Trzepla: O zagrożeniach w cyberprzestrzeni trzeba myśleć wcześniej (ANALIZA)

3 marca 2017, 07:31 Bezpieczeństwo

Ransomware stało się najpowszechniejszym zagrożeniem, które dotyka (może dotknąć) każdego – od korporacji po indywidualnych użytkowników. Jednocześnie, z uwagi na ogromną skalę zjawiska, jest to zjawisko mające wpływ na gospodarkę – mówi portalowi BiznesAlert.pl Jerzy Trzepla, Territory Sales Manager, Poland w firmie WatchGuard Technologies.

Według FBI, w samych tylko Stanach Zjednoczonych w pierwszym kwartale 2016 roku wartość tego biznesu przekroczyła 200 milionów dolarów. Jest to łączna kwota, jaką poszkodowane instytucje zapłaciły w formie okupu. Można zatem przyjąć, że na całym świecie było to ponad 2 miliardy dolarów.

Ta kwota to szacunek zapłaconych okupów. Natomiast faktyczny koszt, uwzględniający przestoje w pracy, likwidację skutków tych zdarzeń, zaangażowanie firm w działania niezwiązane z ich działalnością, jest wielokrotnie wyższy. W raporcie IBM mówi się o 60-krotnym wzroście ataków tego typu.

Przyczyn takiego ogromnego wzrostu jest wiele:

Narzędzia ataków stały się niemal publicznie dostępne. Za stosunkowo nieduże pieniądze można kupić konieczne oprogramowanie i exploity albo wręcz zamówić Ransomware-as-a-service. Znacznie poszerzył się zatem krąg przestępców dopuszczających się takich wymuszeń.

Stan zabezpieczeń firm z segmentu małych i średnich przedsiębiorstw oraz indywidualnych użytkowników internetu jest niewystarczający. Nie ma tam zespołów bezpieczeństwa, nie ma skutecznych narzędzi ochronnych, można mieć zastrzeżenia do istniejących systemów backupu. Dlatego, w przeciwieństwie do dużych organizacji, małe przedsiębiorstwa łatwo padają łupem przestępców.

Ataki na małe firmy i indywidualnych użytkowników nie budzą uwagi mediów. W tych przypadkach kwoty żądanego okupu są na tyle małe, że dla służb policyjnych nie są najwyższym priorytetem. Zdarzały się już przypadki, gdy okup można było zapłacić nie przy użyciu trudno wykrywalnych kryptowalut, ale kartą kredytową, a więc w sposób bardzo łatwy do wyśledzenia.

Głębokość tego rynku, mierzona liczbą małych i średnich przedsiębiorstw, jest na tyle duża, że należy się spodziewać, iż rok 2017 będzie kolejnym rokiem wzrostu liczby ataków ransomware. Tym bardziej, że – jak się okazuje – są firmy, które po zapłaceniu okupu, były ponownie atakowane po kilku miesiącach. Widać, że zapłacenie okupu tylko rozzuchwala przestępców, a więc po ataku należy koniecznie podjąć działania zapewniające ochronę na przyszłość.

Działania, które powinny być podjęte:

Wdrożenie systemów ochrony sieciowej, ochrony serwerów i stanowisk roboczych

Wydaje się, że jest to działanie najskuteczniejsze, gdyż może zapewnić ochronę prewencyjną nawet w razie przypadkowej infekcji wewnętrznej lub sabotażu. Zwłaszcza że mówi się również o możliwości pojawienia się w najbliższej przyszłości ataków typu ransomworm (połączenie ransomware szyfrującego zawartość dysków z robakami, które dokonują samoczynnie infekcji sąsiadujących komputerów).

Wdrożenie systemów backupu zapewniających możliwość odtworzenia danych

Czasem, mimo zapłacenia okupu, nie udaje się odtworzyć utraconych danych – czy to z uwagi na rodzaj podwójnego oszustwa ze strony hackera, czy z powodu jego błędu. Zatem znacznie lepiej jest zadbać o swoje dane, zapewniając sobie możliwość ich odtworzenia.

Szkolenia dla pracowników

Ten element jest powtarzany do znudzenia przez wszystkich, a jednak w dalszym ciągu okazuje się, że najsłabszym ogniwem systemu bezpieczeństwa jest użytkownik siedzący przed ekranem. Ogromna większość dotychczas obserwowanych ataków rozpoczynała się phishingiem lub działaniami z zakresu inżynierii społecznej zachęcającej użytkownika do podążenia za przesłanym łączem lub uruchomienia spreparowanego załącznika. Można zatem powiedzieć, że ofiary same sobie zaszkodziły, nie zachowując właściwej czujności.

Rozumiejąc potrzeby rynku MŚP nasza firma rozszerzyła funkcjonalność urządzeń ochronnych o moduł TDR (Threat Detection and Response). Pozwala ona na śledzenie i analizę zachowania procesów i automatyczne blokowanie ataków typu ransomware na komputerach końcowych.