Rozmáhá se nám tady takový nešvar, mohla by příhodně zaznít hláška z jednoho známého českého filmu. Tentokrát by se hodila na nárůst útoků vyděračských ransomwarů, které požadují výkupné za přístup k zašifrovaným datům firem či organizací. Tyto útoky na IT systémy jsou totiž stále intenzivnější. Oproti loňskému 1. pololetí stoupl podle zahraničních statistik jejich počet o více než 100 %. Co je ale také vedle jejich nárůstu alarmující, je jejich zacílení.
Vyděrači se totiž významně zaměřili na větší podniky či organizace a na státní správu. Evidentní je tak snaha získat více peněz za relativně málo muziky. A i když pro dokreslení současného stavu využíváme data z rozvinutého amerického trhu, dokážeme si velmi živě představit situaci, kdy se celkový trend a podobné situace vbrzku projeví v Evropě a u nás.
Letošní útoky ransomwaru totiž vyvolaly vedle otázek o výplatách výkupného také diskuzi o úloze pojištění při pomoci těmto zasaženým subjektům. Tak aby se mohly vrátit zpět ke svým původním aktivitám. Vyjednávací dovednosti, které pojišťovny do takových situací mohou přinést, představují přitom jen jednou z odborných znalostí, které může pojištění kybernetických rizik poskytnout vydíraným veřejným subjektům.
Útoky ransomware proti veřejné správě narůstají
Zatímco před rokem 2018 byly útoky ransomwaru poměrně slabé, v loňském roce, zejména proti státním úřadům a místní samosprávě, útoky skokově narostly. Tento trend pokračuje i v letošním roce a předpovědi slibují jeho každoroční nárůst.
Podrobný pohled do statistik z nedávné doby ukazuje, že jen v letošním roce došlo v USA k 55 rozsáhlým útokům ransomwaru na státní úřady a místní samosprávu. To představuje asi 60 procent všech vyděračských útoků za toto období. Nedávno přitom přibyl další dobře koordinovaný útok na 22 měst v Texasu, takže se celkový počet zvýšil na více než 70. Podle odborníků je jedním z důvodů nárůstu posun „obchodního modelu“ útočníků. Ti chápou, že narušení kritických služeb, kterou zajišťují úřady státu či místní samosprávy, je mnohem výhodnější než šíření stejného ransomwaru na tisíce náhodných obětí.
Platit tedy nebo neplatit výkupné? Bezpečnostní odborníci doporučují, aby zasažené firmy a organizace výkupné neplatily. A vypadá to, že pracovníci úřadů zasažených ransomwarem se tuto politiku zatím snaží dodržovat. Podle informací pouze tři z 55 napadených vládních subjektů požadované výkupné zaplatily.
Pojišťovnami vyplacené částky za výkupné a obnovení přístupu k datům se přitom pohybovaly podle informací v médiích od 130 000 do 600 000 USD. Hlubší pohled do statistik pak ukazuje, že výkupné v letošním roce zaplatilo necelých 45 % napadených organizací. Svá data přitom získalo zpět 60 % z těch, co zaplatilo. Na druhou stranu 19 % z organizací, které odmítlo svoje data zaplatit, už je nikdy nevidělo zpět.
Zajímavý je rovněž pohled na výši výkupného. Průměrně zaplacená částka přes všechny segmenty byla ve 2.Q přes 36 000 USD. To je jen oproti prvnímu čtvrtletí trojnásobný nárůst. Ale organizace z veřejného sektoru přitom zaplatily průměrně téměř 340 tis USD. A to je téměř desetinásobek celosvětově průměrné výše výkupného.
O tom, co by znamenala adekvátní částka v Kč požadovaná po českých subjektech, můžeme zatím spekulovat. Obáváme se ale, že zejména pro malé a střední firmy z české kotliny by taková částka byla velkou zátěží až téměř likvidací. Bylo by tedy určitě žádoucí toto riziko managerům firem a organizací v ČR často zdůrazňovat.
Snaha o více mediální pozornosti
Je ale třeba zdůraznit, že organizace státní správy nejsou napadány nebo neplatí výkupné častěji než ostatní firmy či organizace. Podobné události ale na druhou stranu přitahují mnohem více mediální pozornosti než kybernetické incidenty v soukromých firmách sektoru. Získané téměř 100% mediální pokrytí totiž pomáhá útočníkům zlepšit jejich profil a vytvořit dojem, že státní organizace jsou potenciálně výnosné cíle. Je třeba si ale přiznat, že státní správa není až tak složitým cílem. Zejména rozpočty menších úřadů a lokální správy na IT a kybernetickou bezpečnost jsou proti privátní sféře mnohem omezenější.
V případě napadení a vydírání soukromého sektoru si totiž útočníci tak velké renomé nezískají.
Jedním z důvodů může být i to, že valná většina ransomwarových událostí nemá skutečné znaky „narušení dat“, které by mělo být hlášeno regulátorům a dohledovým organům. I když legislativa sama o sobě vyžaduje, aby o únicích dat byly informovány např. dohledové úřady nebo samotní zákazníci, není dnes přesně jasné, zda to zahrnuje i vyděračské útoky. Proto valná většina kybernetických událostí, způsobená ransomwarem, není vůbec hlášena.
Podobně také český ÚOOÚ (Úřad na ochranu osobních údajů) při nedávném hodnocení dosavadního působení legislativy GDPR za častou příčinu porušení zabezpečení osobních údaj označil phishingové útoky. Velká část úspěšných phishingových útoků přitom vyústila v umístění škodlivého programu do informačního systému, který zašifroval informace a požadoval k jejich odblokování výkupné (tzv. ransomware). ÚOOÚ ohledně napadení ransomwarem doporučuje, „Pokud došlo k úspěšné obnově osobních údajů bez dalších vážných přetrvávajících důsledků, taková událost nepředstavuje zpravidla riziko pro subjekty údajů a nevyžaduje ohlašování Úřadu.“
Za čím hackeři jdou
Přestože státní instituce a obce houfně spravují osobní a citlivé údaje, hackeři se dnes méně zajímají o to, aby se pokoušeli tato data prodat na černém trhu. Dnešní útočníci jdou totiž mnohem dál. Více se snaží o to, aby organizacím přístupům k datům zamezili a mohli po nich požadovat tučné výkupné za obnovení přístupu. Používají proto stále sofistikovanější metody. Je jim pak těžší zabránit, aby se dostali do systémů firem a organizací. A když už se dostanou dovnitř, není je vůbec snadné odhalit. Pracují také s odlišnými nástroji než před několika lety, kdy zálohování dat bylo relativně snadným řešením.
Samotná záloha dat totiž obvykle nevyřeší následky toho, co hackeři skutečně napáchají. Jejich pokročilé softwarové nástroje dokážou IT systémy organizace zcela odstavit. Ta pak není schopna poskytovat klientům své služby nebo inkasovat peníze. Tato hrozba umožňuje hackerům, aby po státu či jiném provozovateli systému požadovali skutečně hodně peněz.
Jaká může být úloha pojištění
Základním cílem pojištění kybernetických rizik je pomoci uvést organizaci zpět do chodu a obnovit přístup k datům. Kybernetické pojištění však není jen o úhradě nákladů na vymáhání, ale také o poskytování odborných znalostí a jedinečných znalostí k tomu, jak řídit firmu v krizovém stavu nebo co dělat v neobvyklých situacích.
Podívejme se na příklad, kdy zaměstnanec radnice či úřadu nevědomky klikne na ransomware, který se skrývá v příloze elektronické pošty. Úředníci rázem zjistí, že jejich městské informační systémy jsou zašifrovány a data nepřístupná. V případě, že je organizace pojištěna, může pak po pojišťovně požadovat náhradu nákladů za odborníky, kteří přispěli k řešení tohoto typu události.
Ti se hned v úvodu budou snažit vyšetřit, zda se zločinci opravdu dostali do systému a jak jsou v něm „hluboko“. Dále zjišťují typ softwaru, který hackeři používají, a zda lze systémy restartovat ze záloh. Pokud jde o výkupné, měli by další specialisté na vyjednávání pomoci vypracovat odpověď, sjednat podmínky s částkou a doručit platbu, která obvykle bývá požadována v bitcoinech nebo jiné kryptoměně.
Takhle jednoduché to ale nikdy není. Určitě se nedoporučuje předat požadované peníze předem a čekat co se stane. Je také třeba otestovat odolnost systém, aby se zjistilo, zda útočníci nebudou schopni vrátit se do systému a opět škodit. A také se pokusit vyjednávat nižší výkupné než únosce dat požaduje. Bohužel se ale stává, že i když po dohodě oběť zaplatí citelný obnos za obnovení přístupu k datům a informačním systémům, blafující útočník přístupy k systému prostě neobnoví. A oběť je pak bez peněz i bez přístupu ke svým datům.
Dnešní pojistné produkty zatím nedokážou nahradit finanční škody, které vyděrači napáchají. Soustředí se spíš na podporu odborných IT služeb, k nimž by jinak postižené firmy nemohly mít bez pojištění přístup. Je přitom nutné dohlédnout i na to, aby odborníci přivedení na pomoc byli nezávislí na zaměstnancích pojištěné organizace a vyhnuli se tak konfliktu s existujícím IT týmem. Ten totiž může mít pocit, že s takovými situacemi se má vypořádat sám. Zkušenosti ale ukazují, že tito lidé potřebují opravdu jinou sadu dovedností, než dostačuje většině IT týmů pro běžné denní činnosti. Pojišťovnou dodaní odborníci by také měli umět nabídnout expertní pomoc i po skončení akce, která je už zažehnána. Jejich služby by měly přispět ke zvýšení odolnosti systému, aby se podobný vyděračský útok ransomwarem už neopakoval.
Platit nebo neplatit výkupné?
Rozhodnutí o zaplacení výkupného bez ohledu na okolnosti není nikdy snadné. Žádné dvě události nejsou stejné a je třeba řešit nastalou situaci případ od případu i podle momentální situace zasažené a vydírané oběti. Odborníci, které pojišťovna k řešení případu poskytne, by měli důkladně, objektivně a bez emocí posoudit situaci a pozici vydíraného klienta. Únos dat ransomwarem se totiž může proměnit v poměrně emočně vypjatou záležitost.
Po odborném posouzení technické situace, chování vyděrače a zvážení celkových šancí na úspěch mohou odborníci pojištěným navrhnout, aby výkupné za svá data zaplatili nebo zaplatit odmítli. Nicméně ve finále je to stejně vždy jen na pojištěném, aby sám udělal finální rozhodnutí. Ale vždy je potřeba myslet na to, že se jedná o obchod. I když oběť má znovu platit za něco, co jí patří.
Jak na vydírání myslet při uzavírání pojištění
Firmy či organizace využívají v rámci svého rozpočtu širokou řadu pojistných produktů movitého nebo nemovitého majetku či odpovědností. Pokud jde tedy o nákup pojištění kybernetických rizik, jeho celkový rozsah může být samozřejmě ovlivněn výší rozpočtu, který má firma či organizace pro pojištění k dispozici. A k rozhodnutí o uzavření pojistky samozřejmě přispěje i celkové vlastní vnímaní pojištění jako nástroje k ošetření kybernetických rizik pro fungování firem či organizací.
Před pořízením samotného pojištění kybernetických rizik doporučujeme posoudit úrovně rizik a vlastního ohrožení včetně možných dopadů. V praxi se setkáváme se zájmem o pojištění v lepším případě kvůli prevenci a ve zbytku pak na základě vlastní zkušenosti s negativním dopadem kybernetické události.
Zde je důležitá role dobře připravených pojišťovacích agentů či makléřů, kteří dokáží při diskuzi s klienty vhodně posoudit jejich rizika a sjednat pojistku s potřebným rozsahem za optimální cenu. Mnohdy je to ale dlouhá cesta, protože klient o konkrétním riziku buď ještě nepřemýšlel, o možném pojištění ještě neslyšel a začíná se s ním teprve seznamovat.
Útoky ransomwarem přitom mohou ochromit počítačový systém firem či organizací v podstatě na dobu neurčitou. A nečinnost subjektu může negativně ovlivnit skupiny zákazníků, občanů či místní komunity. Reálné úspěšné útoky ransomwaru tak ukazují na závažnost hrozby a na to, jak nákladné může odstraňování následků takové kybernetické události být. V podobných případech je dobré zamyslet se nad pojištěním přerušení podnikání.
Co ale mohou firmy a organizace udělat už nyní, je věnovat se prevenci vlastními silami. Měli by dbát na budování bezpečnostního povědomí, důsledně vzdělávat pracovníky o kybernetických rizicích, bezpečnosti dat a informací. Měly by rovněž zavést taková technicko-organizační bezpečnostní opatření, aby dokázali útokům předejít. A v neposlední řadě by měly myslet i na to, že se stane kybernetický incident. Pak by měly mít připravenu strategii včetně plánů, jak na incident reagovat a jak obnovit činnost firmy či organizace do původního stavu. A rovněž k tomu zvážit i uzavření vhodného pojištění.
Sdílejte s námi vaše zkušenosti
Určitě by nám všem také pomohlo, kdybychom znali bližší stav také v našich končinách. Proto bychom vás, naše čtenáře, rádi požádali, abyste s námi sdíleli vaše zkušenosti z řešení případů vydírání ransomwarem. Díky tomu budeme moci přispět jak k vyšší bezpečnosti, tak především k lepší a úspěšnější likvidaci pojistných událostí.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Daniel Konečný, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.