Rozumiem, dlaczego Ciaran Martin zajął stanowisko, które reprezentuje kontrole prawne dotyczące płatności za oprogramowanie ransomware, a logika stojąca za tą propozycją jest prosta: gangi przestępcze to biznes, który wykorzystuje ataki systemu ransomware do generowania przychodów. Jak każdy biznes działają na zasadzie zwrotu z inwestycji (RoI). jeżeli zatem ataki ransomware konsekwentnie nie przynoszą żadnych korzyści, nie będą one opłacalne, a osoby się w nie angażujące zajmą się czymś innym.
Nie wspominając, iż gangi ransomware stają się coraz bardziej zachłanne. Nie tak dawno temu wydawało się, iż panuje wśród nich niemal poczucie honoru. Kilka prominentnych gangów publicznie zobowiązało się nie atakować organizacji opieki zdrowotnej podczas pandemii Covid-19, Na przykład. Jednak informacja doradcza wydany przez FBI w lutym dla szpitali w USA podkreśla, iż był to w najlepszym razie tymczasowy rozejm, ostrzegając, iż gangi zajmujące się oprogramowaniem ransomware atakują szczególnie amerykańskie szpitale.
Organizacje, które płacą okup, również prawdopodobnie staną się ponownie celem. Z szacunków NCSC wynika, iż około jedna trzecia wszystkich organizacji dotkniętych oprogramowaniem ransomware zostaje ponownie zaatakowana, a niektóre z nich doświadczają wielu ataków w ciągu roku.
I wreszcie, nie ma gwarancji, iż zapłacenie okupu w ogóle pozwoli Ci odzyskać pliki. Po pierwsze, przestępcy mogą nie grać fair. Po drugie, mogą zdecydować się na podwojenie lub choćby potrojenie okupu – być może będziesz musiał zapłacić za odszyfrowanie plików, zapłacić za nieudostępnianie plików w ciemnej sieci, a choćby zapłacić przestępcom nie mówić swojemu regulatorowi lub do Biura Komisarzy ds. Informacji (ICO) o Twoim naruszeniu.
To tylko niektóre argumenty za niepłaceniem. Jednak sprawa nie jest taka oczywista. Wyobraź sobie scenariusz, w którym Twoja firma staje się ofiarą ataku systemu ransomware i staje w obliczu egzystencjalnego zagrożenia. Pojawia się dylemat, czy zapłacić, czy odmówić, ryzykując zamknięcie firmy i utratę pracy. choćby jeżeli atak może nie zakończyć bezpośrednio Twojej organizacji, może to spowodować czas potrzebny na odzyskanie sił. Spójrz na przykład Biblioteki Brytyjskiej – zostali skutecznie zaatakowani w październiku 2023 r., a według stanu na marzec 2024 r. przez cały czas nie wrócili do pełnej obsługi – dostęp do wielu ich usług online jest ograniczony i szacują, iż pełne przywrócenie działania może zająć choćby 12 miesięcy.
Należy wziąć pod uwagę także aspekty praktyczne. Gdyby płatności okupu zostały uznane za przestępstwo, mogłoby to zniechęcić organizacje do zgłaszania takich incydentów, spychając nielegalne praktyki jeszcze głębiej do podziemia i utrudniając organom ścigania śledzenie i zajęcie się nimi. Podobnie jak zachęca się poszczególne osoby do zgłaszania napotkanych ataków socjotechnicznych; firmy muszą także czuć się bezpiecznie, zgłaszając incydenty związane z oprogramowaniem ransomware bez obawy przed karami.
Zarówno NCSC, jak i ICO proszą obecnie, aby choćby jeżeli masz zamiar zapłacić okup, informować ich o tym, szczególnie dzieląc się informacjami na temat wskaźników kompromisu (IoC) lub tego, jak atak się powiódł. Jedną z niewielu dobrych rzeczy, które wynikły z ataku na Bibliotekę Brytyjską, jest szczegółowy raport na temat sposobu, w jaki zostali zaatakowanico może jedynie pomóc organizacjom w przyszłości.
Jak skutecznie ograniczyć liczbę ataków ransomware? Prawda jest taka, iż jako ludzie jesteśmy podatni na błędy, które mogą zostać wykorzystane przez cyberprzestępców. Chociaż szkolenie w zakresie bezpieczeństwa może zminimalizować te błędy poprzez zachęcanie poszczególnych osób do większej ostrożności, błędów ludzkich nigdy nie da się wyeliminować.
Bardziej zrównoważone podejście polega na skupieniu się na wielowarstwowej obronie, kładąc nacisk na bezpieczeństwo w projektowaniu i praktykach higienicznych. Wiąże się to z integracją środków bezpieczeństwa na każdym poziomie działalności organizacji, co utrudnia cyberprzestępcom wykorzystanie luk w zabezpieczeniach.
Należy uwzględnić zasady projektowania sieci, takie jak zasada zerowego zaufania, aby umożliwić szybką izolację zainfekowanych maszyn oraz ograniczyć i powstrzymać wewnętrzne rozprzestrzenianie się systemu ransomware i innego złośliwego oprogramowania. Sztuczna inteligencja (AI) może również odegrać rolę we wzmacnianiu bezpieczeństwa cybernetycznego. Na przykład dopasowywanie nietypowych wzorców zachowań umożliwiłoby systemom szybką identyfikację i izolowanie nietypowych wzorców zachowań. Na przykład raport IBM X-Force z 2023 r. sugeruje, iż algorytmy uczenia maszynowego osiągnęły aż 85% skuteczność w identyfikowaniu ataków systemu ransomware na podstawie analizy wzorców ruchu sieciowego. Dzięki szybkiej identyfikacji i reagowaniu na nietypowe działania, takie jak nagłe szyfrowanie dużych ilości danych, można skuteczniej złagodzić skutki ataku ransomware.
Zasadniczo kluczem do poradzenia sobie z atakami systemu ransomware może nie być wyłącznie zakazanie płatności. Zamiast tego skuteczniejszym rozwiązaniem mogłoby być połączenie strategii, w tym solidnych środków bezpieczeństwa, przejrzystości, ciągłego kształcenia i wykorzystania technologii sztucznej inteligencji.
John Scott jest głównym badaczem bezpieczeństwa cybernetycznego w firmie KulturaAI
