Platiť či neplatiť? Zopár faktov aj bez Hamleta

  • Press
Hoci rok 2022 naznačoval, že ransomvér ako útok je na ústupe, tak rok 2023 nám dal jasne najavo, že sa jednalo skôr o výnimku ako o pravidlo.
Platiť či neplatiť? Zopár faktov aj bez Hamleta
Pokles počtu útokov v roku 2022 bol zrejme spôsobený vojnovým konfliktom na Ukrajine a súhlasím s tvrdením bezpečnostných expertov „Ten, kto očakával dlhodobý trend ústupu ransomvérových útokov, nepochopil ich základnú motiváciu”.

Ak sa však už spoločnosť stala obeťou úspešného ransomvérového útoku, na rad prichádza otázka všetkých otázok: Platiť či neplatiť?

Keďže pre niektoré spoločnosti môže byť otázka výkupného priam Hamletovskou dilemou, myslím, že pred jej vyriešením je vhodné zvážiť nasledovné fakty.

Znehodnotené dáta.

V  niektorých prípadoch ransomvérových útokov bola väčšina súborov nad 64 kilobitov znehodnotených. Iný prieskum uvádza, že len polovica tých, čo zaplatili, sa dostala ku všetkým svojím dátam. Útočníci nie sú práve najdôslednejší, čo sa dátovej manipulácie týka. Prečo by aj boli? Ich motivácia je iná.

Motivácia útočníkov dostáť záväzkom je značne limitovaná.

Prečo by to aj robili, keď už dostali zaplatené? Ako aj vyplýva z teórie hier, pokiaľ ide o „hru” s konečným počtom opakovaní – čo v tomto prípade je jedno, protistrana je silno motivovaná sa správať nečestne, aby pri tejto jednokolovej výmene maximalizovala svoj úžitok. O samotnej cnosti útočníkov, verím, že nemusíme ani len diskutovať.

Stávate sa potenciálnym cieľom ďalších útokov.

Informácia o tom, ktoré spoločnosti sú ochotné zaplatiť a ktoré nie, sa šíri aj v komunitných kruhoch týchto, dnes už organizovaných skupín. Takouto platbou by ste sa poľahky mohli nominovať do neželanej ligy. A čo viac, pravdepodobne by útočníci neskončili pri jednej transakcii.

Viacnásobné vydieranie.

Ak útočníci zistia, že ste ochotní zaplatiť, úvodná platba môže predstavovať len jednu z mnohých. V tomto smere útočníci vedia byť kreatívni a ďalšie platby si môžu pýtať za ďalšie dáta, či za to, že ich nezverejnia, keďže ich pred šifrovaním mohli odcudziť.  Ekonomické problémy vo vlastných radoch však môžu predstavovať len časť vašich problémov.

Pokuty zo strany regulátorov.

Úrad pre kontrolu zahraničných aktív (U.S. Treasury Department’s Office of Foreign Assets Control  – OFAC) vydal jasné stanovisko, keď pridal ransomvér ako druh kybernetickej hrozby na sankčný zoznam. V rámci tohto zoznamu tak môže pokutovať subjekty, ktoré útočníkov podporujú. Hoci je toto rozhodnutie zameraná na subjekty pod jurisdikciou USA, pri dnešnom globalizovanom svete je nutné zvážiť aj túto skutočnosť.

Samotné výkupné pritom nepredstavuje jediné náklady, ktoré spoločnosť musí vynaložiť na čo najefektívnejšie zotavenie sa z útoku. Napríklad americký gigant MGM vo svojej finančnej správe vyčíslil škody spôsobené ransomvérovým útokom na 100 miliónov dolárov. Výkupné, samozrejme, odmietol zaplatiť a jeho výška nie je známa.

Ak je v kybernetickej bezpečnosti zrejmé, že prevencia je oveľa lacnejšia ako neskoršie riešenie incidentu, tak v prípade ransomvérových útokov toto pravidlo platí dvojnásobne.

Tak ako v každom prípade potenciálneho kybernetického útoku, je vhodné zastaviť ho čo najskôr spolu so sprievodnými vektormi. Preto nie je na škodu si spraviť proaktívne cvičenie odolnosti proti ransomvérovým útokom napríklad s pomocou modelu Cyber Kill Chain od spoločnosti Lockheed Martin, ktorý definuje a popisuje jednotlivé fázy útoku.

Michal Srnec vedúci oddelenia informačnej bezpečnosti Aliter Technologies.

 

ZDROJ: Hospodárske noviny