Eksperci Cisco Talos, analitycznej komórki Cisco zajmującej się cyberbezpieczeństwem, przekonują, że ransomware jest zagrożeniem, z którym musi zmierzyć się każda organizacja. Jak wynika z badania Sophos, w ostatnim roku 37% organizacji padło jego ofiarą. Skala zjawiska jest tak powszechna, a potencjalne straty na tyle dotkliwe, że ransomware staje się ważnym punktem spotkań kadry kierowniczej C-level. Czasy, gdy wyłączna odpowiedzialność za przygotowanie organizacji na ataki ransomware leżała po stronie specjalistów ds. cyberbezpieczeństwa minęły bezpowrotnie. Według badania przeprowadzonego przez Veritas Technologies, 40% przedstawicieli opinii publicznej obarcza winą za takie wydarzenie liderów biznesowych. Włączenie przedstawicieli kadry kierowniczej w proces walki z cyberzagrożeniami sprawia, że zyskują oni wiedzę niezbędną, aby nawiązać dialog z interesariuszami w przypadku wystąpienia ataku.
7 pytań do CEO
„Wiele organizacji koncentruje swoje działania na zapobieganiu początkowemu atakowi, a nie reagowaniu, po tym, jak cyberprzestępcy z powodzeniem zdobędą przyczółek w firmie. Atak ransomware jest zwykle procesem wieloetapowym. To właśnie członkowie kadry zarządzającej mają kompetencje, aby stworzyć strategię, która spowolni przeciwnika i utrudni jego atak na tyle, że porzuci swoje starania” – mówi Nate Pors, analityk Cisco Talos.
Oto kilka przykładów pytań, które powinni sobie zadać eksperci na poziomie zarządu, odpowiadający za plany dotyczące cyberbezpieczeństwa:
- Czy Twoja organizacja posiada standardowe procedury operacyjne dla ransomware i regularnie szkoli się na wypadek wystąpienia tego rodzaju ataku?
- Jak szybko zachodzą poszczególne procesy w przypadku wykrycia podejrzanej aktywności np. ile zajmuje zmiana wszystkich haseł do kont uprzywilejowanych w całym przedsiębiorstwie?
- Czy Twoja organizacja posiada odpowiednie narzędzia umożliwiające szybkie odizolowanie zagrożonego segmentu sieci?
- Czy w Twojej organizacja funkcjonuje zasada Zero Trust?
- Czy Twój zespół wie, gdzie znajdują się krytyczne dane i czy są one odpowiednio zaszyfrowane?
- Czy Twój zespół wie, które usługi są kluczowe dla biznesu i jakie mają zależności techniczne?
- Czy kopie zapasowe w Twojej organizacji są tworzone nadmiarowo i są chronione przed przypadkowym dostępem przez przejęte konto administratora?
Ransomware i co dalej?
Zdaniem ekspertów Cisco Talos organizacje mogą ograniczyć ryzyko ataku ransomware, ale nie da się mu całkowicie zapobiec. Gdy do niego dojdzie, pojawia się ważne pytanie – „Jak zakomunikować ten fakt?”. W komunikacji wewnętrznej warto ustalić konkretne kanały przekazywania informacji, które nie będą zależne tylko od sieci komputerowej na wypadek, gdyby atak wymusił pracę w trybie offline. W komunikacji zewnętrznej najbardziej liczy się czas. Informacje o atakach (w szczególności na duże, rozpoznawalne organizacje) pojawiają się w mediach średnio w ciągu 24 godzin. Zespoły ds. komunikacji i PR powinny posiadać gotowe szablony, których mogą używać przygotowując wstępne odpowiedzi dla przedstawicieli mediów. To pozwoli zaoszczędzić czas i sprawi, że kluczowe informacje nie zostaną pominięte w sytuacji wystąpienia kryzysu. Warto również ustalić procedury akceptacji komunikatów – czy dyrektor generalny musi go osobiście przeczytać, a może wystarczy opinia szefa komunikacji korporacyjnej lub innego członka sztabu kryzysowego – jeżeli takowy jest powołany w ramach organizacji. W przypadku wystąpienia ataku niezwykle ważne jest ustalenie zasad komunikacji z klientami. Osoby odpowiadające za ten obszar muszą posiadać pakiet informacji, aby móc przedstawić prawdziwy obraz sytuacji i uspokoić partnerów biznesowych pokazując, że sytuacja jest pod kontrolą.
Nie każdy przypadek ataku typu ransomware jest taki sam, różne są też jego skutki i skala. Gdy doszło do naruszenia danych wrażliwych, akcjonariusze mogą oczekiwać bezpośredniego zaangażowania CEO organizacji. W przypadku mniejszych ataków zadania można delegować. Zawsze jednak warto konsultować się z działami prawnymi, w szczególności jeżeli chodzi o kwestię opłacenia ewentualnego okupu (np. gdy w atak zamieszania jest organizacja terrorystyczna).
„Niektóre firmy z założenia nigdy nie płacą okupu, jednak nie istnieją żadne dane, potwierdzające czy opublikowanie oświadczenia o takiej treści zmniejsza prawdopodobieństwo stania się celem ataku. Zaobserwowano natomiast odwrotny skutek. Organizacje, które ustanowiły precedens w zakresie płacenia okupu, są częściej atakowane, ponieważ atakujący czują, że mają gwarancję wypłaty. Jak wynika z danych firmy Cybereason, 80% organizacji, które zapłaciły okup, zostało ponownie zaatakowanych wkrótce potem” – ostrzega Nate Pors z Cisco Talos.
Przygotowanie organizacji na atak ransomware w 3 krokach
- Przedstawiciele kadry zarządzającej powinni być ściśle zaangażowani w opracowywanie planu ochrony organizacji przed ransomware.
- Próby ataków ransomware są dziś prawie nieuniknione dla przeciętnej organizacji, ale odpowiednie działania po ich wystąpieniu pozwalają ograniczyć straty.
- Struktura zespołu i dobre plany komunikacyjne są tak samo ważne, jak odpowiednie narzędzia z zakresu cyberbezpieczeństwa.