Edwin Weijdema, technický ředitel pro oblast EMEA a vedoucí technolog pro kybernetickou bezpečnost ve společnosti Veeam Software
Podle studie Veeam Data Protection Trends Report 2023 bylo loni alespoň jednou zasaženo ransomwarovým útokem plných 85 % organizací. Vzhledem k tomu, že těmito útoky trpí téměř všechny organizace, je zřejmé, že tento problém je v dnešní době nejen hojně rozšířený, ale také prakticky nevyhnutelný. Ačkoli to může znít pesimisticky, právě uvědomění si této skutečnosti nám může pomoci tuto všudypřítomnou hrozbu zvládnout. Podívejme se tedy, jaká řešení mohou organizace využít, aby byly schopny s rizikem ransomwaru fungovat.
Pojištění platí jen do určité míry
Je zřejmé, že ransomwarové útoky jsou velmi reálnou a aktuální hrozbou – slyšíme o nich každý den, ať už sledujeme zprávy, nebo jednáme v zasedačkách. Vzhledem k všudypřítomnosti těchto útoků si organizace musí uvědomit, že již není otázkou „zda“, ale „jak často“ ransomware zasáhne i je. Zatímco velké množství organizací zažilo v loňském roce alespoň jeden útok, studie Veeam Data Protection Trends Report ukázala, že necelá polovina (48 %) společností čelila dvěma nebo i třem útokům. Pro organizace jakékoli velikosti to může být zdrcující vyhlídka a přirozeným důsledkem je, že se mnozí uchylují ke kybernetickému pojištění, aby si zajistili klid.
Kybernetické pojištění sice může nahradit škody způsobené ransomwarovým útokem, ale je důležité si uvědomit, že nikdy nemůže zabránit nebo napravit škody či následky ransomwaru v podobě ztráty zákazníků nebo jejich důvěry. Zabránit škodám způsobeným ransomwarem mohou pomoci vzdělávání a transparentnost, což však někdy omezují podmínky kybernetického pojištění.
S rostoucí hrozbou napadení ransomwarem rostou i požadavky poskytovatelů kybernetického pojištění. Nedávná studie Veeam Ransomware Trends Report zjistila, že u více než 20 % dotazovaných organizací nejsou v rámci jejich kybernetického pojištění ransomwarové útoky pokryty. A i když pokryty jsou, někteří poskytovatelé v podmínkách stanovují, že napadené společnosti nemohou o útoku veřejně mluvit. Nešťastným důsledkem toho je, že dnes tak běžná realita ransomwarových útoků zůstává utajena. Doufejme, že se to v příštích letech změní, protože právě díky vzájemnému vzdělávání a sdílení poznatků a chyb můžeme naši obranu proti ransomwarovým útokům posílit.
Mluvit o ransomwarových útocích pomáhá rozptýlit tajemno, které je zahaluje. Přestože se v médiích o ransomwaru hovoří často, mnoho lidí neví, jak ve skutečnosti takový útok probíhá. Může vypadat jako stisknutí vypínače nebo kouzelnický trik, ale skutečnost je mnohem složitější a zdlouhavější. Vzhledem k tomu, že ransomwarovým útokem budou zasaženy téměř všechny organizace (a mnohé již pravděpodobně byly), je znalost celého procesu nezbytná pro přípravu na útok a úspěšné zotavení.
Ransomware je viditelný přízrak
V rozhovorech o ransomwaru se zřídkakdy připouští, že samotný ransomwarový útok je až vyvrcholením série událostí, které mají kyberzločinci na svědomí. Ransomware se totiž neobjeví jen tak – útoku předcházejí dny, týdny, měsíce nebo dokonce roky příprav. Podívejme se, co se vlastně v zákulisí odehrává.
Útočníci začnou fází pozorování. Během této doby jednoduše sledují svůj cíl a shromažďují informace o lidech, procesech a technologiích, aby identifikovali příležitosti. Stejně jako se zloděj nejprve seznámí s tím, kde jsou vchody a východy do budovy a kdo v ní bydlí, i kyberzločinci rádi vědí, s kým mají tu čest.
Poté nastane čas vstoupit do budovy. Kyberzločinci toho dosáhnout zasláním phishingového odkazu nebo použijí jiný způsob, který jim umožní průnik a vytvoření operační základny v infrastruktuře oběti. V tomto okamžiku zůstávají mimo pozornost, což jim umožňuje způsobit značné škody. V této fázi útočníci exfiltrují data a mohou také zcela nepozorovaně zničit zálohy – dokud o sobě nedají vědět při spuštění poslední fáze, tedy samotném ransomwarovém útoku a požadavku na výkupné.
Odhalení celého procesu je přirozeně vyčerpávající. Bezpečnostní týmy se totiž musí vypořádat nejen s viditelnými hrozbami, ale také s neznámými a neviditelnými nepřáteli, kteří se mohou kdykoliv skrývat kdekoliv v pozadí. Potvrzuje se zde ale rčení, že „ve vědění je síla“. Organizace mohou tyto informace využít k vytvoření co nejsilnější strategie zálohování a obnovy po ransomwarovém útoku.
Nespoléhejte se na štěstí
Ransomwarové útoky jsou sice nevyhnutelné, ale to ztráta dat nutně být nemusí. Ve skutečnosti je možné dosáhnout 100% odolnosti, pokud budou přijata správná opatření. Může to znít příliš dobře na to, aby to byla pravda, ale díky několika klíčovým prvkům si může každá organizace vytvořit spolehlivou strategii ochrany dat.
Ta se skládá ze tří částí. Za prvé, bezpečnostní týmy musí zajistit, aby měly k dispozici neměnnou kopii dat, kterou útočníci nemohou jakkoli poškodit nebo zašifrovat. Poté musí tato data zašifrovat, aby k nim v případě odcizení nebo útoku neměli útočníci přístup a nemohli je využít. Nejdůležitější fází skutečně neproniknutelného zabezpečení je pak takzvané pravidlo 3-2-1-1-0. To znamená udržovat minimálně 3 kopie dat, takže i v případě, že dojde ke kompromitování nebo selhání dvou zařízení, budete mít k dispozici další kopii. Že dojde k selhání tří zařízení, je totiž mnohem méně pravděpodobné. Organizace by také měly tyto zálohy ukládat na 2 různé typy médií – například jednu kopii na interním pevném disku a druhou v cloudu. Dále, 1 z kopií by měla být vždy uložena na bezpečném místě mimo firmu a 1 by měla být udržována offline, tedy zcela izolovaně bez jakéhokoli připojení k hlavní infrastruktuře IT. Číslice 0 je asi ze všech nejdůležitější – znamená, že v zálohách by neměly být žádné chyby. To lze zajistit pravidelným testováním a neustálým monitorováním, a simulováním obnovy. Při využití tohoto přístupu mohou organizace zůstat v klidu – až na ně ransomwarový útok nevyhnutelně udeří, budou v bezpečí s vědomím, že před útočníky zamkly dveře.
Realita dnešního světa
Všechny organizace budou v určitém okamžiku čelit ransomwarovému útoku – taková je realita dnešního světa. Ale s rostoucím povědomím roste i připravenost. Kybernetický útok sice vždy přinese chaos, ale se správnou strategií z něj můžete udělat kontrolovatelný chaos, což nakonec rozhodne o úspěchu.