Prawdziwe koszty ransomware
Błednym jest założenie, że jedynym kosztem, jaki spotyka korporacje ze strony ransomware, jest sam okup. Na sumę kosztów tego ataku składa się wiele czynników. W tym artykule postaramy się przeanalizować, z jakimi dokładnie stratami będą musiały się zmierzyć organizacje, które padną łupem ransomware.
Ransomware?
Ransomware to złośliwe oprogramowanie, które szyfruje dane ofiary, żądając zapłaty okupu za ich odblokowanie. Ten typ ataku nie jest niczym nowym, w 2019 roku obchodził swoje 30 urodziny. Co jest nowością to jego popularność w ostatnich latach. W związku z pojawieniem się technologi kryptowalut monetyzowanie tego typu ataku stało się dużo prostsze i z perspektywy hakerów dużo bezpieczniejsze.
W związku z gigantyczną skalą, zjawisko to jest jednym z głównych cyberniebezpieczeństw.
Jakie są więc koszty ransomware, które ponoszą organizacje?
Zapłata ransomware
Zapłata okupu za odblokowanie danych to jeden z bezpośrednich i oczywistych kosztów, z którymi spotykają się organizacje w przypadku ataku ransomware.
W ostatnim czasie odnotowaliśmy spore zmiany zachowań w tej przestrzeni. Historycznie, ataki wykonywane były masowo. Przypadkowa ofiara była zmuszona do zapłaty kilkuset dolarów. Ataki w tych przypadkach polegały na dużych liczbach zarażeń, a hakerzy liczyli, że mały procent okupów zostanie zapłacony. Obecnie trend bardzo się zmienił i, mimo że ofiarami ciągle padają zwykli ludzie, bardzo często dochodzi do targetowanych ataków, których ofiarami są duże biznesy, rządowe agencje, czy szpitale. To zupełnie inne podejście, które wykorzystuje fakt, że działanie organizacji jest uzależnione od danych, a także na tym, że te w przeciwieństwie do przypadkowych ludzi dysponują dużymi środkami.
W 2019 roku doszło, w Stanach, do 113 udanych ataków na rządowe agencje, 764 ataki na jednostki z sektora służby zdrowia i 1233 ataki na szkoły.
Całkowite straty w 2019 roku z powodu ransomware, szacowane są na 7.5 miliarda dolarów.
Średni okup wynosi obecnie 40 tysięcy dolarów. Za duże wzrosty średniej odpowiadał Ryuk, odmiana ransomware, która skupia się na dużych łupach (średnia to 288 tysięcy dolarów).
Utrata zysków przez przestój w biznesie
Sama zapłata za ransomware nie jest jedynym kosztem, ale co o wiele ciekawsze nie jest nawet największym kosztem.
Zakłócenie pracy przez w wyniku ataku ransomware potrafi kosztować biznes od pięciu do dziesięciu razy więcej niż sama kwota okupu.
Różnice pomiędzy organizacjami w tej przestrzeni mogą być bardzo duże. To na ile czasu operacje zostaną zakłócone lub wręcz uniemożliwione jest zależne od wielu czynników. To, jak szybko uda się wznowić pracę uzależnione jest, między innymi, od tego, czy uda się odzyskać dane, od szybkości reakcji, od tego, czy organizacja ma plan reakcji na incydent, czy jest całkowicie zaskoczona i chociażby od szybkości implementacji tego planu.
W przypadku małych i średnich firm średni koszt przestoju w pracy, w 2019 roku, wynosił ponad 140 tysięcy dolarów (co jest ponad 20-krotnie większą kwotą od średniej wysokości okupu, w przypadku MŚP).
W przypadku sektora publicznego kwoty są dużo większe, bo średni koszt to ponad 740 tysięcy dolarów. Zdarzają się jednak bardzo skrajne przypadki takie jak atak ransomware na urząd miasta Atalanta. Mimo że sama kwota okupu to 52 tysiące dolarów, to szacowane straty wynoszą 17 milionów dolarów.
Utrata danych
Niestety samo zapłacenie okupu nie jest równoznaczne z odzyskaniem danych. Niektóre rodzaje ransomware, w ogóle nie mają takiej technicznej możliwości. Malware w tych przypadkach nie zawiera modułu, który umożliwia odszyfrowanie danych.
Warto skontaktować się ze specjalistami, którzy pomogą rozpoznać wersje ransomware. Niestety ciągle notujemy przypadki firm, które opłaciły okup ransomware, które znane jest z braku możliwości odszyfrowania danych.
Zdarzają się przypadki zwykłych błędów oprogramowania w niektórych odmianach ransomware. Tu, mimo że zamiarem jest odszyfrowanie danych, po zapłaceniu okupu nie udaje się odzyskać danych lub ich części.
Koszty utraty reputacji
Tego typu, fatalny, efekt ataku ransomware jest bardzo trudny, o ile w ogóle możliwy, do oszacowania z ekonomicznej perspektywy.
W przeciwności do innych typów ataków, które nie są od razu jawne dla klientów, ataki ransomware przez sposób, w jaki działają, dają bardzo widoczny, dla publiki efekt.
Tu także ważna jest specyfika biznesu. W przypadku firm z sektora finansowego lub tych obracających wrażliwymi danymi utracona reputacja może nie być możliwa do odbudowania.
Koszty prawne
Ataki ransomware zakłócają, a czasem całkowicie zatrzymują pracę biznesu. W zależności od natury biznesu ma to mniejsze lub większe konsekwencje dla klientów. W tym drugim przypadku biznes musi liczyć się z pozwami i kosztami z tym związanymi.
Relatywnie nowym zjawiskiem w przypadku ataków ransomware jest szantaż. Niektóre z odmian ransomware zaczęły nie tylko szyfrować dane, ale i grozić ich ujawnieniem co wiąże się z dużo większymi konsekwencjami prawnymi.
Ataki bazujące na wykradzionych danych
Wykradzione dane mogą zostać wykorzystane do kolejnych ataków. Takie przypadki należą obecnie do rzadkości, co nie oznacza, że się nie zdarzają. Po ataku ransomware należy zmienić wszystkie hasła w całej organizacji — hakerzy mogą mieć dostęp do tych utraconych i wykorzystać to w dalszych atakach.
Jak się przygotować do ataku ransomware?
Przede wszystkim należy oszacować potencjalne straty dla naszego biznesu. Przejście przez powyższe punkty i prosta estymacja powinna dać nam obraz tego, jakie mogą być skutki tego typu ataku. Każdy biznes ma inną specyfikę, co oznacza inne konsekwencje.
Należy przygotować plan reakcji na incydent. Jak pokazują liczby, czas przestoju biznesu to w większości przypadków największy koszt, dlatego tak ważna jest jak najszybsza reakcja, która możliwa jest jedynie w przypadku posiadania takiego planu.
Należy przygotować się od technicznej strony — sprawdź listę porad, których wdrożenie pomoże w obronie przed ransomware.
Ransomware to obecnie jedno z największych cyberniebezpieczeństw, jakie mogą spotkać organizacje. Bardzo ważne są działania prewencyjne, które ograniczą, lub obronią organizację przed tego typu atakiem.