Ką daryti, jeigu jus užpuolė „Ransomware“ ir kaip sumažinti jos poveikį, pataria amerikiečių IT įmonės „Veeam“ viceprezidentas įmonės strategijai Dave'as Russellas.
Mokėti ar nemokėti išpirkos?
Susidūrus su duomenis užšifruojančia ir išpirkos reikalaujančia ataka ekspertai dažniausiai pataria nepasiduoti ir išpirkos nemokėti. Tačiau dažnai šis patarimas nėra įgyvendinamas praktiškai.
Kaip rodo statistika, dauguma įmonių, norėdamos atgauti užvaldytus duomenis, išpirką sumoka. Toks sprendimas – natūralus: pigiau sumokėti išpirką negu patirti IT paralyžiaus sukeliamus nuostolius. Be to, verslas jau susiduria su pandemijos sukurtais iššūkiais, todėl papildomų rūpesčių niekas nenori.
Vis dėlto masinis išpirkų mokėjimas tik skatina kibernetinius nusikaltėlius aktyviau išnaudoti savo nelegalaus pelno šaltinį. Tai liudija ir statistika: nuo pandemijos pradžios, „Ransomware“ atakų padaugėjo 600 proc., parodė leidinio „Infosecurity Magazine“ tyrimas.
Už šių skaičių slypi paprastas faktas – „Ransomware“ atakas rengia organizuotas nusikalstamumas. Jeigu anksčiau daugelis galvojo, kad „Ransomware“ tyko kažkur giliai internete ir aktyvuojasi neapdairiai paspaudus ant užkrėstos nuorodos, dabar realybė kitokia – šios atakos įgavo tikslinį pobūdį.
Organizuoto nusikalstamumo grupuotės išmoko inovatyviai įsiskverbti į verslą ar tiekimo grandinę ir sistemose jaučiasi kaip savo namuose. Tai pagrindinė priežastis, kodėl „Ransomware“ kelia grėsmę ne tik atskiroms įmonėms, bet ir ištisoms pramonės šakoms ir bendruomenėms.
Neatnaujinta programinė įranga turi būti prilyginama neužrakintoms durims
Taigi – kaip apsiginti nuo „Ransomware“? Pirmiausia, kibernetinis saugumas organizacijoje turi būti prilyginamas saugumui fizinėje erdvėje. Savalaikis programinės įrangos neatnaujinimas turi būti prilyginamas neužrakintam biurui, o neturėjimas avarinio duomenų atstatymo plano – neapdraustam įmonės turtui.
Antra, norėdami apsisaugoti nuo kibernetinių nusikaltėlių, visi darbuotojai turi išmokti mąstyti kaip programišiai. Todėl primygtinai rekomenduojama darbdaviams organizuoti saugumo mokymus. Tokie mokymai galėtų padėtų padidinti darbuotojų sąmoningumą virtualioje erdvėje, sukurtų „žmogiškąją ugniasienę“ ir padėtų sumažinti riziką, kad darbuotojai paklius į „Ransomeware“ ar kitokių kibernetinių nusikaltėlių spąstus.
Be to, svarbu galvoti apie įsilaužėlių sėkmės tikimybę. Dažniausiai jie atakuoja pasirinktos įmonės sistemas visą dieną. Be to, jie kryptingai skiria laiko tobulėjimui ir naujovėms, padedančioms išnaudoti organizacijoje jau egzistuojančias pažeidžiamas vietas ir įveikti įmonės saugumą.
Saugesni tie, kurie pripažįsta – ataka neišvengiama
Galiausiai, ko gero, svarbiausias patarimas – reikia būti pasiruošus blogiausiam scenarijui ir žinoti, kad vieną dieną įsilaužėliams pasiseks, net jeigu organizacija naudoja geriausius saugumo sprendimus.
Tokį požiūrį turi turėti ne tik pavienės įmonės, bet visi sektoriai. Kiekviena pramonės šaka turi investuoti į modernią duomenų apsaugą, kad bent sumažintų išpirkos reikalaujančių programų padarytą žalą, pavyzdžiui, duomenų praradimą arba sistemų veiklos sutrikimus.
Atakų vertinimas, kaip neišvengiamas, yra pirmas žingsnis kuriant geresnę kibernetinio saugumo kultūrą. Jos centre – priemonės, padedančios sumažinti atakų žalą. Tarp tokių sprendimų yra antivirusinės programos ir užkardos. Paskutinė „gynybos linija“ – nuolatinis atsarginių kopijų kūrimas ir atstatymas.
Svarbu ne tik aptikti ataką, bet ir apsaugoti duomenis
Saugantis nuo „Ransomware“ reikia ne tik apsiginti ar identifikuoti ataką, bet ir apsaugoti galutinį šių atakų taikinį – duomenis – nuo užšifravimo. Todėl tai, ką galėtume pavadinti modernia gynybos strategija, turėtų remtis 3-2-1-1-0 taisykle.
Pagal šią taisyklę, reikia turėti mažiausiai 3 saugumo duomenų kopijas. Šios atsarginės kopijos turėtų būti saugomos bent 2 skirtingų formatų laikmenose (pvz. standusis diskas, saugykla debesyje, magnetinės juostos ir t. t.). Bent viena iš šių kopijų turėtų būti užšifruota ir bent viena saugoma fiziškai nutolusioje lokacijoje, t. y. kitur, nei pirminiai duomenys ir pagrindinės duomenų kopijos. Galiausiai, bent viena duomenų kopija turėtų būti saugoma taip, kad jos nebūtų įmanoma pasiekti internetu, visiškai eliminuojant pažeidimo galimybę.
Kartu su šiais praktiniais principais, svarbu nepamiršti reguliariai daryti atsarginius duomenis ir testuoti jų atkūrimą. Šio proceso kokybė garantuos, kad esant reikalui, svarbūs duomenys bus atstatyti iš atsarginės kopijos ir „Ransomware“ ataka bus įveikta.
Svarbų vaidmenį atlieka patikimumas, paprastas naudojimas ir įvairios duomenų atkūrimo parinktys. Tinkamas sprendimas turėtų apimti visus šiuos duomenų atkūrimo mechanizmus, įskaitant atsarginį kopijavimą, replikavimą, momentinių kopijų darymą, ir turėti nuolatinės duomenų apsaugos (Continuous Data Protection (CDP)) sistemą.
Vadovaujantis šiomis duomenų apsaugos gairėmis, bus galima užtikrinti, kad atsitikus blogiausiam, verslas nukentės mažiau, o įsilaužėliai praras dalį investicijų ir savo ataka nepasieks visko, ką norėtų pasiekti.
Gera žinia – tai nesitęs amžinai
Šiame kontekste gera naujiena galime laikyti tai, kad vis daugiau vyriausybių pripažįsta, kad „Ransomware“ veiklai reikia užkirsti kelią. „Ransomware“ tema jau atsidūrė politinėse darbotvarkėse ir netgi buvo įtraukta į Didžiojo septyneto (G7) diskusijas ir dar daugelį kitų diplomatinių derybų tarp pasaulio lyderių.
Vis tik koordinuoto atkirčio organizuotam nusikalstamumui, rengiančiam „Ransomware“ atakas, dar gali tekti palaukti. Pirmiausia, skaitmenizuotas pasaulis leidžia kibernetiniams nusikaltėliams veikti iš skirtingų pasaulio kampelių. Tai lemia, kad patraukti juos baudžiamojon atsakomybėn už nusikaltimus kitoje šalyje – sudėtinga.
Padėtį gali pagerinti tarptautinis bendradarbiavimas šioje srityje, tačiau tokio didelio masto projektas bus pirmasis istorijoje. Reiškia, kad jam prireiks nemažai laiko, o jo dauguma įmonių, kasdien susiduriančių su „Ransomware“, neturi.
Tad laukdamos politinių sprendimų, įmonės turi būti pasiruošusios nuolatinėms išpirkos reikalaujančių programų atakoms. Šioje vietoje svarbu suprasti, kad ankstesnių kibernetinio saugumo priemonių nepakaks – turime prisitaikyti prie priešo diegdami pažangiausias duomenų apsaugos priemones.