Ransomware na agendzie zarządu

Eksperci Cisco Talos, analitycznej komórki Cisco zajmującej się cyberbezpieczeństwem, przekonują, że ransomware jest zagrożeniem, z którym musi zmierzyć się każda organizacja. Jak wynika z badania Sophos, w ostatnim roku 37 proc. organizacji padło jego ofiarą. Skala zjawiska jest tak powszechna, a potencjalne straty na tyle dotkliwe, że ransomware staje się ważnym punktem spotkań kadry kierowniczej C-level.

Czasy, gdy wyłączna odpowiedzialność za przygotowanie organizacji na ataki ransomware leżała po stronie specjalistów ds. cyberbezpieczeństwa minęły bezpowrotnie. Według badania przeprowadzonego przez Veritas Technologies 40 proc. przedstawicieli opinii publicznej obarcza winą za takie wydarzenie liderów biznesowych. Włączenie przedstawicieli kadry kierowniczej w proces walki z cyberzagrożeniami sprawia, że zyskują oni wiedzę niezbędną, aby nawiązać dialog z interesariuszami w przypadku wystąpienia ataku.

7 pytań do CEO

– Wiele organizacji koncentruje swoje działania na zapobieganiu początkowemu atakowi, a nie reagowaniu, po tym, jak cyberprzestępcy z powodzeniem zdobędą przyczółek w firmie. Atak ransomware jest zwykle procesem wieloetapowym. To właśnie członkowie kadry zarządzającej mają kompetencje, aby stworzyć strategię, która spowolni przeciwnika i utrudni jego atak na tyle, że porzuci swoje starania – mówi Nate Pors, analityk Cisco Talos.

Oto kilka przykładów pytań, które powinni sobie zadać eksperci na poziomie zarządu, odpowiadający za plany dotyczące cyberbezpieczeństwa:

  1. Czy Twoja organizacja posiada standardowe procedury operacyjne dla ransomware i regularnie szkoli się na wypadek wystąpienia tego rodzaju ataku?
  2. Jak szybko zachodzą poszczególne procesy w przypadku wykrycia podejrzanej aktywności, np. ile zajmuje zmiana wszystkich haseł do kont uprzywilejowanych w całym przedsiębiorstwie?
  3. Czy Twoja organizacja posiada odpowiednie narzędzia umożliwiające szybkie odizolowanie zagrożonego segmentu sieci?
  4. Czy w Twojej organizacja funkcjonuje zasada Zero Trust?
  5. Czy Twój zespół wie, gdzie znajdują się krytyczne dane i czy są one odpowiednio zaszyfrowane?
  6. Czy Twój zespół wie, które usługi są kluczowe dla biznesu i jakie mają zależności techniczne?
  7. Czy kopie zapasowe w Twojej organizacji są tworzone nadmiarowo i są chronione przed przypadkowym dostępem przez przejęte konto administratora?

Ransomware i co dalej?

Zdaniem ekspertów Cisco Talos organizacje mogą ograniczyć ryzyko ataku ransomware, ale nie da się mu całkowicie zapobiec. Gdy do niego dojdzie, pojawia się ważne pytanie – „Jak zakomunikować ten fakt?”. W komunikacji wewnętrznej warto ustalić konkretne kanały przekazywania informacji, które nie będą zależne tylko od sieci komputerowej na wypadek, gdyby atak wymusił pracę w trybie offline. W komunikacji zewnętrznej najbardziej liczy się czas. Informacje o atakach (w szczególności na duże, rozpoznawalne organizacje) pojawiają się w mediach średnio w ciągu 24 godzin. Zespoły ds. komunikacji i PR powinny posiadać gotowe szablony, których mogą używać, przygotowując wstępne odpowiedzi dla przedstawicieli mediów. To pozwoli zaoszczędzić czas i sprawi, że kluczowe informacje nie zostaną pominięte w sytuacji wystąpienia kryzysu. Warto również ustalić procedury akceptacji komunikatów – czy dyrektor generalny musi go osobiście przeczytać, a może wystarczy opinia szefa komunikacji korporacyjnej lub innego członka sztabu kryzysowego – jeżeli takowy jest powołany w ramach organizacji. W przypadku wystąpienia ataku niezwykle ważne jest ustalenie zasad komunikacji z klientami. Osoby odpowiadające za ten obszar muszą posiadać pakiet informacji, aby móc przedstawić prawdziwy obraz sytuacji i uspokoić partnerów biznesowych pokazując, że sytuacja jest pod kontrolą.

Nie każdy przypadek ataku typu ransomware jest taki sam, różne są też jego skutki i skala. Gdy doszło do naruszenia danych wrażliwych, akcjonariusze mogą oczekiwać bezpośredniego zaangażowania CEO organizacji. W przypadku mniejszych ataków zadania można delegować. Zawsze jednak warto konsultować się z działami prawnymi, w szczególności, jeżeli chodzi o kwestię opłacenia ewentualnego okupu (np. gdy w atak zamieszania jest organizacja terrorystyczna).

– Niektóre firmy z założenia nigdy nie płacą okupu, jednak nie istnieją żadne dane, potwierdzające czy opublikowanie oświadczenia o takiej treści zmniejsza prawdopodobieństwo stania się celem ataku. Zaobserwowano natomiast odwrotny skutek. Organizacje, które ustanowiły precedens w zakresie płacenia okupu, są częściej atakowane, ponieważ atakujący czują, że mają gwarancję wypłaty. Jak wynika z danych firmy Cybereason, 80 proc. organizacji, które zapłaciły okup, zostało ponownie zaatakowanych wkrótce potem – ostrzega Nate Pors z Cisco Talos.

Przygotowanie organizacji na atak ransomware w 3 krokach

  • Przedstawiciele kadry zarządzającej powinni być ściśle zaangażowani w opracowywanie planu ochrony organizacji przed ransomware.
  • Próby ataków ransomware są dziś prawie nieuniknione dla przeciętnej organizacji, ale odpowiednie działania po ich wystąpieniu pozwalają ograniczyć straty.
  • Struktura zespołu i dobre plany komunikacyjne są tak samo ważne, jak odpowiednie narzędzia z zakresu cyberbezpieczeństwa.