Dlaczego same kopie zapasowe nie są wystarczające

Dlaczego tworzenie kopii zapasowych jest dobre, ale nie wystarczy, jeśli chodzi o ochronę przed ransomware.

Wydaje się, że słowo ransomware znają już dziś nawet najmłodsze dzieci — niepokojąco regularnie pojawia się ono w gazetach, magazynach, raportach z bezpieczeństwa informacji, a także wszędzie indziej. Rok 2016 moglibyśmy nazwać rokiem ransomware, a jednak w porównaniu do 2017 wypadł on wcale nie tak najgorzej. Po dość spokojnym 2018 i 2019, w 2020 roku ransomware ponownie zagościło na pierwszych stronach gazet.

Na naszym firmowym blogu znajdziesz mnóstwo artykułów poświęconych ransomware. W niemal wszystkich radzimy, aby:

  1. korzystać z dobrej ochrony,
  2. nigdy nie pobierać podejrzanych plików z podejrzanych stron, nie otwierać podejrzanych załączników do wiadomości e-mail otrzymanych od podejrzanych osób, a także uczulać na to pracowników,
  3. regularnie tworzyć kopię zapasową danych.

Co jakiś czas słyszę: u nas ochrona i świadomość pracowników są na dobrym poziomie. Po co zawracać sobie głowę wzmocnieniem ochrony i szkoleniem pracowników, skoro i tak regularnie tworzymy kopie zapasowe? Jeśli więc zaatakuje nas ransomware, wszystko zdołamy przywrócić.

Nie do końca może to być takie proste.

Kopie zapasowe muszą działać

Kopie zapasowe są oczywiście niezbędne; jednak czy ktoś próbował kiedyś przywrócić firmową infrastrukturę z kopii zapasowej? Może to nie być takie proste — im więcej komputerów jest w firmie, a także im bardziej heterogeniczna jest infrastruktura, tym trudniejsze jest to zadanie. Doświadczeni zawodowcy IT z pewnością spotkali się z sytuacjami, w których kopie zapasowe nie do końca były w stanie wszystko przywrócić lub nie przywróciły wszystkiego zgodnie z oczekiwaniami. Ponadto proces ten nie odbywał się tak szybko, jak by chciały tego ofiary. A czasami kopie zapasowe nie działają wcale.

Każda osoba, która kiedykolwiek korzystała z kopii zapasowych, wie, że należy regularnie sprawdzać ich integralność, testowo uruchamiać serwer w środowisku przejściowym, jak również upewniać się, że gdy zajdzie taka potrzeba, przywracanie nie zajmie zbyt wiele czasu. Osoby, które nigdy nie próbowały przywrócić dane z kopii zapasowej, powinny uświadomić sobie, że w godzinie zero może ona okazać się nieprzydatna.

Jest jeszcze inny problem: jeśli serwer, na której są one przechowywane, znajduje się w sieci, ransomware zaszyfruje także i jego, wraz z pozostałymi komputerami w tej sieci — co oznacza, że naprawa będzie niemożliwa.

Wnioski: Zwiększ swoje szanse na szybkie wycofanie niepożądanych zmian poprzez podzielenie sieci na segmenty, rozsądne tworzenie kopii zapasowej, a także testowe wykonywanie przywracania.

Przywracanie oznacza przestój w działaniu firmy — a on niesie ze sobą straty

W przypadku dużych firm, w których jest wiele różnych urządzeń, a infrastruktura jest zdywersyfikowana, szybkie przywrócenie do poprzedniego stanu jest raczej mało prawdopodobne. Nawet jeśli kopia zadziała poprawnie, a Tobie uda się wszystko przywrócić, trzeba będzie poświęcić na to sporo czasu.

Podczas tych tygodni (tak, prawdopodobnie zajmie to kilka tygodni, a nie dni), działalność firmy będzie zawieszona. Według niektórych eliminowanie skutków takiego incydentu, a zatem koszt przestoju firmy, może kosztować mniej niż spełnienie żądań i zapłata okupu (stanowczo to odradzamy). Tak czy inaczej, przestój po ataku ransomware jest nieunikniony; nie można odszyfrować i odzyskać wszystkich systemów i usług tak zwyczajnie, nawet jeśli cyberprzestępcy są na tyle mili, że udostępnią narzędzie deszyfrujące. W prawdziwym świecie cyberprzestępcy nie są mili, a nawet jeśli tak się dzieje, narzędzie deszyfrujące niekoniecznie może zadziałać zgodnie z oczekiwaniami.

Wnioski: Aby uniknąć przestoju związanego z atakiem ransomware, nie daj się zainfekować. Zainwestuj w odpowiednią ochronę i zwiększaj świadomość pracowników w kwestiach cyberbezpieczeństwa.

Współczesne ransomware jest gorsze niż zwykłe programy szyfrujące

Gangi ransomware, które zwykle atakują użytkowników końcowych, żądają za odszyfrowanie około 300 dolarów w kryptowalucie. Jednak częściej dochodzą do wniosku, że znacznie opłacalniejsze jest dla nich atakowanie firm, które mogą zapłacić — i zrobią to z większym prawdopodobieństwem — w znacznie większej kwocie. Niektórzy cyberprzestępcy nie mają skrupułów i atakują nawet organizacje medyczne: w tym roku zaatakowanych zostało wiele szpitali, a niedawno ucierpiała firma uczestnicząca w łańcuchu dostaw szczepionki na koronawirusa.

Dziś ransomware nie tylko szyfruje, lecz czyha potajemnie w sieci i gromadzi tak wiele danych, jak tylko zdoła. Dane te są następnie analizowane i wykorzystywane do szantażowania firm ich zaszyfrowaniem lub udostępnieniem (lub tym i tym). Odmowa zapłaty może skutkować także opublikowaniem danych osobowych klientów lub tajemnic handlowych firmy. A gdy firma straci reputację, może już jej nie odzyskać. Ponadto taki wyciek może być przyczyną kłopotów związanych np. z RODO.

Jeśli włamywacz postanowi udostępnić tajemnice firmy lub dane osobowe użytkowników, kopie zapasowe zdadzą się tu na nic. Co więcej, jeśli te kopie przechowujesz w miejscach, do których stosunkowo łatwo może uzyskać dostęp osoba postronna (np. z chmury), mogą one również udostępnić informacje, które mogą posłużyć do szantażowania Cię.

Wniosek: Kopie zapasowe są niezbędne, ale same w sobie nie wystarczą, aby ochronić firmę przed ransomware.

Trzy filary ochrony przed ransomware

Ponieważ nie istnieje złoty środek zabezpieczający przed ransomware, nasza porada pozostaje niezmienna: tworzenie kopii jest niezbędne, ale musi zostać wykonane poprawnie, z należytą starannością, a ponadto co jakiś czas należy próbować przywrócić dane. Warto również wiedzieć, jak często firma tworzy kopie zapasowe swoich danych i gdzie są one przechowywane. Wszyscy zainteresowani pracownicy muszą również znać dokładne instrukcje, w jaki sposób szybko wznowić działanie.

Konieczna jest również ochrona — nie tylko reaktywna, ale także proaktywna, która ochroni przed zagrożeniami próbującymi przedostać się do sieci firmowej. Niemniej ważne jest szkolenie pracowników w zakresie podstaw cyberbezpieczeństwa, jak również regularne sprawdzanie stanu ich wiedzy.

Podsumowując, Twoja ochrona sprowadza się do trzech aspektów: kopia zapasowa, ochrona, świadomość. Muszą one być stosowane łącznie, bo tylko wtedy możesz mieć pewność, że stosujesz optymalną strategię ochrony przed ransomware.

Porady