Czy firmy powinny płacić okup cyberprzestępcom?

Czy firmy powinny płacić okup cyberprzestępcom?27.07.2021 14:14
Źródło zdjęć: © Pixabay

Płacić czy nie płacić – oto jest pytanie… warte nawet miliony złotych. Ransomware to słowo, które spędza sen z powiek setkom szefów działów IT na całym świecie. Ataki za pomocą tzw. oprogramowania wymuszającego okup są coraz częstsze, a ich liczba rośnie z roku na rok.

W tym roku byliśmy już świadkami kilkuset ataków, w tym tych najgłośniejszych i najbardziej zuchwałych na firmy CD Projekt RED, Kaseya czy Colonial Pipeline w Stanach Zjednoczonych. Warto jednak pamiętać, że większość tego typu zdarzeń nie trafia na pierwsze strony gazet.

Ryzyko zapłaty

„Mamy kontrolę nad wszystkimi twoimi danymi. Zapłać X bitcoinów, a my je odblokujemy”. Nie ma prostej odpowiedzi na tak postawione żądanie – nie mamy tu bowiem do czynienia z sytuacją zero-jedynkową – „nigdy nie płacić okupu” kontra „po prostu zapłacić okup”. Jak podkreślają specjaliści, można znaleźć argumenty zarówno „za” jak i „przeciw” płaceniu cyberprzestępcom. Każdy tego typu incydent należy jednak przeanalizować osobno.

„Patrząc na sprawę z dystansu – wyobraźmy sobie, że firma X decyduje się na zapłatę. W ten sposób bezpośrednio finansuje nielegalne działania przestępców. Pośrednio pokazuje zaś, że ufa tym, którzy właśnie włamali się do jej sieci i uczynili z niej zakładnika. Nie ma przecież gwarancji, że po wpłaceniu okupu intruzi odblokują dane. Jeśli nawet to uczynią, wciąż trzeba będzie stawić czoła kolejnym zagrożeniom. Dzisiaj w szczególności duże firmy z reguły jednak decydują się zapłacić. Na tę sytuację powoli negatywnie zaczynają reagować ubezpieczyciele, którzy podnoszą składki” wyjaśnia Łukasz Bromirski, ekspert Cisco odpowiedzialny za rozwój produktów z obszaru cyberbezpieczeństwa.

Po pierwsze, zapłacenie okupu nie sprawi, że cyberprzestępcy samoistnie znikną z zaatakowanego środowiska. Płatność nie naprawi również błędów w zabezpieczeniach, a to przecież za ich sprawą atakującym udało się zdobyć przyczółek w sieci. W większości wypadków, cyberprzestępcy nie dzielą się nawet wiedzą jak udało im się włamać, a nawet jeśli to zrobią – na ile można im ufać, że podzielili się wszystkimi informacjami? Zaatakowana organizacja nie ma pewności czy faktycznie poznała wszystkie możliwe do wykorzystania furtki . Cyberprzestępcy na pewno skorzystają z kolejnej okazji, jeżeli taka się nadarzy.

Po drugie, biznesowa zasada mówi, że łatwiej jest generować przychody z istniejących klientów, niż szukać nowych. Ta prawidłowość ma zastosowanie również wśród hakerów. Nawet bez sprawdzonej ścieżki ataku, wykonali już mapowanie sieci, aplikacji i być może mają znacznie więcej danych i dostępów, niż przyznają. Przykładowo pełną listę kont z uprawnieniami administratora, do których hasła już złamali, albo złamią w ciągu najbliższych godzin czy dni. Mogą chcieć ponownie „spróbować szczęścia” z tą samą organizacją.

Po trzecie, nigdy nie można mieć pewności, że odblokowane dane nie zostały przypadkowo uszkodzone. Zawsze coś może pójść nie tak, nawet jeśli atakujący za pomocą oprogramowania ransomware stara się postępować „zgodnie ze sztuką”. Przypadki, gdy „oprogramowanie odszyfrowujące” lub po prostu klucz wpisany do złośliwego oprogramowania uszkadzał pliki w wyniku zwykłych ludzkich błędów programistycznych (cyberprzestępca-programista to nadal „tylko” programista) są liczne.

„W efekcie kwota okupu to tak naprawdę tylko jeden z pierwszych kosztów. Zaatakowana firma będzie musiała ponieść też inne nakłady finansowe, począwszy od gruntownego audytu, łatania platform IT w celu usunięcia pierwotnej przyczyny włamania (jeśli jest znana) czy wreszcie organizacji szkoleń z zakresu cyberbezpieczeństwa jeśli wektorem ataku był np. udany phishing. W przeciwnym razie (choć gwarancji nie ma przecież nigdy), firma znowu padnie ofiarą ataku i stanie przed tym samym wyborem: płacić okup czy nie” – podkreśla Łukasz Bromirski z Cisco.

Okup to ostateczność

Zapłacenie okupu powinno być ostatecznością dla każdej ofiary cyberprzestępstwa. Zrozumiałe jest jednak, że niektórzy decydują się na zapłatę, ponieważ w wielu przypadkach stanowi to realnie niewielki procent całkowitych kosztów naprawy sytuacji. Na przykład, w zeszłym roku miasto Atlanta w Stanach Zjednoczonych wydało około 17 milionów dolarów na przywrócenie systemów po ataku ransomware, podczas gdy napastnicy początkowo zażądali okupu w wysokości 52 tys. dolarów.

To oczywiste, że przypadki włamań mających poważne konsekwencje społeczne lub potencjalnie wpływających na bezpieczeństwo ludzi będą stanowiły silniejszy bodziec do zapłaty.

Bycie „nieatrakcyjnym” to zaleta

Czy to się komuś podoba, czy nie, kiedy organizacja pada ofiarą ataku ransomware i zdecyduje się zapłacić, staje się partnerem biznesowym cyberprzestępców. Ludzi, których tożsamość pozostaje anonimowa i najprawdopodobniej nie zostaną pociągnięci do odpowiedzialności przez organy ścigania. W momencie, gdy już doszło do ataku, to cyberprzestępcy trzymają w ręku wszystkie karty. Każda firma chciałaby uniknąć powyższego scenariusza, dlatego warto przedsięwziąć kilka kroków zaradczych.

Eksperci Cisco radzą, aby spojrzeć na swoją firmę tak, jak zrobiłby to napastnik. Dzięki temu można łatwiej dostrzec słabe punkty w ramach całej architektury IT. Kolejny krok to ustalenie priorytetów i zniwelowanie podatności na atak. „Cyberprzestępców przyciąga łatwy i szybki zarobek – okazując się drogim i trudnym celem, stajemy się nieatrakcyjni. I to się opłaca” – podpowiada Łukasz Bromirski.

Zdaniem specjalistów Cisco nigdy nie wolno zakładać, że jesteśmy w pełni chronieni przed hakerami. Warto wziąć poprawkę na to, że nawet najlepsza architektura, jeśli zostanie zaatakowana, może nie wytrzymać takiej próby. Wtedy niezbędny okaże się przygotowany wcześniej plan awaryjny obejmujący utrzymanie procesów i odtworzenie kopii zapasowych dotyczących wszystkich najistotniejszych obszarów działania organizacji - takich jak dział prawny, dział kadr i finansów, IT, zespoły produkcyjne czy w końcu zarząd.

„Do tego, warto przeprowadzać testy z realnej skuteczności swoich planów – często okazuje się, że drobne pomyłki czy przeoczenia mogą być opłakane w skutkach, a cały misternie budowany plan runie jak domek z kart” – radzi i ostrzega ekspert Cisco.

Grupa do zadań specjalnych

Departament Sprawiedliwości Stanów Zjednoczonych, Europol oraz kilka największych firm technologicznych na świecie, w tym Cisco, utworzyły grupę zadaniową ds. oprogramowania ransomware, aby zwalczać problem u źródła. Inicjatorzy przedsięwzięcia zgodnie uznali, że współpraca międzynarodowa i publiczno-prywatna mają kluczowe znaczenie dla osiągnięcia tego celu.

„Musimy skierować nasze wysiłki na to, by jak najlepiej zrozumieć, w jaki sposób działają twórcy oprogramowania ransomware. Naszym celem nadrzędnym jest ostateczne rozbicie grup cyberprzestępczych zajmujących się oprogramowaniem służącym do wymuszania okupu oraz odstraszenie ich potencjalnych następców. Oczywiście nie jest to zagadnienie banalne, ale każda działalność podnosząca „koszt” po stronie atakujących to większa szansa dla obrońców.

Rozsądna architektura bezpieczeństwa to pierwszy krok. Dobrze przygotowany zespół to kolejny etap. Ważne jest również wsparcie specjalistów posiadających szeroką wiedzę o zagrożeniach, która pochodzi z używanych w firmie systemów. Większość atakujących wycofa się po pierwszych niepowodzeniach. Znamy również przypadki firm, w których doszło do włamania, ale dzięki wykorzystaniu najlepszych praktyk bezpieczeństwa (segmentacja sieci, uwierzytelnianie wieloskładnikowe, zasada ograniczonych uprawnień w myśl filozofii „zerowego zaufania”) miało ono tak ograniczony zasięg, że atakujący rezygnowali z dalszych prób złamania zabezpieczeń” – podsumowuje Łukasz Bromirski z Cisco.

Więcej na ten temat można dowiedzieć się, sięgając do wpisu na blogu Cisco Talos, największej na świecie komercyjnej organizacji zajmującej się badaniem zagrożeń w sieci.

Źródło artykułu:dobreprogramy
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na