69% firm na świecie, które zapłaciły w ciągu ostatniego roku okup cyberprzestępcom, zostało zaatakowanych ponownie.
Jak wynika z raportu firmy Veeam, zajmującej się ochroną danych i ich odzyskiwanema, pod presją czasu i z obawy przed konsekwencjami wiele przedsiębiorstw decyduje się ulec szantażystom – napisał Tomasz Krajewski, dyr. Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam.
Najskuteczniejszą formą ochrony przed skutkami ataku ransomware kompleksowa strategia odporności danych
To jednak nieskuteczna strategia: niemal co piąta badana firma (17%) mimo zapłaty i tak nie odzyskała swoich danych. Najskuteczniejszą formą ochrony przed skutkami ataku ransomware pozostaje kompleksowa strategia odporności danych oraz jasno zdefiniowana formalną procedurą podejmowania decyzji w sprawie zapłaty okupu. Jednak tylko 26% organizacji deklaruje, iż ją posiada.
Atak ransomware jest dla każdej firmy momentem o znaczeniu krytycznym
Infrastruktura przestaje działać, zespół ds. bezpieczeństwa pracuje pod presją, a przestępcy prowadzą w tym czasie grę psychologiczną stosując wyrafinowane metody socjotechniczne. Jak wskazuje raport Veeam, na sile przybierają ataki wykorzystujące tzw. podwójny szantaż. Cyberprzestępcy nie tylko szyfrują dane, ale je również wykradają, a następnie grożą ich ujawnieniem. Coraz częściej również „dwell time”, czyli czas między włamaniem się do infrastruktury firmowej a rozpoczęciem adekwatnego ataku, jest skrócony do mniej niż 24 godzin. W warunkach stresu i strachu przed skutkami prawnymi, finansowymi oraz wizerunkowymi cyberataku, wiele firm decyduje się spełnić żądania dotyczące płatności okupu.
Samonapędzająca spirala
Zapłata wcale jednak nie gwarantuje zakończenia problemu. Spośród podmiotów przebadanych w raporcie, które zdecydowały się przekazać pieniądze, 17% i tak nie było w stanie przywrócić swoich danych. Dodatkowo niemal siedem na dziesięć firm, które uległy szantażystom, padło ofiarą więcej niż jednego cyberincydentu. Zapłata okupu daje przestępcom jasny sygnał: jeżeli przedsiębiorstwo zachowało się tak raz, to istnieje duże prawdopodobieństwo, iż w razie kolejnego ataku również to zrobi. W dłuższej perspektywie działa to jak zaproszenie do powrotu, zarówno dla pierwotnych napastników, jak i ich naśladowców.
Każdy przelew wykonany na rzecz cyberprzestępców przyczynia się do rozwoju tego sektora i staje się źródłem dochodu pozwalającym finansować kolejne kampanie. Dlatego coraz więcej międzynarodowych instytucji wzywa do przerwania tej spirali. Działająca od 2021 roku organizacja Counter Ransomware Initiative (CRI) zrzesza 68 państw i koordynuje działania ograniczające skutki ataków ransomware oraz zniechęcające firmy do płacenia okupu. W niektórych krajach – m.in. Wielkiej Brytanii, a także w części stanów USA – wprowadzono regulacje prawne zabraniające płacenia okupu przez agencje sektora publicznego. Coraz częściej więc taka decyzja może oznaczać nie tylko konsekwencje biznesowe, ale także ryzyko naruszenia przepisów prawa.
Jeśli nie zapłata, to co pozostaje?
W obecnych realiach prowadzenia biznesu, gdy zagrożenie cyberatakiem to już nie kwestia „czy”, ani choćby „kiedy”, a „ile razy”, firmy muszą pamiętać, iż najlepszą formą ochrony przez skutkami incydentu bezpieczeństwa jest być na niego przygotowanym. Co to oznacza w praktyce?
Po pierwsze posiadanie kompleksowej strategii odporności danych oraz wyszczególnienie w niej dobrych praktyk zarządzania nimi, takich jak ich odpowiednie oznaczanie, lokalizacja i bezpieczne przechowywanie, a także regularne tworzenie i aktualizowanie kopii zapasowych. Czysty i bezpieczny backup wraz ze sprawdzonym i przez to szybkim procesem odzyskiwania danych to niezawodny sposób zwiększania poziomu ich odporności i ochrony całej firmy przed cyberatakami.
Aktywne działanie na rzecz wzmocnienia współpracy między działami IT i bezpieczeństwa w firmie
Istotne jest również aktywne działanie na rzecz wzmocnienia współpracy między działami IT i bezpieczeństwa w firmie. Ponad połowa podmiotów (52%) przebadanych przez Veeam wskazuje, iż obszar ten w ich przedsiębiorstwach wymaga gruntownej przebudowy. Kluczowa jest również edukacja nie tylko zespołów technicznych, ale wszystkich pracowników na temat ewoluujących zagrożeń.
To nie jest czas na panikę
Podstawowym elementem przygotowania na cyberatak powinien być playbook, czyli zestaw procedur i scenariuszy działania przed, w trakcie i po incydencie. W chwili największego stresu to właśnie ten dokument posłuży za narzędzie przemyślanej reakcji na zagrożenie. Dobra wiadomość jest taka, iż jak wskazuje raport Veeam, 98% firm posiada playbook. Jednocześnie mniej niż połowa z nich uwzględnia w nim najważniejsze elementy techniczne, jak weryfikacja kopii zapasowych i określenie częstotliwości ich wykonywania, alternatywna infrastruktura IT, gotowa do wykorzystania w razie awarii środowiska produkcyjnego czy plan izolowania lub odcięcia zagrożonych systemów, który pozwala ograniczyć rozprzestrzenianie się ataku – stwierdza na zakończenie Tomasz Krajewski.
