Niniejszy artykuł powstał na podstawie Poradnika dla członków zarządów (Cyber Security Toolkit) przygotowanego przez Narodowe Centrum Bezpieczeństwa Cybernetycznego (National Cyber Security Center).
Zawiera praktyczne wskazówki dla kadry zarządzającej, w jaki sposób uniknąć ataku ransomware oraz zapewnić bezpieczeństwo danych w środowisku IT organizacji. Poniżej przedstawiamy odpowiedzi na pytania, które członkowie zarządu mogą i powinni zdać swoim specjalistom od IT.
Dlaczego członkowie zarządu powinni interesować się problematyką ransomware?
Bezpieczeństwo środowiska IT w organizacji jest jednym z najważniejszych obowiązków zarządu. Jego członkowie powinni szczególnie zadbać o skuteczną ochronę przed ransomware, ponieważ ataki tego typu stają się coraz częstsze i coraz bardziej wyrafinowane.
Ataki ransomware mogą nieść za sobą negatywne skutki dla organizacji i powodować ogromne straty zarówno finansowe jak i wizerunkowe. Przywrócenie systemu i baz danych do prawidłowego działania może zająć wiele czasu. Ponadto incydenty tego rodzaju mogą bardzo negatywnie wpłynąć na wizerunek organizacji w opinii publicznej i mediach jak również wpłynąć na utratę zaufania kontrahentów.
Co członkowie zarządu powinni wiedzieć o oprogramowaniu ransomware?
Skomplikowany język programowania zarezerwowany jest dla specjalistów od IT, dlatego też członkowie zarządu nie muszą wiedzieć czym się różni Trickbot od Ryuk, ale znajomość podstaw działania ransomware ułatwi im prowadzenie konstruktywnych rozmów ze specjalistami IT.
Co zatem warto wiedzieć o oprogramowaniu ransomware?
- to rodzaj złośliwego oprogramowania, które uniemożliwia dostęp do komputera (lub przechowywanych na nim danych). Zazwyczaj dane są szyfrowane (aby nie można było z nich korzystać), ale mogą też zostać skradzione lub udostępnione online.
- większość oprogramowania ransomware, które obecnie występuje, zagraża sieci całej organizacji, a nie tylko jednego użytkownika czy komputera. Po uzyskaniu dostępu do systemu atakujący zwykle potrzebują trochę czasu aby ustalić lokalizację kluczowych danych, oraz w jaki sposób są tworzone i przechowywane ich kopie zapasowe. Posiadając taką wiedzę atakujący może zaszyfrować całą sieć w najbardziej newralgicznym momencie.
- atak ransomware jest przestępstwem a atakujący cyberprzestępcami.
- atakujący zwykle kontaktuje się z ofiarą za pomocą niemożliwego do wyśledzenia adresu e-mail (lub z anonimowej strony internetowej) i żąda zapłaty za odblokowanie komputera i/lub dostęp do danych. Zapłata jest zwykle wymagana w kryptowalucie np. Bitcoin i może być uzależniona od czasu, jaki atakujący spędził na analizowaniu sieci i wycenie wartości przechowywanych na niej danych.
- zaatakowana organizacja nigdy nie ma gwarancji czy po zapłacie okupu odzyska dostęp do zaatakowanego komputera lub danych.
- cyberprzestępcy zazwyczaj grożą ujawnieniem poufnych danych skradzionych z sieci w wyniku ataku, jeśli okup nie zostanie zapłacony.
- eksperci odradzają płacenie okupu atakującym przestępcom m.in. z obawy, że płacenie okupu zachęci cyberprzestępców do kontynuowania takich ataków.
Pięć kluczowych pytań o ransomware do specjalistów IT
Skąd organizacja i jej członkowie zarządu powinni wiedzieć, kiedy doszło do incydentu?
Między uzyskaniem przez atakującego dostępu do systemu organizacji, a uruchomieniem oprogramowania ransomware często upływa dużo czasu (ang. dwell time). Wczesne wykrycie nieautoryzowanego dostępu do systemu może pomóc w powstrzymaniu ataku, dlatego należy uwzględnić następujące kwestie:
- czy zarząd wyraźnie określił procedury w razie podobnych ataków, o którym ma być informowany o incydencie?
- jak monitorowane są bazy zawierające min. kluczowe dane w tym dane osobowe, których naruszenie, utrata lub zmiana uderzyłyby w organizację?
- kto w organizacji odpowiedzialny jest za monitorowanie systemów i logów i czy posiada wystarczającą wiedzę, aby identyfikować nieprawidłową aktywność w sieci?
- jakie mechanizmy umożliwiają pracownikom i współpracownikom zgłaszanie podejrzanych działań?
- czy poziomy alertów są odpowiednio ustawione (tzn. czy są na tyle niskie, aby ostrzec o potencjalnych incydentach, ale jednocześnie na tyle wysokie, aby zajmujący się nimi zespół nie był przeładowany nieistotnymi informacjami)?
- czy specjaliści IT znają wszystkie zasoby w organizacji i ich stan? (wiele ataków może być przeprowadzonych za pośrednictwem sprzętu, który nie został należycie sprawdzony).
Jakie środki powinna podjąć organizacja, aby zminimalizować szkody, które atakujący mogą wyrządzić w jej sieci?
Ataki ransomware wyrządzają duże szkody i mogą szybko rozprzestrzeniać się w systemie organizacji. Dlatego warto zapytać:
- w jaki sposób organizacja uwierzytelnia dostęp użytkowników lub systemów? czy możliwe jest przełamanie barier i czy dostęp jest zapewniony tylko w razie potrzeby?
- w jaki sposób organizacja może zidentyfikować obecność atakującego w sieci? czy korzysta z monitoringu sieci?
- jak separuje się sieć, aby w przypadku uzyskania dostępu przez atakującego do jednego urządzenia nie miał on dostępu do całego systemu organizacji?
Czy organizacja posiada procedury zarządzania incydentami cyberbezpieczeństwa i jak może zapewnić skuteczność systemu?
Organizacje powinny podchodzić do ataków ransomware na zasadzie ryzyka tj. „kiedy to się zdarzy” a nie „czy to się zdarzy”. Dlatego ważne jest, aby w organizacji działały odpowiednie procedury zarzadzania incydentami pozwalające na szybką reakcję w razie ataku.
Procedury zarządzania incydentami powinny zawierać następujące elementy:
- identyfikacja kluczowych osób do kontaktu (np. zespół reagowania na incydenty lub dostawca, kierownictwo wyższego szczebla, prawnicy, HR).
- precyzyjne określenie ścieżek możliwych zagrożeń (np. dla kierownictwa wyższego szczebla) i zdefiniowane procesów dla znaczących decyzji.
- jasny podział odpowiedzialności (szczególnie wskazanie, czy dotyczy on ograniczonej odpowiedzialności podczas godzin pracy, czy pełnej odpowiedzialności 24/7).
- wskazanie numeru telefonu do kontaktów w nagłych przypadkach.
- posiadanie wymogów proceduralnych (np. kiedy należy zgłaszać incydenty i kiedy korzystać z pomocy prawnej).
- wskazanie środków awaryjnych dla sytuacji krytycznych.
- podstawowy schemat działania, podczas którego można uzyskać ewentualny dostęp do danych, (nawet jeśli pracownik nie ma dostępu do swojego komputera); ponadto należy zapewnić dostępność offline najbardziej istotnych informacji (np. zasad zarządzania incydentami i zasobów, takich jak listy kontrolne i dane kontaktowe).
Praca dobrymi narzędziami RODO to nie praca!
- czy i jak często wykonywane są symulacje incydentów cyberataków, jakie wnioski są z nich wyciągane?
- na jaki poziom wiedzy specjalistycznej ze strony IT organizacja liczyć? Czy możliwe jest skorzystanie z usług firmy wyspecjalizowanej w zarzadzaniu cyberatakami?
Czy procedura zarządzania incydentami w organizacji spełnia szczególne wyzwania związane z atakami ransomware?
Istnieją szczególne cechy ataków ransomware, których ogólne plany zarządzania incydentami mogą w pełni nie uwzględniać. Zatem istotne jest to, aby omówić następujące problemy:
- jak należy zareagować na żądanie okupu, gdy osoby atakujące grożą opublikowaniem wrażliwych danych? Kto ma podjąć taką decyzję? (Jak wspomniano wyżej, zdecydowanie odradza płacenie okupu. Nie ma gwarancji, że spełnienie żądań przestępców da pozytywny wynik, i nie ochroni sieci przed przyszłymi atakami ani nie zapobiegnie wyciekom danych w przyszłości).
- czy organizacja jest przygotowana na proces odzyskiwania danych (ang. recovery), który może potrwać kilka tygodni i którego skutki prawdopodobnie potrwają jeszcze dłużej (z uszczerbkiem dla reputacji firmy i marki)?
W jaki sposób tworzone są kopie zapasowe danych organizacji i czy jest pewność, że pozostaną one nienaruszone przez atak ransomware?
Ransomware często atakuje kopie zapasowe danych, ponieważ zwiększa to prawdopodobieństwo, że organizacja zapłaci okup. Zatem ważne jest, aby zarząd wiedział, w jaki sposób tworzone są kopie zapasowe i jak są one zabezpieczane. Należy więc zapytać:
- jakie dane są uważane za znaczące i jak często są tworzone kopie zapasowe?
- jak często tworzone są kopie zapasowe danych?
- jaki jest stopień pewności, że będzie możliwe odzyskanie danych z tych kopii zapasowych? Jaka jest częstotliwość sprawdzania kopii zapasowych?
- jak przechowywane są kopie zapasowe? czy są przechowywane offline/w innej lokalizacji niż sieć organizacji/ w chmurze?
- czy istnieje polityka tworzenia kopii zapasowych i czy jest zgodna z zasadami opisanymi w poradniku Kopie zapasowe offline w świecie online?
Podsumowanie
Omówione zagadnienia zawierają wiele cennych wskazówek dla zarządów organizacji. Koncentrują się przede wszystkim na zagrożeniu atakami ransomware, które stanowią poważne ryzyko dla organizacji na całym świecie. Podkreślenia wymaga, że zarządy i osoby decyzyjne odgrywają kluczową rolę w ochronie przed ransomware, poprzez świadomość, działania proaktywne i odpowiednie inwestycje w cyberbezpieczeństwo. Nie uda się to jednak bez odpowiednich, świadomych działań zarządów, wdrażania polityk bezpieczeństwa, regularnych szkoleń pracowników oraz utrzymania regularnych kopii zapasowych danych. Ważne jest aby organizacje w swoich zasobach posiadały procedury reagowania na ataki ransomware oraz podejmowały współpracę z dostawcami usług cyberbezpieczeństwa w celu monitorowania i ochrony infrastruktury IT.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jakie działania należy podjąć, aby zabezpieczyć organizację przed atakami ransomware?