi, których tożsamość pozostaje anonimowa i najprawdopodobniej nie zostaną pociągnięci do odpowiedzialności przez organy ścigania. W momencie, gdy już doszło do ataku, to cyberprzestępcy trzymają w ręku wszystkie karty. Każda firma chciałaby uniknąć powyższego scenariusza, dlatego warto przedsięwziąć kilka kroków zaradczych.

Eksperci Cisco radzą, aby spojrzeć na swoją firmę tak, jak zrobiłby to napastnik. Dzięki temu można łatwiej dostrzec słabe punkty w ramach całej architektury IT. Kolejny krok to ustalenie priorytetów i zniwelowanie podatności na atak.



Zdaniem specjalistów Cisco nigdy nie wolno zakładać, że jesteśmy w pełni chronieni przed hakerami. Warto wziąć poprawkę na to, że nawet najlepsza architektura, jeśli zostanie zaatakowana, może nie wytrzymać takiej próby. Wtedy niezbędny okaże się przygotowany wcześniej plan awaryjny obejmujący utrzymanie procesów i odtworzenie kopii zapasowych dotyczących wszystkich najistotniejszych obszarów działania organizacji - takich jak dział prawny, dział kadr i finansów, IT, zespoły produkcyjne czy w końcu zarząd.



Grupa do zadań specjalnych

Departament Sprawiedliwości Stanów Zjednoczonych, Europol oraz kilka największych firm technologicznych na świecie, w tym Cisco, utworzyły grupę zadaniową ds. oprogramowania ransomware, aby zwalczać problem u źródła. Inicjatorzy przedsięwzięcia zgodnie uznali, że współpraca międzynarodowa i publiczno-prywatna mają kluczowe znaczenie dla osiągnięcia tego celu.


Źródło: Cisco