W raporcie "The changing shape of ransomware" analitycy i specjaliści ds. bezpieczeństwa z KPMG zwracają uwagę, że pandemia Covid-19, lockdown i masowe przejście na pracę zdalną spowodowały błyskawiczny wzrost liczby cyberataków wykorzystujących oprogramowanie ransomware. Przyspieszone prace dotyczące transformacji cyfrowej, niedopracowane procesy biznesowe, jak również niewystarczająco wykwalifikowany personel przyczyniły się do stworzenia ogromnych możliwości dla cyberprzestępców. Jak zauważa KPMG, praca zdalna zwiększyła o 3,5 razy ryzyko, że na firmie uda się przeprowadzić z sukcesem atak ransomware.

W ubiegłym roku Garmin, znany producent elektroniki użytkowej takiej jak urządzenia wearables i GPS-y, padł ofiarą ataku ransomware WastedLocker, który był przypisywany grupie EvilCorp. Cyberprzestępcy oczekiwali 10 mln dol. okupu. Z tego, co ustaliły później media, Garmin dokonał płatności za pośrednictwem firmy doradczej Arete IR. Producent nie widział innego wyjścia.

Podobnych ataków ransomware było znacznie więcej. W maju br. Colonial Pipeline Company padła ofiarą ransomware'u, który na kilka dni zakłócił dostawy paliwa do znacznej części Wschodniego Wybrzeża USA. Firma zapłaciła 4,4 mln dolarów okupu, by wznowić bezpiecznie działalność. W tym samym miesiącu wysoki okup (11 mln dol.) zapłacił też JBS USA, światowy producent wołowiny, którzy nie mógł dłużej wstrzymywać pracy.

W maju br. również firma SonicWall, zajmująca się m.in. bezpieczeństwem IT, informowała, że mamy do czynienia z rekordowym rokiem pod względem liczby ataków ransomware, mimo że byliśmy dopiero w jego połowie. Jak podała firma, „w maju odnotowaliśmy 226,3 mln ataków ransomware, co oznacza wzrost o 116% w stosunku do roku 2020”. Ponadto Bill Conner, dyrektor generalny SonicWall, zauważył, że w rzeczywistości w maju 2021 r. odnotowano największą liczbę ataków ransomware w historii działania firmy.

Wzrost ataków odnotowano nawet w krajach, które i tak zmagały się już z dużą liczbą zagrożeń ransomware, takich jak Stany Zjednoczone i Wielka Brytania, gdzie wzrosty wynosiły odpowiednio 149 i 69%.

Jak się zabezpieczyć

Ze względu na to, że organizacje na całym świecie przyspieszają transformację cyfrową, powinny pomyśleć również o odpowiednich zabezpieczeniach w czasach post-Covid. W krótkim terminie zalecamy, aby popracować nad odpowiednią poprawą i optymalizacją cyberbezpieczeństwa. Zacznijmy od oceny tego, jak bardzo ucierpiałaby firma, gdyby właśnie doszło do ataku ransomware. Następnie zacznijmy prace nad stworzeniem planu działania i stwórzmy listę wszystkich rozwiązań, które warto wdrożyć, by zapewnić sobie ochronę.

Kolejnym krokiem są szkolenia w zakresie świadomości na temat zagrożeń i najlepszych praktyk zabezpieczających. Personel powinien mieć dostęp zarówno do szkoleń, jak również biblioteki wiedzy z najlepszymi praktykami. Tego rodzaju zasoby są bardzo ważne zwłaszcza obecnie, gdy liczba ataków jest na rekordowym poziomie. Zadbajmy również o to, w jaki sposób użytkownicy logują się na poszczególne konta – dotyczy to zwłaszcza pracowników zdalnych. W jaki sposób sprawdzana jest ich tożsamość? Czy stosowane jest uwierzytelnianie wieloskładnikowe?

Sprawdźmy również możliwości w zakresie reagowania na incydenty oraz to, jak tworzone i zarządzane są kopie zapasowe. Tutaj dobrym pomysłem jest zatrudnienie etycznego hakera, który postara się przedostać do naszej firmy i wskaże wąskie gardła.

W dalszej perspektywie, jak radzi KPMG, możemy sprawdzić wprowadzone zmiany technologiczne pod kątem błędów, zweryfikować procesy dotyczące pracy zdalnej pod kątem luk, a także ponownie dać się zhakować, by przekonać się czy firma jest obecnie wystarczająco "szczelna" i osoby trzecie nie będą w stanie się do niej przedostać

Popracujmy nad odpornością

W ramach data resilience zyskujemy zdolność do ochrony i szybkiego odzyskiwania danych po cyberataku, takim jak kradzież danych. Jeśli zależy nam na zapewnieniu sobie ciągłości biznesowej, odpowiednie zabezpieczenia są w obecnych czasach po prostu konieczne. Jak czytamy w raporcie Enterprise Strategy Group z 2020 r.), aż 60% korporacji doświadczyło ataków ransomware w ubiegłym roku, a 13% z tych organizacji było atakowanych codziennie. Z kolei każde naruszenie danych, jak szacuje Instytut Ponemon, może kosztować średnio 3,86 mln dolarów, natomiast do 2025 r. koszty cyberprzestępczości - jak podaje Cybersecurity Ventures - wyniosą 10,5 bln dolarów rocznie.

Wszystko to sprawia, że odpowiednia odporność danych ma kluczowe znaczenie w zapobieganiu utracie cennych plików czy dokumentów, a także przy przywracaniu sprawności po atakach czy nawet klęskach żywiołowych (np. powodzie, pożary). Firmy często stosują różne rozwiązania z zakresu pamięci masowej, aby zapewnić sobie odporność. To może być np. połączenie systemów on-premise różnej generacji (niektóre zostały kupione wcześniej, inne później), a także część pamięci masowej w chmurze dla środowiska hybrydowego. Wówczas zapewnienie spójnego podejścia w kontekście odporności danych jest dość trudne.

Polecanym krokiem jest modernizacja infrastruktury, najlepiej przy użyciu definiowanej programowo pamięci masowej IBM. Rozwiązania IBM FlashSystem i IBM SAN Volume Controller, które opierają się na oprogramowaniu IBM Spectrum Virtualize, zapewnią należytą ochronę. Zawierają m.in. funkcję Safeguarded Copy, która tworzy niezmienne (tylko do odczytu) kopie danych w celu ochrony przed oprogramowaniem ransomware i innymi zagrożeniami. IBM Safeguarded Copy to specjalna usługa zaprojektowana po to, by pomóc firmom w szybkim i bezpiecznym odzyskiwaniu danych po cyberataku. Jak przekonuje IBM, Safeguarded Copy zmniejsza czas potrzebny na odzyskanie danych do kilku godzin lub nawet minut.

Safeguarded Copy automatycznie tworzy wydajne, niezmienne migawki zgodnie z harmonogramem. Są one przechowywane przez system i nie mogą być połączone z serwerami, tworząc logiczną "przerwę powietrzną" przed złośliwym oprogramowaniem lub innymi zagrożeniami. Nie można ich również zmienić i usunąć, chyba że zgodnie z wcześniej zaplanowanym harmonogramem, co pomaga chronić przed błędami lub działaniami osób, które chciałyby nam zaszkodzić (np. niezadowolony pracownik).

Dodatkowo, możemy też połączyć funkcje odporności danych IBM FlashSystem z IBM Spectrum Protect Plus, aby stworzyć wysoce odporną infrastrukturę IT dla środowisk lokalnych, chmurowych i kontenerowych. Wszystkie te rozwiązania przełożą się na o wiele większy poziom zabezpieczeń w firmie.