Jak pojišťovny pocítí dopady globálního útoku nakažlivým malwarem

for carousel 2Bashe je čínský mytologický had, který se živí slony. Přeneseně se pojem Bashe vžil jako metafora pro nezkrotnou nenasytnost. Stejné jméno nese i hypotetický scénář globálního ransomware útoku, zveřejněný v nové studii singapurské iniciativy Cyber Risk Management (CyRim)

Cílem studie vydané ke konci ledna ve spolupráci s organizacemi jako CyRim, Lloyd’s of London, Cambridge Centre for Risk Studies a dalšími, je vyčíslit ekonomické škody způsobené fiktivním ransomwarem Bashe a určit podíl škod, který by musely pojišťovny vyplatit. V základním scénáři začíná útok phishingovým e-mailem o vyplacení zaměstnaneckého bonusu. Payload ransomwaru je obsažen v příloze e-mailu. Po otevření přiloženého souboru dojde ke spuštění hlavní části ransomware, která zašifruje veškerá data na disku nakaženého počítače a zobrazí požadavek na zaplacení 700 dolarů za obnovení přístupu k datům. V příloze je i tzv. červ, který nákazu rozšíří po firemní síti a jehož prostřednictvím je nakažený e-mail přeposlán všem kontaktům v adresáři napadeného uživatele.

Studie nabízí tři varianty tohoto scénáře napadení, které se liší rozsahem útoku ransomwaru. První varianta simuluje útok na jeden operační systém, druhá varianta počítá s útokem na dva operační systémy. Třetí a nejextrémnější varianta pracuje nejen s ransomwarem na dva operační systémy, ale i s wiperem pro vymazání záloh. Studie dochází k závěru, že nejvíce zasaženými sektory budou retail, zdravotnictví, průmyslová výroba a finančnictví.

Všechny tři varianty předpokládají, že tvůrci ransomwaru Bashe se již poučili z chyb předchozích útoků. Např. z útoku WannaCry (nezaregistrování domény, která fungovala jako vypínač šíření ransomwaru) a NotPetya (možnost infikovat pouze zařízení bez nejnovějších patchů). Ransomware Bashe má tím pádem mít ničivější potenciál a v nejčernějším scénáři by mohl napadnout až přes 600 000 firem po celém světě.

Škody

Odhad škod pro způsobených smyšleným ransomwarem Bashe je výsledkem modelu Cambridge Centre for Risk Studies (CCRS). Pohybuje se mezi 85 a 193 miliardami dolarů, z čehož by byl podíl škod krytých pojišťovnami mezi 9% a 14% z této částky. Nejmírnější scénář šíření ransomwaru Bashe počítá s pojištěním 12% z celkových škod, tzn. 10.2 miliardy dolarů. Studie tedy odhaduje, že 88% potenciálních škod způsobených ransomwarem Bashe by nebylo vůbec pojištěno. K tomu je ještě nutno podotknout, že studie zahrnuje i USA, kde je vyšší podíl firem pojištěných proti kybernetickým rizikům. Dá se tedy předpokládat, že v Evropě by byl podíl nepojištěných firem ještě vyšší.

Ze studie také vyplývá, že většina nahlášených škod by pocházela od větších společností s minimálně 2 000 zaměstnanci (ve studii tzv. „premier“ společnosti). Mezi malými a středními podniky by bylo sice ransomwarem Bashe zasaženo větší množství firem (zejména v Evropě), ale každá z nich by zároveň zaznamenala řádově menší škodu než „premier“ společnosti.

Je zajímavé porovnat dopad smyšleného ransomwaru Bashe s reálným útokem malwaru NotPetya. Celkové škody způsobené útokem NotPetya jsou odhadovány na 10 miliard dolarů. Z toho byly přibližně 3 miliardy dolarů vyplaceny na pojistném plnění. Ransomware Bashe má tedy potenciál způsobit významně vyšší celkové škody (85 – 193 miliard dolarů vs. 10 miliard dolarů pro útok NotPetya), ze kterých by významně nižší část byla kryta pojištěním (9 – 14% vs. 30% pro útok NotPetya).

Pojistné krytí

Při útoku ransomwarem typu Bashe by bylo nejčastější příčinou pojišťovnami krytých škod přerušení provozu. V nejmírnějším scénáři by mělo na svědomí 71% veškerých škod. Přibližně třetina těchto škod by spadala do kategorie „silent cyber“, tzn. že pojistné události způsobené kybernetickým útokem by nebyly výslovně kryty, ale ani vyloučeny. Do této kategorie může spadat např. zdržení způsobené výměnou infikovaných a zašifrovaných zařízení za nová.

Druhou největší položkou by bylo pojistné plnění za opatření přijatá po útoku, v celkové výši 1.4 miliardy dolarů (13.7% veškerých škod).

Naopak škody kryté pojišťovnami přímo za kybernetické vydírání by byly, v poměru k celkovým pojištěným škodám, nízké (0.2 miliardy dolarů, tzn. necelá 2% veškerých škod). To je dáno dvěma předpoklady. Prvním předpokladem je, že „premier“ společnosti kvůli udržení své dobré pověsti a důvěryhodnosti odmítnou výkupné vyplatit a raději nakažená zařízení nahradí novými (tzn. náklady spadnou do jiné kategorie pojistného krytí nebo nejsou kryty vůbec). Druhým předpokladem je, že malé a střední firmy (které raději zaplatí ransomwarem požadovanou částku), pravděpodobně nebudou proti kybernetickému vydírání pojištěny vůbec a mají slabší obranu proti útokům.

Studie nabízí mnoho zjištění, nicméně za nejzásadnější je možné považovat následující. Hlavním závěrem je nepřipravenost firem na ransomware útok typu Bashe. Ten by zastihl drtivou většinu potenciálně dotčených společností nepojištěných. Díky tomu, že tvůrci Bashe se poučili z předchozích chyb, by celková způsobená škoda byla dle odhadů ještě vyšší než při dosud uskutečněných ransomware útocích, jako byl např. útok NotPetya.

Pro pojišťovny je hlavní informací, že nejčastější příčinou pojistných událostí by bylo plnění za přerušení provozu. Plnění za kybernetické vydírání by pro ransomware typu Bashe představovalo poměrně malou částku.

Studie v plném znění je k nalezení ZDE.

Rozalie Ryčlová
rozalie.ryclova@boxtrap.net