Jednym z najpoważniejszych zagrożeń w cyberprzestrzeni pozostają ataki ransomware na biznes. Ich ofiary stają przed trudnym dylematem: płacić szantażystom czy nie?
Podczas wojny w Ukrainie nasiliły się cyberataki. Jak wynika z ostatniego raportu CyberPeace Institute, w ostatnim kwartale 2022 r. nastąpił 368-proc. wzrost liczby ataków na kraje niebędące stroną konfliktu, spośród których najczęściej ich ofiarą padała Polska. Liczba incydentów w naszym kraju zwiększyła się o ponad 169 proc., łącznie było ich 70. Ataki dotyczą sektorów infrastruktury krytycznej. Dochodzi do nich również w administracji publicznej, sektorach finansowym i medialnym. Warto przypomnieć, że w Polsce obowiązuje trzeci stopień alertu Charlie-CRP, który jest wprowadzany w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny atak o charakterze terrorystycznym w cyberprzestrzeni lub uzyskania wiarygodnych informacji o planowanym zdarzeniu.
Nasilenie ataków podczas wojny potwierdza szerszy trend, jakim jest wzrost zagrożeń w cyberprzestrzeni.
Eksperci zwracają uwagę, że w obecnej sytuacji szczególną czujność powinny zachować mniejsze organizacje. To one najczęściej stają się obiektami cyberataków. Jak wynika z raportu firmy ESET poświęconego bezpieczeństwu cyfrowemu małych i średnich firm, ponad dwie trzecie z 1200 ankietowanych podmiotów z sektora MSP, wśród których 59 proc. pochodziło z Polski, doświadczyło w 2022 r. incydentu związanego z bezpieczeństwem IT. Średni koszt z tego tytułu przekroczył 1 mln zł.
Wśród największych zagrożeń, zarówno dla małych, jak i dużych firm, pozostają ataki ransomware, podczas których cyberprzestępcy blokują dane i żądają okupu za rozszyfrowanie lub haraczu za to, że ich nie ujawnią.
Jak postąpić podczas ataku ransomware? Czy zgodnie z oczekiwaniami szantażystów zapłacić okup?
– Atak ransomware to dla cyberprzestępców sytuacja win-win. Jeżeli zaatakowana firma zdecyduje się opłacić okup, wygrali, ponieważ uzyskali znaczną sumę pieniędzy. Jeżeli organizacja nie zapłaci przestępcom, wtedy prawdopodobnie jej dane zostaną sprzedane w tzw. darknecie, co również przyniesie korzyść finansową przestępcom – tłumaczy Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Jak pokazują badania, aż 80 proc. zaatakowanych firm decyduje się na zapłacenie szantażystom. Okazuje się jednak, że 21 proc. organizacji, które wpłaciły żądany okup, nie powstrzymało przestępców przed publikacją danych.
W tym roku na celownik cyberprzestępców trafiły m.in. największa na świecie franczyzowa rozlewnia Coca-Coli FEMSA, Sony czy Royal Mail. W Polsce został zaatakowany m.in. system Śląskiej Karty Usług Publicznych.
Rozlewnia Coca-Coli zdecydowała się zapłacić okup, który ostatecznie wyniósł 1,5 mln dol., zamiast żądanych 12 mln dol.. Inaczej zachował się Royal Mail. Instytucja nie zdecydowała się zapłacić szantażystom, co zaowocowało opublikowaniem skradzionych danych.
– I tu właśnie widać sedno problemu: ransomware wykorzystują przestępcy, czyli osoby, które nagminnie i celowo łamią zasady. Czasami wydaje się, że zapłacenie im to jedyny sposób, aby uniknąć dużego kryzysu lub strat biznesowych przewyższających żądaną sumę pieniędzy. Jednak nikt nie może zagwarantować nam, że po wpłaceniu okupu otrzymamy z powrotem dostęp do naszych danych, a one same nie zostaną sprzedane lub opublikowane. Co więcej, opłacając okupy, firmy przyczyniają się do rozwoju cyberprzestępczości, ponieważ sprawiają, że takie działania są opłacalne – zauważa Kamil Sadkowski.
Czasami okupy bywają opłacane z polis ubezpieczeniowych. Warto jednak pamiętać, że w takich sytuacjach zwykle ubezpieczyciele podnoszą firmom składki. Poza tym coraz więcej firm ubezpieczeniowych decyduje się na wyłączenie ransomware ze swoich pakietów ochronnych.
Jak zatem postąpić po ataku ransomware? Eksperci doradzają, by w pierwszej kolejności odłączyć zaatakowane urządzenie od reszty sieci. W praktyce oznacza to natychmiastowe odłączenie go od prądu. Kolejnym krokiem powinno być zdobycie jak największej wiedzy o ataku, czyli o tym, jak został zainicjowany, jak się rozprzestrzenia i czy jest możliwe odzyskanie danych z kopii zapasowych. Następnie należy podjąć decyzję, czy nie wstrzymać na pewien czas procesów biznesowych. Takie działania, jak wskazują eksperci, mogą zdecydowanie ograniczyć zasięg ataku.
Należy również bezzwłocznie zaktualizować systemy bezpieczeństwa i pozostałe oprogramowanie na wszystkich sprzętach działających w firmie, nie zapominając o urządzeniach mobilnych.
– Najlepiej jednak byłoby nigdy nie musieć zadawać sobie pytania: „Płacić czy nie płacić?”. W tym celu warto na bieżąco dbać o zabezpieczenia w firmie. Najistotniejsze są tu właśnie aktualizacje zarówno programów zabezpieczających, jak i wszystkich innych systemów, które działają na firmowych urządzeniach. To właśnie na tego rodzaju luki bezpieczeństwa czyhają przestępcy i są w stanie szybko je wykorzystać – komentuje Kamil Sadkowski.
Warto również używać wielowarstwowych rozwiązań zabezpieczających, które mogą wykryć i zablokować atak. Technologia ESET wykorzystuje w tym celu zaawansowane uczenie maszynowe, chroniąc setki tysięcy firm na całym świecie. Nie wolno zapominać o szkoleniu swoich pracowników w zakresie identyfikacji oszustw internetowych. Kluczowe jest również tworzenie kopii zapasowych danych i stosowanie strategii odzyskiwania ich po ewentualnej awarii czy ataku.
Eksperci zauważają, że złośliwe oprogramowanie może zaatakować urządzenia osobiste, takie jak komputery i smartfony, a także sieci firmowe. Rozprzestrzenia się na różne sposoby, np. przez e-maile. Okazją dla przestępców jest również niezaktualizowane oprogramowanie. Moment, w którym widzimy powiadomienie o koniecznej aktualizacji i klikamy przycisk „przypomnij mi później”, to otwarcie drzwi cyberprzestępcom.
Jak w wielu innych sytuacjach życiowych sprawdza się tu maksyma: lepiej zapobiegać niż leczyć. Aby zminimalizować ryzyko ataku ransomware, nie warto chodzić na skróty. Najlepszą ochroną są: kompleksowe podejście do cyberbezpieczeństwa i proaktywne działania w tym zakresie oraz traktowanie tego jak nieodłącznego elementu rozwoju biznesu.