IT@BANK 2021 | TECHNOLOGIE – DELL TECHNOLOGIES | Zwiększenie cyberodporności warunkiem skutecznej ochrony przed ransomware
Cyberprzestępczość stanowi jedno z kluczowych wyzwań dla bezpieczeństwa obrotu elektronicznego, a proceder ransomware zyskuje coraz większą popularność wśród cyberprzestępców. Czy jesteśmy w stanie oszacować skalę tej działalności, a w konsekwencji straty, jakie ponosi cała gospodarka, zwłaszcza w obliczu konieczności przyspieszonej migracji do kanałów zdalnych wskutek pandemii?
– Miliarder Warren Buffet określa cyberprzestępczość jako problem nr 1 współczesnej cywilizacji, podkreślając, iż cyberataki stanowią znacznie większe zagrożenie dla ludzkości niż broń jądrowa. Ze stwierdzeniem tym koreluje opinia jednego z analityków FBI, badających przestępczość w sieci, który w wypowiedzi dla „Wall Street Journal” z roku 2018 sugerował, że należy się spodziewać, że dane i informacje umożliwiające identyfikację każdego obywatela USA zostały skradzione i są przechowywane w darknecie. Ocenia się, iż zasoby tej nielegalnej sieci mogą być nawet 5000 razy większe od oficjalnego internetu, a dodatkowo rosną w tempie, które wymyka się ocenie ilościowej. Równie gigantyczne są koszty strat, wyrządzonych w oficjalnej gospodarce przez sieciowe gangi. Globalny koszt jednej minuty cyberprzestępczości, czyli straty, poniesione w tym czasie przez firmy na całym świecie, osiągnął w tym roku wartość 11,4 mln USD, co oznacza dwukrotny wzrost od 2015 r.
Ocenia się, że w ciągu najbliższych pięciu lat cyberprzestępczość będzie kosztować świat rokrocznie 5 bln USD, a zgodnie z analizami firmy Dell Technologies, bankowość jest na pierwszym miejscu, jeżeli chodzi o wartość szkód wyrządzonych przez hakerów. Średni koszt ataku na zasoby bankowe kształtuje się na poziomie 18,4 mln USD, przy czym mówimy zarówno o kwocie ewentualnego haraczu wypłaconego sprawcom czy bezpośrednich kosztach odcięcia od serwerów, ale i o stratach wizerunkowych czy naruszeniu zaufania klientów.
Warto podkreślić, że według Global Data Protection Index, aż 69% decydentów nie ma pewności, że ich organizacje byłyby w stanie niezawodnie odzyskać wszystkie dane krytyczne dla biznesu w przypadku cyberataku. Podam tu przykład badania wykonanego przez CyberEdge. 62% badanych organizacji zostało zaatakowanych ransomware. Choć 57% z nich zapłaciło okup, to w co trzecim przypadku nie spowodowało to odzyskania zasobów. Wniosek jest taki, że współpraca z przestępcami nie zawsze skutkuje odzyskaniem dostępu do danych.
Co w takim razie powinny robić organizacje, by zabezpieczyć się przed atakiem, a także jak przywrócić dostęp do zasobów, gdy już dojdzie do incydentu?
– Jeśli chcemy przygotować się na atak ransomware, niezbędne jest zwiększenie cyberodporności. Kluczowe znaczenie w tym kontekście ma zbudowanie świadomości na poziomie kierowniczym, na czym polega problem i jak należy postępować, by zagrożenie się nie zmaterializowało. Budowę strategii ochrony można zawrzeć w pięciu krokach. Pierwszym będzie wybór odpowiednich aplikacji i danych, które chcemy chronić przed atakiem. Następnie konieczna jest izolacja i zarządzanie, czyli zapewnienie izolowanego modułu centrum danych, który jest odłączony od sieci, a dostęp do niego jest ograniczony dla użytkowników bez uprawnień. Trzecim działaniem jest zautomatyzowane kopiowanie danych i luka powietrzna (z ang. Air Gap), czyli oprogramowanie do tworzenia kopii danych zabezpieczonych przed ponownym zapisem do odseparowanego ośrodka, a także procesów tworzących operacyjną lukę powietrzną między środowiskiem produkcyjnym a izolowanym. Następnie sprawdzamy integralność danych, czyli ich przepływy umożliwiające replikowanie danych w izolowanej strefie odzyskiwania. Transfery między środowiskiem produkcyjnym a owym bunkrem podlegają analizie, czy nie ma w nich złośliwego oprogramowania wraz z mechanizmami ich wyzwalania. Ostatni obszar to odzyskiwanie i naprawa, czyli procedury podejmowane już po incydencie.
Wszystkie te działania nie będą skuteczne, jeżeli nie będą się wpisywały w ogólną strategię bezpieczeństwa firmy. Nawiązując do sytuacji pandemicznej, cały czas obserwujemy, jak firmy wprowadzają na szybko zmiany technologiczne w czasie kryzysu. W takim przypadku brakuje czasu na uwzględnienie aspektu bezpieczeństwa. Zaobserwowaliśmy też ogromny wzrost liczby pracowników zdalnych, a tym samym kolejny obszar potencjalnego ataku, również ze strony samych zatrudnionych, dysponujących zdalnym dostępem do serwerów firmowych. Jest jeszcze jeden czynnik sprzyjający przestępcom. Cykle badawczo-rozwojowe każdej organizacji, w tym również banku, napędzane są oczekiwaniami klientów dotyczącymi aktualizacji produktów. Te cykle uległy znacznemu skróceniu, co oznacza mniej czasu na testowanie pod kątem luk bezpieczeństwa. Równocześnie cyberataki stają się coraz bardziej wyrafinowane, nie jest to już kwestia czy, tylko kiedy zostaniemy zaatakowani.
Jakie mogą być konsekwencje finansowe takiego incydentu?
– Podam kilka przykładów korporacji, które ujawniły poniesione straty. W przypadku Mercka kwota ta oscyluje wokół 900 mln USD, Fedex utracił 400 mln USD, a Maersk 300 mln. Mówimy tu o stratach bezpośrednich, ale i wydatkach na podniesienie się po ataku, utraconych przychodach, jak i konsekwencjach braku zaufania akcjonariuszy. Dodam tylko, że cyberataki pozostają niewykryte średnio przez 197 dni, czyli przez dwie trzecie roku firmy nie wiedzą o tym, że ktoś przechwycił kontrolę nad zasobami.
Upowszechnienie sztucznej inteligencji daje narzędzia pionom bezpieczeństwa, ale i złodziejom. Czy należy się zatem spodziewać szybszego wzrostu liczby ataków, a może organizacje będą w stanie sobie z nimi lepiej radzić?
– Uważam, że to ryzyko będzie rosło. Badania przeprowadzane przez wyspecjalizowane firmy wykazują, że wzrost kosztów spowodowanych atakami będzie wynosił około 100% rocznie, a to oznacza, że działania kryminalne będą coraz bardziej intensywne i wyrafinowane. Zmienia się też cel hakerów. Dotąd problem dotykał głównie największe firmy, bo tam potencjał pozyskania okupu jest największy, jednak według naszych badań także małe i średnie przedsiębiorstwa nie mogą czuć się bezpiecznie. Podam jeden wymowny przykład. HSE, czyli irlandzka służba zdrowia, 14 maja 2021 r. została zaatakowana przez ransomware o nazwie Conti, który spowodował zawieszenie wszystkich usług. Ponieważ nie istniał żaden plan reagowania, zwrócono się o pomoc do dostawców, również do Della. W końcu po kilku dniach hakerzy udostępnili firmie klucz do odszyfrowania danych, ale to był dopiero początek odzyskiwania zasobów. 16 września, czyli cztery miesiące po ataku, systemy HSE nadal nie były w pełni przywrócone.
Samo posiadanie klucza deszyfrującego nie oznacza zatem, że firma powróci do normalności. Przy takiej szybkości zmian, jakie mamy na obecnym rynku, można sobie łatwo wyobrazić, co by się stało z bankiem, gdyby przez trzy miesiące nie mógł powrócić do normalnej, pracy operacyjnej. Niestety, organizacje często zakładają, że po ataku zapłacą okup i tym samym rozwiążą problem. Wiele firm o zasięgu ogólnoświatowym skupuje np. bitcoiny, żeby zapłacić za ewentualny atak. Tymczasem atakujący mogą mieć różne motywacje, ransomware może zostać użyty choćby przez tzw. haktywistę, działającego z pobudek ideologicznych, który nie zażąda zapłaty za odszyfrowanie danych.
Jak do tych wszystkich uwarunkowań odnosi się strategia firmy Dell Technologies, jeśli chodzi o oferowanie zabezpieczeń swoim klientom? Czym rozwiązania wyróżniają się na tle innych?
– Oprogramowanie, jak i urządzenia naszej firmy są uznawane przez liderów branży za najlepsze na rynku, choćby z uwagi na fakt dysponowania szeregiem autorskich rozwiązań z tego obszaru. Ta pozycja lidera jest poparta prawie trzema tysiącami aktywnych i oczekujących na zatwierdzenie patentów tylko w zakresie ochrony danych.
- PowerProtect Cyber Recovery Software
Automatyzuje synchronizację danych między systemami produkcyjnymi a skarbcem, tworząc niezmienne kopie z zablokowanymi zasadami przechowywania. - PowerProtect Cyber Sense Software
Analityka, uczenie maszynowe i narzędzia kryminalistyczne do szybkiego wykrywania i odzyskiwania po cyberatakach. - PowerProtect Data Domain
Lider branży w zakresie specjalnie zaprojektowanych urządzeń do ochrony danych.
Na poziomie rozwiązań PowerProtect Cyber Recovery nie koncentrujemy się na zapobieganiu atakom, ale na ochronie krytycznych danych lub aplikacji i umożliwieniu odzyskania tych zasobów z zachowaniem integralności, dzięki czemu można bez obaw wznowić normalne operacje biznesowe.
Nasze rozwiązanie Cyber Recovery chroni najbardziej krytyczne dane w środowisku skarbca. Krypta jest fizycznie odizolowana, jest to zamknięta klatka lub pomieszczenie. Jej komponenty nigdy nie są dostępne z produkcji, a dostęp do niej – gdy szczelina powietrzna jest odblokowana – jest bardzo ograniczony. Jest to gwarancja bezpieczeństwa naszego rozwiązania.