Gotovo polovica tvrtki koje su platile otkupninu virusnim ucjenjivačima nisu bile u mogućnosti vratiti svoje povjerljive podatke
Gotovo polovica tvrtki koje su platile otkupninu virusnim ucjenjivačima nisu bile u mogućnosti vratiti svoje povjerljive podatke
Ostalo je još samo 48 sati dok se šokantne fotografije i slike zaslona ne pojave među mailovima obitelji i poslovnih suradnika ne plati li se 861 američkih dolara, isključivo u bitcoinima, u Bitcoin-novčanik šokiranog pratitelja surferskih navika koji je probio lozinku službenog e-maila te pratio što se radi na uređaju. Puno ljudi često zatekne ovakve slične prijeteće poruke u svojem inboxu. Samo računalni stručnjaci znaju kako djeluju ovakvi ucjenjivači i ucjenjivački virusi popularnog naziva „ransomware“, na kakve su blefove i montaže spremni te koje korake trebamo poduzeti. Zaštita podataka danas je zahtjevnija nego ikada zbog procesa digitalne transformacije kojemu je cilj da tehnologija korisnicima omogući da traže ono što žele, i to kad god i kako god to žele. Voditelj Odjela kibernetičke sigurnosti iz tvrtke Setcor Vedran Vujasinović kaže kako je razlog tome činjenica da tradicionalne granice organizacije više ne postoje, što napadačima otvara puno veći površinu za napad nego ranije.
U svakodnevnoj praksi sve su češći sigurnosni problemi kao u sljedećem scenariju: U domaćoj tvrtki zaposlenik zaprimi e-poštu koja se čini legitimnom porukom legitimnog izvora s vezom na legitimno web mjesto. Slijedi klik na poveznicu u e-pošti, nakon čega zaposlenik u pregledniku vidi poruku u kojoj se navodi da tražena web stranica više ne postoji. No ta stranica, za koju se nije činilo da se učitava, bila je početak upada za preuzimanje zlonamjernog softvera, koji je zarazio računalo zaposlenika te se počeo širiti po lokalnoj mreži. Zlonamjerni softver traži bilo kakvu slabost na dostupnim računalima u mreži kako bi ih zarazio. Tvrtka je imala osnovne sigurnosne kontrole postavljene, kao što su anti-virusno rješenje, vatrozid, segmentacija interne mreže, elementarne metode zaštite, ali bez modernih tehnologija, kontrola i procesa koji bi bili u mogućnosti adresirati ove prijetnje pa se zlonamjerni softver proširio na ostale strojeve, mrežne uređaje i alate za backup podataka. Nakon ove faze agresivnog širenja,
ucjenjivački software se u potpunosti aktivirao i kriptirao sve dostupne podatke. Gotovo sva računala na mreži postala su neupotrebljiva. Kako off-line/off-site backupi nisu postojali, nije bilo moguće vratiti podatke samostalno. Otkupnina koja se tražila bila je 150.000 američkih dolara u Bitcoinu.
Na uzorku napada samo od ove godine u Hrvatskoj, možemo potvrditi kako napadači odrade izviđanje napadnute tvrtke i prema javno dostupnim financijskim podacima, veličini tvrtke, uspješnosti zaraze, kriptiranoj količini podataka i sličnome, procijene koliko tvrtka može platiti pa sukladno tome odrede i otkupninu. Imali smo primjere gdje su male tvrtke imale otkupninu od „samo“ 1000 američkih dolara, pa sve do značajnih iznosa navedenih ranije, napadi nisu slučajni i ne događaju se nekome drugome, upozorio je Vujasinović.
Kao dio strategije oporavka poslovanja, ta tvrtka kontaktirala je Setcor i krenulo se s razradom plana kriznog upravljanja. U prvim trenucima takvih situacija, kako kaže Vujasinović, ključno je napraviti strategiju po kojoj će se raditi kako ne bi došlo do još većeg rizika ili sigurnog gubitka podataka.
Strategija je uključivala identifikaciju opsega utjecaja ovog zlonamjernog koda, izoliranje inficiranih resursa i detaljni plan za oba scenarija.
„Nulti korak bila je mitigacija prijetnje i onemogućavanje daljnje komunikacije s komandno-kontrolnim centrima koji napadaču omogućuju udaljeno upravljanje sa računalima unutar kompanije. Nakon toga prolazi se kroz sve dostupne elemente zaštite koji postoje te se na istima provodi proces očvrsnjavanja postojećih sigurnosnih sustava, kako bi se minimizirao rizik za zaostalim stražnjim ulazima u kompaniju kojima napadač ostavlja za sobom kako bi kasnije mogao nastaviti zlonamjerne radnje. Slijedi analiza kojom se utvrđuju činjenice, kako je došlo do napada, je li došlo do curenja podataka, te ukoliko je, obavješćuju se nadležne institucije o potencijalnom gubitku podataka. Ako se radi i o osobnim podacima, obavješćuju se i vlasnici osobnih podataka sukladno važećim zakonima, od kojih je jedan i nepopularni GDPR. Po završetku ovog koraka možemo reći da je da smo ustanovili koliku je štetu napadač napravio, je li imao slučajnog ili namjernog pomagača iz napadnute tvrtke te što je potrebno napraviti za minimalizaciju štete. Dvije opcije o kojima se razmišljalo su bile pokušaj dekripcije podataka ili plaćanje tražene otkupnine jer je bilo ključno što prije se vratiti u produkciju.
Plan je uključivao pripremu obje opcije – s obzirom na kritičnost podataka za nastavak poslovanja. S prvom opcijom krenulo se odmah, unutar jednog dana, u našem sigurnom cloudu podignuta je u potpunosti nova izolirana okolina koja je postala integralnim dijelom okoline tvrtke – s najmodernijim sustavima zaštite i kontrole pristupa koja je imala za svrhu prihvat vraćenih podataka i nastavak rada bez daljnjih rizika po učitavanju istih. Prepoznali smo što je prijetnja, kako je ušla i što radi u mreži. Uspjeli smo sanirati zlonamjerni kod koji se i dalje pokušavao širiti. Uspjeli smo onemogućiti udaljeno upravljanje sa istim i ograničiti daljnju štetu, objasnio je Vujasinović.
Dodao je da je e-mail vatrogasno migriran na uslugu e-maila iz clouda čime je službena komunikacija mogla nastaviti nesmetano. Na računala i poslužitelje aktiviran je najmoderniji sustav za zaštitu od napada i zlonamjernog koda. Internet pristup bio je u potpunosti kontroliran, korištene su tehnologije web i mail izolacije za nepoznate i sumnjive sadržaje, dekripcije sadržaja radi inspekcije i blokiranja zlonamjernog koda kao i ostale dokazane tehnike zaštite.
„Kako bi spriječili ovakve napade u budućnosti potrebna je kvalitetna sigurnosna strategija otkrivanja prijetnji i reakcija na incidente Ona zahtijeva duboku vidljivost u transakcijske događaje, svijest o prijetnjama kao i snažne alate za dubinsku, brzu i učinkovitu analizu ovih podataka. Istovremeno je naš tim za kibernetičku sigurnost radio na pokušaju dekripcije/povrata zaključanih podataka. Utvrđeno je da se u ovom slučaju radilo o LockBit ucjenjivačkom kodu za koji do ovog trenutka nema poznatog načina dekripcije. Ipak, s obzirom na iskustvo u povratu podataka kod ovakvih slučajeva i inicijalne indikatore koji su pokazivali da bi rezultat našeg tima mogao biti uspješan – ovo je bila realna opcija na kojoj se počelo raditi. Istovremeno drugi smjer na kojem se radilo bio je komunikacija sa napadačima te pregovori oko plaćanja otkupnine. Ovaj smjer nam je pokazao koliko napadači zaista poznaju napadnutu tvrtku, lokalne online registre s financijskim podacima o tvrtki na temelju kojih su procijenili traženu otkupninu. Tijekom pregovora tražena otkupnina je smanjena za deset puta što je bio smjer koji je ta tvrtka bila i spremna platiti ukoliko povrat podataka ne bude uspješan – bez garancija da će ključevi koje dobiju raditi i biti u mogućnosti vratiti podatke. Iz informacija kojima mi baratamo, gotovo polovica tvrtki koje su i platile otkupninu nisu bile u mogućnosti vratiti sve podatke ili veći dio istih“, rekao je Vujasinović.
U ovom konkretnom slučaju Setcorov tim za kibernetičku sigurnost uspješno je vratio sve podatke, učitani su u novu okolinu u sigurnom cloudu te je poslovanje kroz samo sedam dana moglo nastaviti tamo gdje je stalo prije ovog „ransomware“ napada bez plaćanja otkupnine. Tvrtka se sada nalazi u sigurnom cloudu, a to u biti znači da koristi cjelovito rješenje za isporuku različitih usluga poput računalne snage, aplikacija, pohrane podataka, kibernetičke sigurnosti iz redundantnih podatkovnih centara baziranih na tehnologijama vodećih svjetskih proizvođača s uhodanim procesima kibernetičke sigurnosti.
„Prelazak na cloud uslugu ima brojne prednosti u odnosu na postojeće modele upravljanja IT funkcijom. Neke od njih su smanjenje troškova, fleksibilnost, skalabilnost, poslovni kontinuitet, sigurnost podataka i veći izbor u razvoju IT strategije. Bitno je za naglasiti da pored same implementacije različitih odgovarajućih tehnologija, postoji drugi aspekt, a to je odgovor na pitanje kako i zašto smo se našli u situaciji kriznog upravljanja, potrebno je zaista dobro razmisliti o svojoj IT sigurnosti, o svojim procesima i prioritetima te poraditi na svijesti. To je puno više od same tehnologije, radi se o promjeni stanja svijesti kako se upravlja razvojem IT komponente poslovanja i rizicima koji se nažalost pojavljuju zajedno s njom“, istaknuo je Vujasinović.
Tehnologija ne smije i ne treba biti ograničavajući faktor poslovanja. Ona treba biti katalizator poslovne izvrsnosti modernih tvrtki. Cloud model poslovanja omogućuje tvrtkama da se fokusiraju na tržište. Kvalitetna strategija kibernetičke sigurnosti otkrivanja prijetnji i reakcija na incidente zahtijeva duboku vidljivost u transakcijske događaje, svijest o prijetnjama kao i snažne alate za dubinsku, brzu i učinkovitu analizu ovih podataka. Ista ta strategija omogućuje korištenje clouda povećavajući razinu sigurnosti. Potrebno je razmotriti na koji način razvijati svoju organizaciju, kako dizajnirati svoj poslovni i IT model upravljanja, potrebna su nova znanja i vještine te iskustvo stručnjaka za kibernetičku sigurnost.