Jak możesz chronić swój biznes przed ransomware?

Image by Freepik

1. Wstęp

Ataki typu ransomware niestety nie odeszły do lamusa. Ransomware to połączenie słów z j.ang. ransom - “okup” i software - “oprogramowanie” - jest to nic innego jak rodzaj złośliwego oprogramowania, które uniemożliwia korzystanie z systemu komputerowego lub zgromadzonych w nim danych. Najczęściej dane są szyfrowane, a dostęp do nich jest możliwy jedynie po zapłaceniu okupu.

Ostatnio w naszym kraju głośno było o wycieku danych zarówno klientów, jak i pracowników z laboratorium ALAB . O ile tutaj przestępcy nie zablokowali systemów, szyfrując dane, o tyle zażądali okupu za to, że tych danych nie opublikują w internecie. Z całej historii wynika, iż ALAB nie zapłaciło, a skradzone dane zostały upublicznione.

Na chwilę obecną nie wiadomo, w jaki sposób doszło do wycieku, czy zawinił system, czy człowiek. Jedno jest pewne, zabezpieczać się trzeba oraz inwestować nie tylko w ochronę na poziomie sprzętu i oprogramowania, ale przede wszystkim w ludzi - ich umiejętności i wiedzę, bo jak kiedyś powiedział hacker wszech czasów Kevin Mitnik “Condor” : “Najsłabszym ogniwem zabezpieczeń systemu komputerowego jest zawsze człowiek.”.

2. Plan ochrony przeciw atakom typu “ransomware”

Każda firma, mała czy duża, powinna mieć plan ochrony przeciw atakom ransomware, aby skutecznie chronić swoje dane czy zapobiegać ich upublicznieniu. Mamy na myśli tutaj nie tylko dane osobowe (RODO), ale również dane biznesowe - objęte klauzulą poufności: umowy z innymi firmami, kontrahentami, dokumentacja nowych produktów etc.

W poruszaną tematykę wpisuje się doskonale nasz artykuł “Plan Ciągłości Działania - co to takiego?” , gdzie jednym z obszarów tego planu powinny być procedury zabezpieczające systemy IT przed różnymi atakami, w tym i typu ransomware.

Niestety, atak ransomware, gdzie przestępcy upubliczniają wykradzione dane jest najgorszym z możliwym, ponieważ nie mamy już wpływu na te dane, nawet kiedy okup zostanie zapłacony, przestępcy mogą zrobić z nimi co chcą. W przypadku gdy dane zostały zaszyfrowane, a nie doszło do wycieku, możemy stracić co najwyżej ułamek naszych danych, przywracając je z kopii bezpieczeństwa (o ile firma dba o bezpieczeństwo swoich danych). W przypadku upublicznienia wykradzionych danych osobowych, skutki mogą być o wiele poważniejsze. Mowa tutaj o karach nakładanych przez prezesa UODO (Urzędu Ochrony Danych Osobowych), a nie są one małe.

3. Jak właściwie działa oprogramowanie typu “ransomware”

Ransomware wykorzystuje różne drogi dostępu do systemu informatycznego ofiary, aby się uaktywnić i zebrać swoje “krwawe” żniwo. Jednym ze sposobów wtargnięcia, jest kampania e-mailowa, polegająca na rozsyłaniu wiadomości e-mail do konkretnej grupy odbiorców (celowanie), które albo zawierają załącznik, albo link prowadzący do szkodliwej strony internetowej. Po otwarciu załącznika lub linku, uaktywnia się złośliwe oprogramowanie, które zazwyczaj wykorzystuje luki bezpieczeństwa w przeglądarce internetowej lub systemie operacyjnym użytkownika.

Po zainstalowaniu się w systemie ransom zaczyna natychmiast działać lub w uśpieniu bada system, aby zaatakować w odpowiednim momencie. Następnie szkodliwe oprogramowanie szyfruje wszystkie pliki użytkownika, w których mogą znajdować się cenne dane. Klasyfikacja jest przeprowadzana na podstawie rozszerzenia plików. Po wykryciu dostępu do zasobów sieciowych udostępniających pliki, również i tam następuje szyfrowanie plików z danymi.

Pierwszą oznaką, że padło się ofiarą systemu ransomware jest brak dostępu do swoich plików np. doc, docx, xls, xlsx etc. oraz czytelny i jasny komunikat wyświetlający się na ekranie, iż dane zostały zaszyfrowane, a jedyną możliwością ich odzyskania jest zapłata okupu najczęściej w bitcoinach. Przestępcy pozostawiają zazwyczaj pliki tekstowe na pulpicie i w folderach z instrukcją, w jaki sposób należy opłacić okup.

Służby do walki z cyberprzestępczością zalecają, aby nie płacić okupu. Na niektóre ataki ransomware istnieją oficjalne dostępne narzędzia, które są w stanie odszyfrować dane. Niestety, nawet po zapłaceniu, nie jest pewne, czy odzyska się dostęp do danych. Ze statystyk wynika, iż 80% ofiar ataków ponownie jest atakowane. Ze względu na to, iż płatności są dokonywane w bitcoinach, nie ma możliwości wyśledzenia odbiorców tych pieniędzy i tym samym ich odzyskania.

4. Dlaczego cyberprzestępcy atakują firmy z sektora małych i średnich przedsiębiorstw?

Wydaje się, iż panuje przekonanie wśród organizacji przestępczych, które parają się tego typu działalnością, że małe i średnie firmy przykładają mniejszą wagę do cyberbezpieczeństwa i ochrony przeciw ransmoware w porównaniu do dużych firm korporacyjnych lub instytucji rządowych. Znaczenie ma też pewnie fakt, iż wydatki na cyberbezpieczeństwo są niemałe, a mniejsze firmy muszą po prostu ostrożniej dysponować swoim budżetem.

O ile kwoty uzyskane z okupów od małych i średnich firm mogą być mniejsze, o tyle są one łatwiejsze do uzyskania oraz nadrabiają ilością. Dlatego też, większość małych firm woli zapłacić i odzyskać dane, niż ryzykować zamknięcie swojej działalności. Z badań wynika, iż sektor MŚP stanowi około 43% wszystkich zaatakowanych podmiotów.

5. Strategia wykonywania kopii bezpieczeństwa: 3-2-1

W przypadku, kiedy mówimy o bezpieczeństwie danych - redundancja (nadmiarowość) jest podstawą. Najlepszą praktyką w branży jest stosowanie strategi 3-2-1.

Strategia 3-2-1 wygląda następująco:

1. Trzymaj 3 kopie danych (3) - oryginał oraz 2 kopie danych

2. Używaj co najmniej 2 nośników danych (2) - wykorzystuj co najmniej dwa różne nośniki danych, na których kopie bedą przechowywane - kopie nie przechowuj w systemie, gdzie dane są przetwarzane.

3. Przechowuj jedną kopię poza miejscem fizycznego przetwarzania danych (1) - jedną kopie zawsze przechowuj poza fizycznym miejscem przetwarzania. Im dalej tym lepiej. Uchroni to Twoją organizację przed krytycznymi zdarzeniami: pożar, powódź, kradzież.

Zawsze należy mieć opracowane i przećwiczone procedury odtwarzania danych z kopii bezpieczeństwa.

6. Złe praktyki

Niestety, mimo ciągłej edukacji odnośnie strategii zabezpieczenia danych przetwarzanych w systemach informatycznych wciąż można spotkać się z zamierzoną lub niezamierzoną ignorancją (tak, tak!), czyli:

1. “Zosia Samosia”: Kopie będę robił ja “sam” (“ja” czyli właściciel firmy - zdarza się, gdy nie ma w firmie pracownika odpowiedzialnego za IT) - czyli raz kopia się zrobi na pendrive, raz na jakiś dysk przenośny. Dzisiaj zrobiłem - bo pamiętałem, albo nie zrobiłem, bo nie było mnie w firmie; nie zrobiłem, bo pojechałem na urlop - etc. Brak automatyzacji i cyklicznego procesu wykonywania kopii bezpieczeństwa.

2. “Wszystko OK!”: No właśnie, na pierwszy rzut oka wszystko jest OK! Backupy są wykonywane, raporty z zdań to potwierdzają, sielanka! Jednakże w krytycznej chwili, kiedy trzeba będzie coś odzyskać z kopii bezpieczeństwa, może się okazać, że dysk czy taśma ma błąd i odtworzenie nie jest możliwe. Nie ma biedy, jeśli zachowana jest zasada 3 - 2 - 1, ale gdy nie jest zachowana … to już jest cała bieda. A wystarczyło testować …

3. “Zapomniałem!”: Testowe odtworzenia kopii bezpieczeństwa pozwalają również zweryfikować, czy to co jest w kopii, jest tożsame temu, co miało się w niej znaleźć.

   Przykład. W firmie zainstalowano nowy program. Jednakże nie uwzględniono tego w systemie wykonywania kopii bezpieczeństwa. W czasie konieczności odtworzenia danych dla tego systemu okazuje się, że nie ma żadnej kopii bezpieczeństwa … “bo ktoś zapomniał”. Gdyby dobrze testował utworzone kopie bezpieczeństwa, zauważył by, że kopia nowego systemu nie jest uwzględniona w zadaniach backupu …

4. “Sknerus McKwacz”: Oszczędzanie na czym się da, zwłaszcza w kwestii bezpieczeństwa danych, nie jest dobre dla żadnego systemu, tym bardziej dla systemu kopii bezpieczeństwa. Trzeba przyznać, że nie są to tanie rzeczy, jednak bezpieczeństwo danych swoje kosztuje. Obecnie dyski twarde są relatywnie drogie (zakładając że kopie przechowujemy na dyskach twardych), a każdy z elementów strategii 3 - 2 - 1 dokłada swoje do całkowitych kosztów rozwiązania.

   Oczywiście, wszystko zależy od skali. Mała firma ze względu na ilość danych będzie miała dużo mniejsze koszty w porównaniu do firmy dużej, gdzie tych danych jest odpowiednio więcej. W dużych organizacjach budżety na cyberbezpieczeństwo (w tym na zabezpieczenie danych) idą w miliony. Wszystko zależy od skali.

6. Podsumowanie

W niniejszym artykule przybliżyliśmy zagadnienie ransomware, wskazaliśmy jak można z nim skutecznie walczyć oraz co należy zrobić, aby podnieść poziom bezpieczeństwa przetwarzanych danych w organizacji.