- Szyfrowanie przez przestępców zasobów komputerów firmowych, a następnie żądanie okupu za odblokowanie, czyli tzw. ransomware jest coraz częstszym sposobem wyłudzania pieniędzy przez cyberprzestępców.
- Kwoty okupów wymuszanych na małych i średnich firmach oscylują wokół 1000 dolarów, często są określane w bitcoinach.
- Część firm płaci w obawie przed unieruchomieniem działalności i stratami, nie zawsze jednak odzyskują dostęp do swoich danych. Rozsądniejsze, tańsze i łatwiejsze jest zabezpieczanie firmowego sprzętu zanim dojdzie do ataku.
Straty wyrządzane przez złośliwe oprogramowanie typu ransomware szacuje się na ponad 11,5 miliarda dolarów rocznie w skali całego świata. Atakami tego typu były np. Petya czy WannaCry, jedne z najbardziej dewastujących w historii. W Polsce ofiarami tego drugiego padło wg danych CERT Polska 12 558 urządzeń z 411 systemów autonomicznych (na podstawie unikalnych adresów IP zgromadzonych na platformie n6 w kontekście ataku). Wg danych F-Secure w 2017 roku incydentów ransomware przybyło o 415 procent (w porównaniu z 2016). Koszty związane z atakami ransomware także w Polsce są coraz istotniejsze i w coraz większym stopniu dotykają małe firmy. W listopadzie i grudniu 2018 roku jedna z wersji ataku z wykorzystaniem fałszywego maila od InPost miała właśnie charakter ransomware’u.
Blokada zasobów firmy może być bardzo dotkliwa
Wg ekspertów obecnie to jedno z największych cyberzagrożeń dla firm na całym świecie. Wykorzystywanie socjotechnik (jak np. w przypadku ataków na paczkomaty – w grudniu wiele osób niecierpliwie czekało na przybycie swojej przesyłki) sprawia, że działania oszustów są coraz trudniejsze do zidentyfikowania i odparcia. Przestępcy najczęściej swoją aktywność kierują na serwery firmowe, bo wielu przedsiębiorców podejmuje rozmowy z hakerami i decyduje się na zapłacenie okupu.
– Tygodniowo zgłasza się do nas kilka firm zaatakowanych przez przestępców żądających okupu. Jest ich 2-3 czasem 4 czy 5. Przytaczam tu liczby wyłącznie przedsiębiorstw, które zostały dotknięte infekcją złośliwym oprogramowaniem szyfrującym typu ransomware. Są to zarówno mikro-firmy jak i te należące do segmentu tzw. small biznes czy nawet do MSP. Niezależnie od wielkości przedsiębiorstwa specyfika ataku powodowała rzeczywiste straty materialne z powodu wymuszonego przestoju firmy lub utraty efektów pracy oraz zainwestowanych w realizację zamówień środków finansowych. Dlatego niektórzy – mądrzy po szkodzie – interesują się cyberochroną. Bez niej czasem pozostaje tylko zapłacić. Dla przykładu pewien szpital w stanie Indiana w USA zapłacił 55 tys. dolarów okupu, żeby móc funkcjonować, znam też przykład biura pośrednictwa nieruchomości z Berlina, któremu zaszyfrowano wszystkie komputery pracowników oraz serwery. Za odblokowanie zażądano okupu 300 tys. euro – mówi Wojciech Gołębiowski, dyrektor zarządzający Veronym, firmy zapewniającej najnowocześniejsze i kompleksowe chmurowe cyberbezpieczeństwo w modelu subskrypcji usługi, który jest tańszy oraz skuteczniejszy niż zatrudnianie specjalistów IT.
Kluczem według którego przestępcy wybierają swoje ofiary jest podatność na atak czy po prostu brak zabezpieczeń przed przestępczością internetową. Większość rodzajów incydentów ransomware została zbudowana stosunkowo niskim nakładem sił, z użyciem nieznacznie zmodyfikowanych projektów złośliwego oprogramowania dostępnych publicznie i za darmo w łatwych do znalezienia serwisach internetowych. Nawet pomimo nieskomplikowanej konstrukcji takich ataków, zwykły antywirus, w dodatku sporadycznie aktualizowany, to niewystarczające zabezpieczenie. Obiektem ataku może już być nie tylko komputer czy telefon, ale zaawansowane systemy sterujące działaniem firmy, czy gromadzące dane o transakcjach, klientach czy stanach magazynowych. Infekowane i blokowane mogą być systemy takie jak ERP czy aplikacje księgowe, kadrowe czy sprzedażowe.
Wojciech Gołębiowski podaje przykłady:
Firma produkująca materiały biurowe. Atak unieruchomił większość systemów informatycznych, w tym system klasy CRM. W efekcie przedsiębiorstwo musiało wstrzymać produkcję oraz obsługę klientów. Straty szacowane przez właściciela oscylują wokół 200 tys. złotych za 1 dzień przestoju. Mimo podejmowanych przez firmę prób znalezienia rozwiązania (skutecznego deszyfratora) przez kolejne 4 dni nie udało się przywrócić działania firmy.
Inny przykład dotyczy firmy budowlanej, prowadzącej swoje działania handlowo-usługowe głównie w Emiratach Arabskich, która została całkowicie zatrzymana przez atak ransomware na wszystkie komputery i systemy informatyczne, łącznie z systemem ERP oraz systemem księgowym. Swoje straty określiła na ok 50 tysięcy USD przede wszystkim ze względu na przestój firmy i opóźnienia związane z dostawami. Atakujący zażądali 300 000 AED (ok 300 tys. PLN) za udostępnienie klucza deszyfracji. Firma nie zdecydowała się na współpracę z atakującymi. Udało się odszyfrować zasoby i uruchomić działalność. Niestety kilka dni przestoju kosztowały kilkaset tysięcy złotych, nadwyrężony został też wizerunek i renoma przedsiębiorstwa.
Cyberochrona tańsza i skuteczniejsza niż okup
Pierwszą reakcją firmy w przypadku cyberataku jest próba samodzielnego odblokowania danych. Ta zazwyczaj kończy się niepowodzeniem. W drugiej kolejności przedsiębiorcy szukają fachowej pomocy wyspecjalizowanej firmy. W tym momencie zaczynają się już koszty, tym bardziej, że próby deszyfracji podejmowane przez specjalistów też rzadko kończą się sukcesem. Dopiero po kilku dniach bezskutecznych prób, przedsiębiorcy przechodzą do negocjacji z przestępcami.
Nie ma wiarygodnych danych na temat tego, ile firm decyduje się zapłacić okup. Z pewnością jednak jest to znacząca liczba, niektóre szacunki mówią o połowie zaatakowanych. Wielu z nich płaci, choć nie ma żadnej gwarancji, że po przelaniu okupu odzyskają dostęp do zasobów firmy. Znane są przypadki likwidacji przedsiębiorstwa po takim incydencie.
– Beztroska wielu przedsiębiorców jest w tym kontekście niepokojąca. O ile próba odblokowania i deszyfracji danych jest bardzo trudna, o tyle zabezpieczenie przed atakiem wcześniej jest możliwe, w dodatku niekoniecznie kosztowne. Najlepsze dla MSP czy tzw. small biznesu są rozwiązania, które pozwalają im nie martwić się o programy zabezpieczające, inwestowanie w sprzęt czy zatrudnianie drogich informatyków. Wszystkie te kompetencje i dostęp do najlepszych technologii do walki z cyberprzestępczością mogą być dostarczane zewnętrznie, np. w modelu miesięcznego abonamentu. Ważne, aby ochrona była wielowarstwowa, zapewniała nie tylko zaawansowane, nowoczesne zabezpieczenia, ale uwzględniała też możliwe do popełnienia błędy ludzkie. Najbardziej wrażliwym miejscem jest oczywiście styk z Internetem i oprogramowanie analizujące znane przypadki ataków. Odpowiednia ochrona gwarantuje, że jeśli ingerencja pokona jedno z zabezpieczeń, np. antywirus, kolejne moduły nie dopuszczą do jego powodzenia. Ochrona powinna też być konfigurowana i optymalizowana w zależności od pojawiających się nowych typów ataków i zagrożeń – ocenia Wojciech Gołębiowski z Veronym.