7-10 minut

Ransomware: dekalog bezpieczeństwa

Dla wielu przedsiębiorstw dane są najcenniejszym zasobem – utrata dostępu do nich oznacza wymierne straty finansowe, pogorszenie wiarygodności i pozycji rynkowej. Dziś największym zagrożeniem dla bezpieczeństwa danych są ataki ransomware skutkujące zaszyfrowaniem, a w niektórych przypadkach również wyciekiem cennych informacji. Jak się przed nimi bronić?

CZEGO SIĘ DOWIESZ Z TEGO ARTYKUŁU: JAKA JEST SKALA ZAGROŻENIA RANSOMWARE? KTÓRE BRANŻE SĄ NAJBARDZIEJ NARAŻONE NA ATAKI? JAKIE PROSTE ROZWIĄZANIA WDROŻYĆ, ABY ZWIĘKSZYĆ ODPORNOŚĆ ORGANIZACJI? W KTÓRE STRATEGICZNE TECHNOLOGIE I USŁUGI ZAINWESTOWAĆ, ABY OCHRONIĆ DANE I ZAGWARANTOWAĆ CIĄGŁOŚĆ BIZNESOWĄ?

Ransomware to ciągle rosnące zagrożenie ze strony cyberprzestępców. Według raportu Fortinet „The 2023 Global Ransomware Report”[1] aż 80 proc. ekspertów ds. cyberbezpieczeństwa w największych firmach obawia się ataku ransomware w stopniu „dużym” lub „bardzo dużym”. Niemal równie liczna grupa specjalistów (78 proc.) uważa, że ich organizacje są bardzo dobrze przygotowane na taki atak. Niemniej aż dwie trzecie firm dotkniętych atakiem ransomware zdecydowało się zapłacić okup, a co gorsza tylko jedna trzecia odzyskała wszystkie swoje dane.

Warto tu wspomnieć, że jest to typ ataku przynoszący grupom przestępczym ogromne zyski. Dane Palo Alto Networks wskazują, że w 2022 roku włamywacze żądali za zwrot danych od 3 tys. do 50 mln dolarów[2]. Rzeczywista wysokość okupu była jednak znacznie mniejsza – nie przekraczała 700 tys. dolarów. Aby jeszcze lepiej zilustrować wzrost zagrożenia ransomware można przypomnieć raporty Cybersecurity Ventures[4] – w 2015 roku szkody spowodowane atakami ransomware szacowano na 325 mln dolarów. W 2021 roku ta sama firma wyceniła straty spowodowane przez ataki tego rodzaju na 20 mld dolarów – to ok. 60 razy więcej!

Jak nie płacić okupu przestępcom? Żeby się zabezpieczyć i utrudnić działanie włamywaczom konieczne są nie tylko inwestycje w sprzęt, oprogramowanie i dodatkowe usługi, ale również podniesienie świadomości samych użytkowników, bo to oni stanowią pierwszą linię obrony przed włamaniem. Oto dziesięć przykazań dotyczących bezpieczeństwa firmowych danych.

Uwierz, że to może się zdarzyć również Twojej firmie

Przekonanie, że złe rzeczy zdarzają się wyłącznie innym to jeden z największych grzechów przeciw bezpieczeństwu IT. Obiektem ataku ransomware może być każda organizacja – od niewielkiej firmy działającej lokalnie, po ponadnarodowe korporacje. Kluczem jest tu efektywność finansowa ataku – nawet nieduży biznes może stać się celem, jeśli złamanie jego zabezpieczeń będzie łatwe. Wielkie firmy, nawet z bardzo zaawansowanymi zabezpieczeniami systemu IT, również mogą być interesujące dla przestępców z uwagi na wartość przechowywanych danych.

Wspomniany wcześniej raport Sophos „State of Ransomware 2023” oparty na badaniu 3 tys. specjalistów IT z 14 krajów wskazuje, że w ciągu ostatnich 12 miesięcy dwie trzecie wszystkich firm zostało zaatakowanych przez ransomware. W aż 76 proc. przypadków dane zostały zaszyfrowane. Jedna trzecia firm, które padły ofiara ataku, musiała zmierzyć się również z wyciekiem tych informacji. Koszt operacji odzyskania danych i ponownego uruchomienia systemu sięga 1,8 mln dolarów (nie wliczając w to okupu).

Do najbardziej narażonych na ataki branż należą: media i rozrywka, handel, energetyka i usługi użyteczności publicznej, transport i logistyka, ochrona zdrowia oraz edukacja.

Rób regularne kopie bezpieczeństwa

Wykonywanie regularnych kopii bezpieczeństwa na zewnętrznych serwerach lub do chmury jest jednym z najprostszych i najefektywniejszych sposobów zachowania danych w nienaruszonej postaci nawet w przypadku ataku hakerów.

Organizacje, które zdecydowały się na samodzielnie wykonywanie backupu, powinny kierować się zasadą 3-2-1: zrobić trzy niezależne kopie, używać do najmniej dwóch różnych technologii do przechowywania danych, i wreszcie jedna kopia powinna być przechowywana w innym miejscu (jeżeli to możliwe, powinna być również offline). Firmy mogą również skorzystać z profesjonalnych usług tworzenia i przechowywania kopii zapasowych serwerów, które działają w sposób w pełni zautomatyzowany i dają gwarancję jakości usług.

Najbardziej zaawansowaną usługą, która umożliwia niemal natychmiastowe odzyskanie środowiska IT zaatakowanego przez hakerów jest zapasowe centrum danych Disaster Recovery as a Service (DRaaS). W sytuacji kryzysowej pozwala ono do minimum skrócić czas, w którym usługi IT firmy są niedostępne. Optymalne rozwiązanie chroniące przed skutkami ataku ransomware to stosowanie backupu i DRaaS jednocześnie.

Stosuj zasadę zerowego zaufania

Skuteczną metodą ograniczania ryzyka udanego ataku ransomware jest wdrożenie i stosowanie zasady zerowego zaufania. To model, w którym każdy użytkownik, również taki, który fizycznie znajduje się w firmowej sieci, musi zostać zweryfikowany oraz uzyskać autoryzację do wykonania konkretnych działań.

Strategia zero trust jest fundamentalną częścią usług SASE/SD-WAN. Stosowanie takiego modelu w praktyce uniemożliwia wykradzenie danych do logowania przez spreparowaną stronę, pobranie zainfekowanych plików, czy przekierowanie do fałszywego linku przesłanego w e-mailu. Więcej o strategii zerowego zaufania jako podstawowym narzędziu ochrony biznesu można przeczytać w Strefie wiedzy.

Zrób segmentację sieci

Segmentacja sieci oznacza podział większej instalacji na mniejsze podsieci z ograniczoną wzajemną łącznością między nimi – lub z mechanizmem kontrolującym przepływ danych. Oznacza to, że nawet jeśli atakujący uzyska dostęp do jednej sekcji sieci, możliwe będzie odcięcie go od reszty, zmniejszając tym samym potencjalne szkody.

Technika segmentacji sieci w połączeniu z zasadą zerowego zaufania pozwala zatem zbudować mur wokół najważniejszych zasobów firmowych. Warto również rozważyć wdrożenie zasady najniższych możliwych uprawnień, jeżeli chodzi o dostęp do kluczowych informacji – nawet jeżeli atakujący uzyska dostęp do konta konkretnego pracownika, nie będzie mógł go wykorzystać do ataku ransomware, jeżeli ten pracownik z założenia nie ma dostępu do istotnych danych.

Miej przegląd całej instalacji

Ochrona kluczowych danych firmy wymaga szybkiej reakcji na nietypową, podejrzaną aktywność w sieci. Ale aby móc szybko zareagować niezbędne są narzędzia pozwalające ten ruch monitorować na bieżąco. Narzędzia takie umożliwiają zwykle również blokowanie zainfekowanych urządzeń końcowych czy całych segmentów sieci.

Jednym z najprostszych i najmniej angażujących firmowe zasoby rozwiązań jest wykupienie usługi monitoringu bezpieczeństwa (Security Operations Center). Zewnętrzny zespół ekspertów ds. cyberbezpieczeństwa może wykonać ogólny audyt systemu, analizować dane płynące z sieci, na bieżąco monitorować zagrożenia i sugerować wprowadzenie odpowiednich zmian w strategii ochrony danych.

Zadbaj o aktualizację, usuwaj luki

W ok. 36 proc. ataków ransomware przestępcy wykorzystują podatności systemów IT. To luki, które administratorzy powinni załatać podczas aktualizacji oprogramowania lub wymiany sprzętu na nowszy. Dbanie o najnowsze wersje oprogramowania antywirusowego, przeglądarek czy firewalla nie wystarczy, jeżeli serwery czy urządzenia sieciowe nie są aktualizowane od lat. Ma to szczególne znaczenie w przypadku dużych firm korzystających ze starszych rozwiązań technologicznych (tzw. legacy), czy ze starszego oprogramowania, dla którego wygasło wsparcie producenta.

Wzmocnij bezpieczeństwo urządzeń końcowych

Bezpieczeństwo urządzeń końcowych powinno być priorytetem dla wszystkich firm chcących bronić się przed atakami hakerskimi – nie tylko ransomware. Wraz ze wzrostem liczby użytkowników przybywa urządzeń takich, jak laptopy, smartfony. Nie należy również zapominać o serwerach. Każde urządzenie stwarza przestępcom okazję do uzyskania dostępu do danych – zwiększa powierzchnię potencjalnego ataku. W tym kontekście firmy mogą rozważyć skorzystanie z łatwych i szybkich do wdrożenia rozwiązań chmurowych. Usługi takie jak Cloud Security zapewniają skuteczną ochronę sieci i urządzeń końcowych bez konieczności inwestowania we własną infrastrukturę, czy zatrudniania nowych pracowników.

Urządzenia powinny być nie tylko chronione przez aktualne oprogramowanie antywirusowe i antywłamaniowe, ale również powinny sygnalizować administratorowi próby obejścia lub wyłączenia zabezpieczeń. Warto również pamiętać w tym kontekście o urządzeniach mobilnych, coraz częściej wykorzystywanych do prostych operacji w środowisku IT firmy. Potencjalnym problemem mogą być tu jednak wszelkie urządzenia prywatne wykorzystywane do pracy (w modelu BYOD).W tym kontekście warto zwrócić uwagę na rozwiązania Mobile Device Management pozwalające zarządzać i kontrolować z jakich usług, aplikacji i konfiguracji mogą korzystać pracownicy.

Miej plan na wypadek ataku i rób testy

Część organizacji, mimo wdrożenia niektórych strategii ochrony przed ransomware, nie przygotowuje całościowego planu postępowania w przypadku, gdy taki atak rzeczywiście się wydarzy. Gotowy plan pozwoli szybciej działać w sytuacjach krytycznych, a jednocześnie nie pominąć ważnych kroków, decydujących o powodzeniu operacji.

Problemem pozostaje również brak testowania tych procedur – w tym m.in. sprawdzania, czy rzeczywiście przyjęte zasady backupu pozwalają na odtworzenie danych sprzed ataku, a także ile czasu taki proces może zająć.

Edukuj użytkowników

Użytkownicy zwykle są pierwszym celem ataku – to do nich hakerzy wyślą e-maile phishingowe, to im wyświetlą spreparowaną stronę w celu wykradzenia danych logowania, to do nich wyślą wreszcie linki do pobrania złośliwego oprogramowania lub wręczą im zainfekowane pendrajwy USB. Według danych Sophos uzyskane w ten sposób dane logowania zostały wykorzystane w mniej więcej jednej trzeciej ataków ransomware. Ale użytkownicy mogą jednak stanowić również pierwszą linię obrony, Muszą tylko wiedzieć, co robić – i chcieć to robić.

Truizmem będzie twierdzenie, że menedżerowie odpowiedzialni za bezpieczeństwo danych powinni przekonywać użytkowników do używania mocnych haseł, unikania klikania w podejrzane linki w poczcie e-mail czy instalowania „własnych” programów na służbowym sprzęcie. Najtrudniejsze jest przekonanie pracowników, że o ochronę danych warto dbać.

Gdy trzeba, sięgnij po pomoc ekspertów

Ochrona firmowych zasobów przed ransomware powinna być dziś priorytetem dla menedżerów IT. Choć dane pokazują, że nawet największe i najlepiej przygotowane organizacje padają ofiarą hakerów, nie oznacza to, że powinniśmy usiąść, nic nie robić i czekać na najgorsze. Celem menedżerów IT powinno być takie skonstruowanie systemu cyberbezpieczeństwa, aby atak stał się dla przestępców nieopłacalny. Oznacza to ponadprzeciętnie wysokie nakłady na przeprowadzenie udanego ataku oraz… brak ewentualnego okupu – bo firma dysponuje bezpiecznymi kopiami danych.

Choć większość „przykazań” nie jest trudna do wdrożenia, niektóre rozwiązania wymagają eksperckiej wiedzy i dostępu do wyspecjalizowanej infrastruktury. Dla pojedynczej firmy może się to okazać barierą nie do pokonania. Być może dobrym pomysłem w takim przypadku jest zdanie się na ekspertów i outsourcing niektórych funkcji. Tym bardziej że w przypadku rzeczywistego ataku ransomware, bez pomocy z zewnątrz na pewno się nie obejdzie.

[1] https://www.fortinet.com/content/dam/fortinet/assets/reports/report-2023-ransomware-global-research.pdf

[2] https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/reports/2023-unit42-ransomware-extortion-report.pdf

[3] https://www.sophos.com/en-us/content/state-of-ransomware

[4] https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/