Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Ransomware i MŚP – skuteczne strategie obronne przed cyberporwaniami

05 październik 2023

Ransomware i MŚP – skuteczne strategie obronne przed cyberporwaniami
Michał Zalewski

Michał Zalewski

W 2022 roku 73% organizacji doświadczyło skutecznego ataku ransomware, a 38% zostało zaatakowanych więcej niż jeden raz, wynika z raportu Barracuda Networks. Aż 42% ofiar trzech lub więcej ataków ransomware zapłaciło okup, aby przywrócić zaszyfrowane dane. 69% incydentów ransomware zaczęło się od phishingowej wiadomości e-mail. Jak widać, ransomware jest realnym zagrożeniem dla firm.

Na początku chciałbym podkreślić jedną rzecz – jest bardzo duża szansa na to, że cyberprzestępcy zaatakują także Twoją firmę. Są oni bowiem naprawdę bardzo twórczy, bez problemu znajdą nowy sposób na przedarcie się przez nawet najlepszą ochronę.

I będą go wykorzystywać aż do momentu, w którym eksperci ds. cyberbezpieczeństwa przygotują przedsiębiorstwa i ich systemy na tego typu schemat działania.

Pytanie nie brzmi więc ‘czy’, a ‘kiedy’ Twoja firma będzie musiała zmierzyć się ze skutkami ataku ransomware. Dobra wiadomość jest taka, że nawet na taką sytuację można się przygotować.

Co warto wiedzieć o ransomware?

Ransomware, czyli złośliwe oprogramowanie, które szyfruje dane na urządzeniach i żąda okupu, ma już ponad 30 lat. Jego tradycyjna wersja jest wykorzystywana przez przestępców do infiltracji sieci docelowych i wyszukiwania cennych lub krytycznych danych biznesowych. Następnie umożliwia oszustom zaszyfrowanie danych i przesyła żądanie okupu. W zamian za zapłacenie go przestępcy obiecują dostarczyć klucz deszyfrujący, który pozwala odzyskać stracone informacje. Często obietnica ta nie jest spełniana.

Przejęcie kontroli nad danymi atakowanej firmy i odcięcie jej wszelkich możliwości dostępu do tych danych staje się jednak dziś zbyt skomplikowane. To dlatego przestępcy coraz chętniej odchodzą od tradycyjnych technik szyfrowania kluczowych zasobów informacyjnych atakowanego. Znacznie łatwiej jest im po prostu skopiować i ukraść dane, następnie zażądać zapłaty za ich nieupublicznianie lub zaoferować je na sprzedaż w Darknecie, czyli ukrytej, niewidocznej dla standardowych przeglądarek sieci, w której między innymi kwitnie handel nielegalnymi towarami.

Niezależnie od tego, który wariant wybiorą cyberprzestępcy, firmy muszą spodziewać się poważnych konsekwencji. Pojedynczy udany atak ransomware może sparaliżować codzienne operacje biznesowe i łańcuchy dostaw klientów, powodując chaos i straty finansowe, a wyciek danych jest w stanie zniszczyć reputację przedsiębiorstwa i jego relacje z klientami.

Przezorny zawsze zabezpieczony

Skoro konsekwencje ataków ransomware są tak poważne, dlaczego tak niewiele firm sektora MŚP jest przygotowanych na walkę z tym zagrożeniem? W moim odczuciu powodem jest przede wszystkim to, że małe i średnie przedsiębiorstwa nie podlegają wielu regulacjom, do których muszą się stosować firmy duże. Bardzo często wdrażają jedynie procedury wymagane przez RODO.

A tak naprawdę to od procedur trzeba zacząć, choć są one dla MŚP często bardzo dużym wyzwaniem. Jednak zupełnie nie chodzi o to, by wszyscy przedsiębiorcy zabrali się za lekturę grubych książek o ISO 27001 czy certyfikowali się w zakresach planów BCM. Chodzi o przygotowanie prostego, jednostronicowego planu działania na wypadek sytuacji kryzysowej.

Ten plan powinien odpowiadać na kilka pytań:

  • Które zasoby są najbardziej krytyczne dla firmy?

  • Jak określić powagę sytuacji, w jakiej znalazła się firma? (Jedna z możliwości: w skali o 1 do 10, gdzie 1 oznacza, że wszystko działa i dopiero widać, że coś złego/podejrzanego miało miejsce, 5 – część ważnych systemów nie działa do końca poprawnie, 10 – główne i krytyczne systemy przestały funkcjonować).

  • Jakie zasoby ma firma? Odpowiedź na to pytanie najlepiej przygotować w formie prostej tabelki, w której spiszemy systemy od tych najistotniejszych (serwery systemów sprzedażowych, CRM, środowisko ERP, systemy monitorowania, cyfrowa centralka VoIP itd.) do tych mniej ważnych (np. systemy do wysyłania newsletterów).

  • Kto ma dostęp do tych zasobów? Kto ma dostęp zdalny, do czego?

  • Jak długo firma może operować bez działania poszczególnych systemów (czyli od którego momentu od zatrzymania systemu firma zaczyna ponosić straty finansowe)?

  • Jak zorganizować komunikację z pracownikami/współpracownikami w sytuacji problematycznej? W takim momencie jesteśmy pod ogromną presją i nie chcemy tracić czasu na odpowiadanie na nieustające pytania. Rozwiązaniem może więc być oddelegowanie jednego z pracowników do odbierania telefonów/e-maili, tablica informacyjna, przekierowanie całego ruchu do sekretariatu itd.

  • Kogo powiadomić o sytuacji? (To może być np. operator Internetu, Policja, zarząd, firmy, z którymi współpracujemy i od których kupujemy usługi).

  • Gdzie zgłosić incydent? (Zawsze warto zgłosić incydent do CERT Polska, bo eksperci tam pracujący często są w stanie coś podpowiedzieć oraz pomóc w rozwiązaniu trudnej sytuacji).

Mając taki dokument, firma będzie w stanie zdecydowanie szybciej zadziałać w przypadku każdego cyberataku. A szybkość reakcji jest w takich przypadkach kluczowa.

Uwaga – atak ransomware! Jak działać?

No właśnie, teoria teorią, ale jak działać w sytuacji, w której dochodzi do zaszyfrowania danych na skutek ataku ransomware?

Najważniejsze są następujące kroki:

Krok 1. Iść zrobić sobie kawę.

Krok 2. Złapać parę oddechów.

Krok 3. Spokojnie przejść przez przygotowaną wcześniej listę zawierającą prostą procedurę oraz schemat wyjaśniający, co należy zrobić w pierwszej kolejności.

Krok 4. Systematyczne wprowadzać działania naprawcze.

Chaos jest naszym wrogiem w tego typu sytuacjach. To dlatego tak ważne jest uspokojenie się, wyciszenie myśli i dopiero wtedy – przystąpienie do działania. Według planu.

By zminimalizować skutki cyberataku, musimy przede wszystkim zadbać o dane – jak najszybciej je odzyskać i przywrócić sprawność biznesową firmy.

W takich przypadkach korzystamy z systemów backupu, które nie tylko pozwalają przywrócić wszystkie dane, ale też mogą wesprzeć nas w jak najszybszym powrocie do wykonywania służbowych czynności. Np. funkcja Live-Boot/CloudLiveBoot dostępna w naszym rozwiązaniu do backupu Barracuda Backup umożliwia szybki (nawet tym-czasowy) dostęp do najbardziej krytycznych danych, za-nim cała procedura odzyskiwania danych zostanie zakończona, a nawet zanim jeszcze się rozpocznie. Natychmiastowy eksport danych czy e-maili pozwala kontynuować pracę i współpracę z klientami.

Najistotniejsze w przypadku cyberataku jest jednak ustalenie, jak do niego doszło. Zbadanie, którędy cyberprzestępca przeniknął do naszej sieci. Pomogą w tym systemy zbierania logów, takie jak Firewall Insights, dzięki któremu można prześledzić całą historię zdarzeń w obrębie ruchu sieciowego, czy systemy klasy XDR (extended detection and response) lub SIEM/SOAR, które nie tylko chronią i odpierają atak, ale także widzą, co się dzieje i dzięki korelacjom pozwalają retrospektywnie zbadać, co się wydarzyło.

Pomocna dłoń technologii

No dobrze, ale czy to oznacza, że jesteśmy bezbronni i ma-my po prostu siedzieć i czekać na cyberataki? Oczywiście nie. Jest cały szereg rozwiązań, które pomogą firmom walczyć z atakami ransomware. Ransomware może infiltrować sieć przy użyciu wielu różnych wektorów, a nawet ich kombinacji. Oznacza to, że aby zapobiec przedostawaniu się oprogramowania ransomware do systemów, należy zastosować kompleksowy, zintegrowany zestaw rozwiązań oraz platform do ochrony poczty e-mail, aplikacji, ruchu sieciowego, interakcji internetowych i danych, niezależnie od tego, gdzie się znajdują.

Kluczowe są rozwiązania chroniące pocztę elektroniczną – w końcu większość incydentów ransomware rozpoczyna się od wiadomości e-mail. Systemy backupu – aby móc odzyskać dane w razie ataku, wielowarstwowa ochrona sieci i VPN-y.

Firmy powinny też stosować dostęp do danych, aplikacji i systemów w modelu Zero Trust (Cloud-Gen Access), czyli zakładać, że każda osoba znajdująca się w ich sieci może być intruzem, zgodnie z doktryną,,always assume breach” – „zakładaj odgórnie, że w każdej chwili możesz być w trakcie jakiegoś ataku czy włamania”.

Technologie to jedno. Żadna firma nie będzie jednak bezpieczna, jeśli jej pracownicy nie będą świadomi zagrożeń.

To przecież oni otwierają e-maile phishingowe i klikają w podejrzane linki. Dlatego tak ważne są szkolenia pracowników i ciągłe podnoszenie ich świadomości. Tłumaczenie, w jaki sposób działają cyberprzestępcy, czym jest socjotechnika, na co zwracać uwagę w sieci. Im lepiej wyedukowane zespoły, tym lepiej zabezpieczona firma i jej zasoby.

Nie unikniemy cyberataków. Możemy jednak tak przygotować się do działania, by w przypadku ich wystąpienia spokojnie zareagować, jak najsprawniej odzyskać dane i kontynuować pracę, a także dowiedzieć się, w jaki sposób cyberprzestępca dostał się do naszej sieci.

Z taką wiedzą będziemy mogli jeszcze lepiej zabezpieczyć się przed kolejnymi atakami, a tym samym – zadbać o stabilność firmy w starciu z cyberprzestępcami.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności