Co to jest złośliwe oprogramowanie (malware)?
Mianem „złośliwego” określa się ogół oprogramowania, którego działanie jest niepożądane przez użytkownika ze względu na uciążliwość, szkodliwość dla systemu komputerowego lub danych przechowywanych w systemie. Złośliwe oprogramowanie (ang. malware) może utrudnić lub uniemożliwić korzystanie z urządzenia, doprowadzić do skasowania lub wycieku informacji (w tym danych osobowych i uwierzytelniających), a nawet doprowadzić do częściowego lub całkowitego przejęcia kontroli nad urządzeniem.
Angielski termin malware powstał z połączenia słów „malicious” (złośliwy, złowrogi) oraz „software” (oprogramowanie). Jest wiele rodzajów malware. Na przykład malware typu adware może być uciążliwe, ponieważ wyświetla na ekranie użytkownika niechciane i irytujące reklamy. Inny rodzaj malware – spyware, może zbierać informacje o stronach odwiedzanych przez użytkownika. Działanie to narusza prywatność, przy czym celem spyware nie musi być wyrządzenie szkody, ale pozyskanie statystycznych informacji o preferencjach użytkowników, aby dostosować wyświetlane treści marketingowe.
Znacznie większe zagrożenie stanowi malware, którego głównym celem jest wyrządzenie szkody, na przykład danym przechowywanym na zasobach urządzeń elektronicznych. W XXI wieku informacja, pomimo, iż ma niematerialny charakter, może posiadać większą wartość niż aktywa materialne. Z tego względu wszelkie zagrożenia dla gromadzonych danych należy traktować bardzo poważnie.
Ransomware – szczególne niebezpieczeństwo dla danych
Jednym z najbardziej niebezpiecznych rodzajów złośliwego oprogramowania jest ransomware (od ang. ransom – okup), którego celem jest zazwyczaj wyłudzenie pieniędzy. Oprogramowanie ransomware opiera się na możliwościach technicznych, jakie daje współczesna kryptografia. Co do zasady znacznie łatwiej jest skutecznie zaszyfrować dane, niż złamać szyfr bez posiadania odpowiedniego klucza. Oznacza to, że dane mogą być zaszyfrowane w mgnieniu oka przez procesor zwykłego laptopa, a ich odszyfrowanie bez znajomości klucza może potrwać wiele lat, choćby skorzystano z najmocniejszych superkomputerów na świecie.
Osoby posługujące się oprogramowaniem ransomware wykorzystują powyższe uwarunkowania do zaszyfrowania danych na nośnikach komputerowych, by następnie zażądać zapłaty określonej sumy pieniędzy, w zamian za klucz deszyfrujący. W teorii zaszyfrowane dane pozostają na dyskach zaatakowanego systemu, jednak w praktyce poszkodowany nie ma pewności, że po dokonaniu wpłaty otrzyma niezbędny klucz. Nie ma też skutecznej możliwości sprawdzenia, czy dane nie zostały już trwale zniszczone.
Atak ransomware – jak się zabezpieczyć? Rola kopii zapasowych
Z uwagi na zagrożenie atakami ransomware, administrator systemu powinien wcześniej podjąć odpowiednie kroki, które skutecznie wyeliminują, a przynajmniej ograniczą zakres grożących strat. Zalecenia dotyczące przygotowania na atak ransomware przedstawiono w poradniku National Cyber Security Centre (dalej „NCSC”), brytyjskiej instytucji rządowej doradzającej publicznemu i prywatnemu sektorowi w dziedzinie bezpieczeństwa teleinformatycznego.
Przede wszystkim, należy regularnie tworzyć kopie zapasowe (backup). Kopie zapasowe stanowią najbardziej skuteczną metodę zniwelowania skutków ataku typu ransomware. Kopie zapasowe muszą być jednak wykonane prawidłowo. Przestrzegamy, że backupy są zazwyczaj celem równoległego ataku. Przestępcy internetowi mają świadomość, że zniszczenie lub równoczesne zaszyfrowanie kopii zapasowych zwiększy prawdopodobieństwo otrzymania okupu, bowiem postawi poszkodowanego w sytuacji bez wyjścia.
Aby zminimalizować ryzyko, sugerujemy, aby urządzenia, na których znajdują się kopie zapasowe, nie pozostawały stale podłączone do sieci, choćby to była sieć wewnętrzna organizacji. O ile to możliwe, urządzenia, na których przechowywane są kopie zapasowe, powinny być przechowywane w odrębnej lokalizacji. Warto tworzyć wiele kopii.
Alternatywnym rozwiązaniem, mającym na celu ochronę kopii zapasowych, jest skorzystanie z odpowiednich usług chmurowych, które umożliwiają zachowanie poprzednich wersji plików. To istotne, bowiem najnowsza wersja pliku, która jest zsynchronizowana automatycznie z urządzenia użytkownika do usługi chmurowej, może być już zaszyfrowana przez ransomware.
Zapobieganie rozprzestrzenianiu się malware i ochrona urządzeń przed zainfekowaniem
Należy podjąć działania mające na celu zapobieżenie rozprzestrzeniania się malware pomiędzy urządzeniami w sieci. Jednym z działań zapobiegawczych jest automatyczne monitorowanie i filtrowanie treści przesyłanych poprzez urządzenia. Przykładem może być filtrowanie poczty e-mail pod kątem załączników zawierających złośliwe oprogramowanie. Innym przykładem filtrowania jest blokowanie stron internetowych, które są znane z rozpowszechniania malware.
Rozpowszechnianie złośliwego oprogramowania może zostać ograniczone przez takie działania, jak zabezpieczenie protokołów zdalnego dostępu (RDP i SSH), korzystanie z usług DNS dedykowanych bezpieczeństwu, zabezpieczanie komunikacji przez VPN. Niezbędne jest regularne łatanie znanych błędów oprogramowania. Skutecznym zabezpieczeniem jest stosowanie uwierzytelniania wielopoziomowego (MFA, ang. multi-factor authentication), którego przykładem jest uwierzytelnianie dwuetapowe, znane polskim użytkownikom z aplikacji bankowych
Standardowy poziom zdalnego dostępu, nawet w przypadku użytkowników uprzywilejowanych, powinien być ustawiony na poziomie niższym niż administracyjny, z ewentualną możliwością podwyższenia poziomu uprawnień po udanym zalogowaniu. Należy pamiętać o regularnym przeglądzie istniejących dostępów i ograniczyć te dostępy użytkowników, które nie są niezbędne.
Odrębna grupa zabezpieczeń powinna chronić urządzenia w przypadku, gdy powyższe bariery nie powstrzymają rozpowszechniania malware. Konieczność stałej aktualizacji oprogramowania jest tu także oczywista, zwłaszcza w zakresie łat usuwających wykryte podatności. Zalecamy przy tym ustawienie automatycznych aktualizacji oraz korzystanie z najnowszych wersji systemu operacyjnego.
Nie można zapomnieć o drobiazgach, które czynią urządzenia w większym stopniu podatnymi na atak, na przykład o wyłączeniu funkcji automatycznego uruchamiania oprogramowania umieszczonego na zewnętrznych nośnikach. Administratorzy systemu powinni także zabezpieczyć lub nawet ograniczyć funkcjonalność skryptów i makr uruchamianych poprzez PowerShell, a także makr w pakiecie Office.
Dodatkowy poziom zabezpieczeń może zapewnić system centralnego zarządzania urządzeniami służbowymi, który zablokuje użytkownikom możliwość instalowania aplikacji pochodzących z nieznanych źródeł.
Na koniec, poza dbałością o przygotowanie urządzeń, niezbędne jest przygotowanie personelu. Pracownicy powinni posiadać wiedzę dotyczącą zagrożeń związanych ze złośliwym oprogramowaniem, którą mogą zdobyć na przykład poprzez szkolenia z zakresu bezpieczeństwa informacji. Ten końcowy element jest niezbędny, bowiem najlepsze zabezpieczenia nie będą skuteczne, gdy najsłabszym ogniwem pozostanie człowiek.
Działania podejmowane w przypadku ataku typu ransomware
Należy przestrzec przed trywializowaniem zagrożenia, jakie stanowią ataki ransomware. Za błędny należy uznać pogląd, iż ataki tego typu są skierowane przeciwko konkretnym, dużym organizacjom. W istocie ofiarami ataku mogą być podmioty całkowicie przypadkowe, bowiem malware może rozpowszechniać się w sposób automatyczny. Najlepszym przykładem był atak WannaCry, który rozpoczął się w 2017 r. i zainfekował ponad 300 tys. komputerów w 99 krajach, nie oszczędzając zarówno wielkich międzynarodowych korporacji, jak i małych przedsiębiorców oraz organizacji publicznych. Istnienie powszechnego zagrożenia uzasadnia przygotowanie odpowiednich procedur i metod postępowania na wypadek najgorszego scenariusza, w którym praktycznie wszystkie urządzenia w organizacji będą zablokowane, a część lub całość danych okaże się niemożliwa do odzyskania.
W przypadku ataku należy niezwłocznie odłączyć zainfekowane urządzenia od sieci; dotyczy to połączeń kablowych, jak i bezprzewodowych. W krytycznych przypadkach należy rozważyć całkowite wyłączenie dostępu poprzez Wi-Fi, a także kluczowych switchy w sieci wewnętrznej. Wszelkie używane hasła powinny być niezwłocznie zmienione, a zaszyfrowane urządzenia bezpiecznie wyczyszczone, w celu ponownego zainstalowania systemu. Przed przywróceniem danych z kopii zapasowych należy zweryfikować, czy dane zarchiwizowane w kopiach zapasowych są wolne od złośliwego oprogramowania. Dopiero po przywróceniu kopii zapasowych można ponownie podłączyć urządzenia do sieci, przy jednoczesnym starannym monitorowaniu generowanego ruchu sieciowego, pod kątem dalszej obecności malware.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Uprzednie opracowanie planu działania
Plan działania w przypadku ataku jest niezbędny, aby jasno ustalić podział odpowiedzialności i obowiązków poszczególnych pracowników w sytuacji kryzysowej. Organizacja powinna być przygotowana na okoliczność, iż zaszyfrowane zostaną także dokumenty przygotowane na wypadek ataku, dlatego procedury działania oraz kluczowe informacje, takie jak lista kontaktów, powinny być przechowywane w obszarze wolnym od zagrożeń ransomware, np. w zasobach odłączonych od sieci (także wewnętrznej), bądź w wersji papierowej.
Przygotowanie każdego planu wymaga analizy obecnej sytuacji. Kierujący organizacją powinien ustalić kluczowe zasoby danych w organizacji oraz oszacować skutki ich ewentualnej utraty. Ponadto, warto wcześniej ustalić zakres obowiązków prawnych związanych z atakiem ransomware.
Przykład
W sytuacji, gdy w wyniku ataku zostaną zaszyfrowane dane osobowe, administrator danych powinien zidentyfikować swoje obowiązki wynikające z art. 33 i 34 RODO, związane z naruszeniem ochrony danych osobowych. Zgodnie z art. 4 pkt 12 RODO, przez naruszenie ochrony danych osobowych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Powyższa sytuacja zazwyczaj nastąpi w przypadku ataku typu ransomware, bowiem zaszyfrowanie oznacza, że dane zostały zmodyfikowane, a w przypadku braku kopii zapasowej można przyjąć, że także zostały zniszczone lub utracone. Istnieje ryzyko, że dokonany atak doprowadził jednocześnie do wycieku danych do osób nieupoważnionych, co jest równoznaczne z ich nieuprawnionym ujawnieniem.
Administrator zobowiązany jest do zgłoszenia zdarzenia do Prezesa Urzędu Ochrony Danych Osobowych w przypadku, gdy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenia należy dokonać w terminie 72 godzin od stwierdzenia naruszenia. W sytuacji, gdy ryzyko naruszenia praw i wolności osób fizycznych jest wysokie, należy dodatkowo i bez zbędnej zwłoki zawiadomić o zdarzeniu osoby, których dane dotyczą.
Podsumowanie
Ryzyko ataku ransomware ma charakter powszechny, dlatego w żadnym razie nie może zostać zlekceważone. Ataki tego typu stanowią jedno z najpoważniejszych zagrożeń dla zgromadzonych danych, ze względu na łatwość rozpowszechniania złośliwego oprogramowania.
Wdrożenie odpowiednich zabezpieczeń, popartych skutecznymi planami i procedurami działania nie jest łatwe, bowiem wymaga wiedzy i doświadczenia. W przypadku, gdy organizacja nie posiada odpowiedniego przygotowania w tej dziedzinie, powinna skorzystać ze wsparcia specjalistów w modelu outsourcingu, bowiem staranne przygotowanie na atak typu ransomware stanowi podstawowy obowiązek każdego administratora.