Ataki typu ransomware dotykają bardzo wielu przedsiębiorstw i to nie tylko tych, które działają w dużej skali. Jak na nie reagować?
Czy płacić okup? Myślę, że nie ma jednoznacznej odpowiedzi na to pytanie. Każdy przypadek jest inny i do każdego przypadku należy podchodzić indywidualnie.
Nie ulega wątpliwości, że każde żądanie zapłacenia okupu jest naruszeniem prawa. Warto jednak od razu zaznaczyć, że zapłacenie okupu sprzeczne z prawem nie jest. Z drugiej jednak strony samo zapłacenie okupu nie gwarantuje, że atakujący przywróci dane do „stanu używalności” lub udostępni narzędzie do deszyfrowania.
Płacąc – sponsorujesz przestępcę
Płacąc okup, ofiary pośrednio finansują działalność przestępczą i potencjalnie sponsorują dalsze działanie przestępcze, nie mając przy tym żadnej pewności, że rzeczywiście przestępcy postępowali tak jak deklarują z naszymi danymi, na przykład czy tylko zaszyfrowano system. Może przy okazji również wykradziono dane? Może je skasowano? Ofiara nie ma też żadnej gwarancji, że nie pojawią się następne żądania lub eskalacja związana z wysokością okupu.
Z danych wynika, że tylko stosunkowo niewielki odsetek podmiotów dotkniętych atakiem ransomware, płacąc okup, odzyskują pełny dostęp do swoich danych.
Dlaczego zaatakowane podmioty płacą okup?
Główną przyczyną płacenia okopu jest przeświadczenie ofiar cyberataku, że jest to jedyny sposób dający szansę (czyli odpowiednio duże prawdopodobieństwo) szybkiego odzyskania dostępu do danych, niezbędnych do prowadzenia działalności. Ofiary ataku często też po prostu nie mają odpowiednich kontaktów i nie znajdują podmiotu, który szybko i skutecznie pomoże im w takiej sytuacji.
Pośrednie przyczyny takiego stanu rzeczy to:
- prawo dające narzędzia ochronne cyberprzestrzeni, nie nadąża za postępem w telekomunikacji i informatyce,
- organy ścigania i wymiar sprawiedliwości w dalszym ciągu nie posiadają wystarczającej liczby specjalistów do walki z cyberprzestępczością, a powinni być tam zatrudnieni najlepsi z najlepszych.
- problemy z interpretacją – łatwo stwierdzić kradzież samochodu, ale jak to jest z kradzieżą danych, skoro złodziej „tylko” skopiował bazę danych, a oryginalna baza pozostała w dotychczasowej lokalizacji? W praktyce pewien poszkodowany przedsiębiorca miał problem z wyjaśnieniem sędziemu, iż mimo, że baza danych w dalszym ciągu jest na serwerze to miało miejsce skopiowanie tej bazy, czyli właśnie kradzież,
- nie bez winy są również podmioty, które są ofiarami cyberprzestępców, w których bezpieczeństwo często jest traktowane jako coś wymyślonego przez specjalistów od tych spraw, hołduje się zasadzie: nieszczęście może spotkać ICH ale nie NAS, mimo, że normy, przepisy prawa powszechnego określają zasady ochrony informacji, to niewiele podmiotów stosuje te zasady (na przykład stosowanie bezpiecznej kopii zapasowej, które skutecznie chroni przed ransomware).
Nie zostawiajmy otwartych drzwi
Zgłaszając organom ścigania cyberatak na własną firmę system, musimy też liczyć się z pytaniami dotyczącymi sposobu zabezpieczenia zaatakowanego systemu. Jeśli nie wykażemy sposobu zabezpieczenia, możemy być potraktowani jak właściciel domu, w którym nie zamknięto drzwi. Co więcej w przypadku przedsiębiorcy telekomunikacyjnego, który jest prawnie zobligowany do pewnych działań z zakresu cyberbezpieczeństwa, może się okazać, że zaatakowany podmiot woli zapłacić okup niż narazić się na konsekwencje prawne wynikające z niedopełnienia takich obowiązków.
Wdrażając zasady bezpieczeństwa nie powinniśmy też działać po najniższych kosztach. Na ogół tanio, nie znaczy dobrze!
Metafora otwartych drzwi wskazuje też jasno, że zabezpieczać swoją firmę (nie tylko telekomunikacyjną) należy przed, a nie po cyberataku. Sposób określony w normach oraz przepisach prawa powszechnego to tylko niezbędne minimum.
Podsumowując rozważania podkreślę więc raz jeszcze; należy robić wszystko, aby nie płacić okupu cyberprzestępcom. Najlepiej zaś robić to zanim jakikolwiek incydent nas dotknie.
Czytaj także: