Eksperci Cisco Talos, analitycznej komórki Cisco zajmującej się cyberbezpieczeństwem, przekonują, że ransomware jest zagrożeniem, z którym musi zmierzyć się każda organizacja. Jak wynika z badania Sophos, w ostatnim roku 37% organizacji padło jego ofiarą. Skala zjawiska jest tak powszechna, a potencjalne straty na tyle dotkliwe, że ransomware staje się ważnym punktem spotkań kadry kierowniczej C-level.
Czasy, gdy wyłączna odpowiedzialność za przygotowanie organizacji na ataki ransomware leżała po stronie specjalistów ds. cyberbezpieczeństwa minęły bezpowrotnie. Według badania przeprowadzonego przez Veritas Technologies, 40% przedstawicieli opinii publicznej obarcza winą za takie wydarzenie liderów biznesowych. Włączenie przedstawicieli kadry kierowniczej w proces walki z cyberzagrożeniami sprawia, że zyskują oni wiedzę niezbędną, aby nawiązać dialog z interesariuszami w przypadku wystąpienia ataku.
7 pytań do CEO
„Wiele organizacji koncentruje swoje działania na zapobieganiu początkowemu atakowi, a nie reagowaniu, po tym, jak cyberprzestępcy z powodzeniem zdobędą przyczółek w firmie. Atak ransomware jest zwykle procesem wieloetapowym. To właśnie członkowie kadry zarządzającej mają kompetencje, aby stworzyć strategię, która spowolni przeciwnika i utrudni jego atak na tyle, że porzuci swoje starania” - mówi Nate Pors, analityk Cisco Talos.
Oto kilka przykładów pytań, które powinni sobie zadać eksperci na poziomie zarządu, odpowiadający za plany dotyczące cyberbezpieczeństwa:
1. Czy Twoja organizacja posiada standardowe procedury operacyjne dla ransomware i regularnie szkoli się na wypadek wystąpienia tego rodzaju ataku?
2. Jak szybko zachodzą poszczególne procesy w przypadku wykrycia podejrzanej aktywności np. ile zajmuje zmiana wszystkich haseł do kont uprzywilejowanych w całym przedsiębiorstwie?
3. Czy Twoja organizacja posiada odpowiednie narzędzia umożliwiające szybkie odizolowanie zagrożonego segmentu sieci?
4. Czy w Twojej organizacja funkcjonuje zasada Zero Trust?
5. Czy Twój zespół wie, gdzie znajdują się krytyczne dane i czy są one odpowiednio zaszyfrowane?
6. Czy Twój zespół wie, które usługi są kluczowe dla biznesu i jakie mają zależności techniczne?
7. Czy kopie zapasowe w Twojej organizacji są tworzone nadmiarowo i są chronione przed przypadkowym dostępem przez przejęte konto administratora?
Ransomware i co dalej?
Zdaniem ekspertów Cisco Talos organizacje mogą ograniczyć ryzyko ataku ransomware, ale nie da się mu całkowicie zapobiec. Gdy do niego dojdzie, pojawia się ważne pytanie - „Jak zakomunikować ten fakt?”. W komunikacji wewnętrznej warto ustalić konkretne kanały przekazywania informacji, które nie będą zależne tylko od sieci komputerowej na wypadek, gdyby atak wymusił pracę w trybie offline. W komunikacji zewnętrznej najbardziej liczy się czas. Informacje o atakach (w szczególności na duże, rozpoznawalne organizacje) pojawiają się w mediach średnio w ciągu 24 godzin. Zespoły ds. komunikacji i PR powinny posiadać gotowe szablony, których mogą używać przygotowując wstępne odpowiedzi dla przedstawicieli mediów. To pozwoli zaoszczędzić czas i sprawi, że kluczowe informacje nie zostaną pominięte w sytuacji wystąpienia kryzysu. Warto również ustalić procedury akceptacji komunikatów - czy dyrektor generalny musi go osobiście przeczytać, a może wystarczy opinia szefa komunikacji korporacyjnej lub innego członka sztabu kryzysowego - jeżeli takowy jest powołany w ramach organizacji. W przypadku wystąpienia ataku niezwykle ważne jest ustalenie zasad komunikacji z klientami. Osoby odpowiadające za ten obszar muszą posiadać pakiet informacji, aby móc przedstawić prawdziwy obraz sytuacji i uspokoić partnerów biznesowych pokazując, że sytuacja jest pod kontrolą.
Nie każdy przypadek ataku typu ransomware jest taki sam, różne są też jego skutki i skala. Gdy doszło do naruszenia danych wrażliwych, akcjonariusze mogą oczekiwać bezpośredniego zaangażowania CEO organizacji. W przypadku mniejszych ataków zadania można delegować. Zawsze jednak warto konsultować się z działami prawnymi, w szczególności jeżeli chodzi o kwestię opłacenia ewentualnego okupu (np. gdy w atak zamieszania jest organizacja terrorystyczna).
„Niektóre firmy z założenia nigdy nie płacą okupu, jednak nie istnieją żadne dane, potwierdzające czy opublikowanie oświadczenia o takiej treści zmniejsza prawdopodobieństwo stania się celem ataku. Zaobserwowano natomiast odwrotny skutek. Organizacje, które ustanowiły precedens w zakresie płacenia okupu, są częściej atakowane, ponieważ atakujący czują, że mają gwarancję wypłaty. Jak wynika z danych firmy Cybereason, 80% organizacji, które zapłaciły okup, zostało ponownie zaatakowanych wkrótce potem” - ostrzega Nate Pors z Cisco Talos.
Przygotowanie organizacji na atak ransomware w 3 krokach
• Przedstawiciele kadry zarządzającej powinni być ściśle zaangażowani w opracowywanie planu ochrony organizacji przed ransomware.
• Próby ataków ransomware są dziś prawie nieuniknione dla przeciętnej organizacji, ale odpowiednie działania po ich wystąpieniu pozwalają ograniczyć straty.
• Struktura zespołu i dobre plany komunikacyjne są tak samo ważne, jak odpowiednie narzędzia z zakresu cyberbezpieczeństwa.
Źródło: Cisco