Jak se bránit ransomwaru

Téměř třetina středních a velkých organizací v České republice byla v loňském roce zasažena ransomwarem. Tvrdí to studie The State of ransomware 2021, podle které byla více než polovině zasažených organizací v rámci ransomwarového útoku zašifrována data. Z těchto podniků pak celá čtvrtina zaplatila výkupné, přičemž průměrná výše výkupného byla necelých 200 tisíc korun.

Globální zjištění ukazují, že pouze 8 procent organizací dokázalo po zaplacení výkupného získat zpět všechna svá data, zatímco 29 procent z nich získalo zpět ne více než polovinu svých dat. Českým organizacím se však po zaplacení výkupného podařilo získat v průměru 90 procent dat zpět. I přesto statistiky společnosti Sophos ukazují, že pokud se jedná o ransomware, nevyplácí se výkupné platit.

Případné výkupné však není konečná částka, kterou musí vydíraný podnik vynaložit na nápravu. Celkové náklady na nápravu po ransomwarovém útoku obsahují i náklady vzniklé odstávkou firmy, výši ztracených objednávek a jiné provozní náklady, jejichž celková výše se podle studie Sophosu vyšplhala z průměrných 761 106 dolarů v roce 2020 na 1,85 milionu dolarů v roce 2021. To znamená, že průměrné náklady na obnovu po ransomwarovém útoku jsou nyní až desetkrát vyšší než výplata výkupného. Náklady na nápravu škod po ransomwarovém útoku u českých organizací činily v průměru 8,25 milionu korun, což je nejméně ze všech třiceti sledovaných zemí, kam patří i naši sousedé Rakousko, Německo či Polsko.

„Zotavení po ransomwarovém útoku může trvat roky a jde o mnohem víc než jen o dešifrování a obnovení dat,“ uvedl Chester Wisniewski, principal research scientist společnosti Sophos. „Celé systémy je potřeba přestavět od základů a dále je nutné vzít v úvahu provozní prostoje, dopad na zákazníky a mnoho dalšího. Navíc se vyvíjí i definice, co vlastně „ransomwarový“ útok představuje. U sice malé, ale významné skupiny respondentů znamenaly útoky požadavek na platbu i bez zašifrování dat. Může to být proto, že měli zavedeny technologie na obranu proti ransomwaru, které blokovaly fázi šifrování, nebo proto, že se útočníci jednoduše rozhodli data nezašifrovat. Je pravděpodobné, že útočníci požadovali platbu výměnou za to, že ukradené informace nezpřístupní na internetu. Nedávný příklad tohoto přístupu zahrnoval ransomwarový gang Clop a známého, finančně motivovaného původce hrozeb, který zasáhl kolem tuctu údajných obětí útoky založenými jen na vydírání.“

Jak se bránit

Stručně řečeno, více než kdy jindy je důležitější chránit se před protivníky přede dveřmi, ještě než dostanou šanci spustit a rozvinout svoje stále všestrannější útoky. Naštěstí, pokud už jsou organizace napadeny, nemusí této výzvě čelit samy. Podporu v podobě externích bezpečnostních operačních center, lidmi řízeného pronásledování hrozeb a služeb reakce na incidenty nabízí v režimu 24/7 řada renomovaných expertních společností. Sophos pak doporučuje následujících šest osvědčených postupů, které pomohou organizacím bránit se před ransomwarem a souvisejícími kybernetickými útoky:

• Předpokládejte, že budete napadeni. Ransomware je stále velmi rozšířený. Proti riziku není imunní žádný sektor, země ani organizace. Je lepší být připraven, ale nezasažen než naopak.
• Zálohujte a udržujte si off-line kopii. Zálohy jsou hlavní metodou, kterou dotazované organizace používaly k obnovení svých dat po útoku. Nasaďte standardní oborový přístup 3:2:1 (tři sady záloh, používání dvou různých médií, z nichž jedno je uloženo off-line).
• Nasaďte vícevrstvou ochranu. Protože stále více ransomwarových útoků zahrnuje také vydírání, je v první řadě důležitější než kdy jindy udržet protivníky venku. Použijte vícevrstvou ochranu k blokování útočníků na co největším počtu bodů v rámci celé infrastruktury.
• Kombinujte lidské odborníky a technologii na obranu před ransomwarem. Klíčem k zastavení ransomwaru je hloubková ochrana, která kombinuje specializovanou technologii nad obranu před ransomwarem a lidmi vedené pronásledování hrozeb. Technologie poskytuje rozsah a automatizaci, kterou organizace potřebuje, zatímco lidští odborníci jsou nejlépe schopni zjistit taktiku, techniky a postupy, které naznačují, že se útočník pokouší o průnik do prostředí. Pokud sami nemáte potřebné schopnosti, poohlédněte se po podpoře ze strany společnosti specializované na kybernetickou bezpečnost. Bezpečnostní operační centra (Security Operation Center, SOC) jsou dnes reálnou možností pro organizace všech velikostí.
• Neplaťte výkupné. Snadno se to řekne, ale není snadné to udělat, když se organizace kvůli ransomwarovému útoku zcela zastaví. Bez ohledu na etiku je zaplacení výkupného neefektivním způsobem, jak získat data zpět. Pokud se rozhodnete zaplatit, mějte na paměti, že protivníci obnoví v průměru pouze dvě třetiny vašich souborů.
• Připravte si plán obnovy po útoku malwaru. Nejlepším způsobem, jak zabránit tomu, aby se kybernetický útok změnil v úplné přerušení provozu, je připravit se předem. Organizace, které se stanou oběťmi útoku, si často uvědomují, že by se mohly vyhnout významným finančním ztrátám a narušení provozu, pokud by měly zavedený plán reakce na incidenty.