Výrobce bezpečnostního softwaru Sophos si udělal průzkum mezi 2 974 specialisty v oboru IT a kyberbezpečnosti, jejichž organizace byly v posledním roce zasaženy ransomwarem.
Využíváte už některé z inovativních metod šifrování?
Z něho vyplývá, že finanční a provozní důsledky kompromitace záloh při ransomwarovém útoku jsou obrovské. Pokud se útočníkům podaří kompromitovat zálohy, je téměř dvakrát vyšší pravděpodobnost, že organizace zaplatí výkupné, a celkové náklady na obnovu jsou dokonce osmkrát vyšší než u těch, jejichž zálohy napadeny nebyly.
Výrazně snížit dopady ransomwarového útoku tedy umožňuje odhalení a zastavení útočníků ještě předtím, než dojde ke kompromitaci záloh. Odolnost organizace proti ransomwaru a zároveň snížení celkových nákladů na vlastnictví (TCO) pak úměrně zvyšují investice do prevence kompromitace záloh a kybernetické bezpečnosti obecně.
Ransomwaroví útočníci se téměř vždy pokoušejí kompromitovat zálohy
Plných 94 % organizací, které byly v uplynulém roce napadeny ransomwarem, uvedlo, že se kyberzločinci během útoku pokusili kompromitovat jejich zálohy. Ve státní správě a samosprávě a v odvětvích médií, volnočasových aktivit a zábavy se tento podíl zvýšil na 99 %.
HP Knowledge HUB pro moderní firemní IT
NOVINKA Navštivte novou speciální on-line zónu CIO Business Worldu, kde vám ve spolupráci s HP budeme průběžně radit, jak snadno a bezpečně pracovat na cestách, jak si usnadnit život používám správných nástrojů, jak zvládnout přechod z kanceláří domů a zase nazpátek a jak se přitom chovat ekologicky.
Pomoc a inspiraci pro moderní IT najdete v našem HP Knowledge HUBu.
Nejnižší míru pokusů o kompromitaci zaznamenaly podniky z oboru distribuce a dopravy, nicméně i zde více než osm z deseti (82 %) organizací zasažených ransomwarem uvedlo, že se útočníci pokusili získat přístup k jejich zálohám.
Úspěšnost kompromitace se v jednotlivých odvětvích značně liší
V rámci všech odvětví bylo 57 % pokusů o kompromitaci záloh úspěšných, což znamená, že protivníci byli schopni ovlivnit proces obnovy po ransomwarovém útoku u více než poloviny svých obětí.
Zajímavé je, že analýza odhalila značné rozdíly v úspěšnosti útočníků podle odvětví: Útočníci nejčastěji úspěšně kompromitovali zálohy svých obětí v odvětvích energetiky, těžby a zpracování ropy či plynu a veřejných služeb (79% úspěšnost) a také v oboru vzdělávání (71% úspěšnost). Naopak nejnižší míru úspěšné kompromitace záloh vykázaly podniky z oblasti IT, technologií a telekomunikací (30 % úspěšnost) a maloobchodní společnosti (47 % úspěšnost).
Rozdílná úspěšnost může mít několik důvodů. Je možné, že podniky z oboru IT, telekomunikací a technologií měly na začátku silnější ochranu záloh, takže byly schopny útoku lépe odolat. Mohou být také efektivnější při odhalování a zastavování pokusů o kompromitaci dříve, než se to útočníkům podaří. Naopak v odvětví energetiky, zpracování ropy a plynu či veřejných služeb mohlo dojít k vyššímu podílu velmi pokročilých útoků. Ať už je příčina jakákoli, dopad může být značný.
V případě kompromitace záloh se požadavky na výkupné i platby zdvojnásobí
Šifrování dat: Organizace, jejichž zálohy byly kompromitovány, měly o 63 % vyšší pravděpodobnost, že budou jejich data zašifrována než ty, jejichž zálohy kompromitovány nebyly – 85 % organizací s kompromitovanými zálohami uvedlo, že útočníci byli schopni zašifrovat jejich data, oproti 52 % organizací, jejichž zálohy kompromitovány nebyly.
Vyšší míra šifrování může svědčit o celkově slabší kybernetické odolnosti, která snižuje schopnost organizací bránit se ve všech fázích ransomwarového útoku.
Požadavek na výkupné: Oběti, jejichž zálohy byly kompromitovány, obdržely v průměru více než dvojnásobné požadavky na výkupné oproti těm, jejichž zálohy napadeny nebyly, přičemž medián požadavků na výkupné činil 2,3 milionu dolarů (kompromitované zálohy), respektive 1 milion dolarů (nekompromitované zálohy).
Je pravděpodobné, že když kompromitují zálohy, mají útočníci pocit, že jsou v silnější pozici a mohou tak požadovat vyšší platbu.
Míra zaplacení výkupného: Organizace, jejichž zálohy byly kompromitovány, téměř dvakrát častěji zaplatily výkupné za obnovu zašifrovaných dat než ty, jejichž zálohy napadeny nebyly (67 % oproti 36 %).
Výše zaplaceného výkupného: Medián výkupného, které zaplatily organizace, jejichž zálohy byly kompromitovány, činil 2 miliony dolarů, což je téměř dvojnásobek oproti těm, jejichž zálohy zůstaly neporušené (1,062 milionu dolarů). Tyto organizace byly také méně často schopné vyjednat si nižší výkupné, přičemž ty s kompromitovanými zálohami zaplatily v průměru 98 % požadované částky.
Organizacím, jejichž zálohy kompromitovány nebyly, se podařilo snížit platbu na 82 % požadované částky.
Náklady na obnovu po napadení ransomwarem jsou při kompromitaci záloh osmkrát vyšší
Ne všechny ransomwarové útoky vedou k zaplacení výkupného. I když se tak stane, jsou platby výkupného pouze součástí celkových nákladů na obnovu po ransomwarovém útoku. Odstávky způsobené ransomwarem mají často značný dopad na každodenní obchodní transakce, přičemž obnovení IT systémů bývá složité a nákladné.
Medián celkových nákladů na obnovu po ransomwarovém útoku u organizací, jejichž zálohy byly kompromitovány (3 miliony dolarů), byl osmkrát vyšší než u organizací, jejichž zálohy napadeny nebyly (375 tisíc dolarů).
Tento rozdíl má pravděpodobně více příčin, mezi nimi i další práci, která je obvykle nutná k obnově z dešifrovaných dat namísto z dobře připravených záloh. Může se také stát, že slabší ochrana zálohování svědčí o méně robustní obraně, a tedy i potřebě rozsáhlejší obnovy.
U organizací, jejichž zálohy byly kompromitovány, se také výrazně prodloužila doba obnovy – jen 26 % z nich zvládlo kompletní obnovu do týdne, ve srovnání se stejnou dobou u 46 % organizací, jejichž zálohy napadeny nebyly.
Doporučení
Zálohování je klíčovou součástí ucelené strategie snižování kybernetických rizik. Pokud jsou vaše zálohy přístupné online, měli byste předpokládat, že je útočníci najdou.
Organizace by proto měly pravidelně zálohovat a ukládat tyto zálohy na více místech, a ujistit se, že jsou všechny účty pro přístup k zálohám v cloudu chráněné vícefaktorovým ověřováním (MFA), aby bylo útočníkům zabráněno v neoprávněném přístupu.
Současně je třeba trénovat obnovu ze záloh, protože čím lépe zvládnete proces obnovy, tím rychleji a snadněji se z útoku zotavíte. V neposlední řadě zabezpečení záloh vyžaduje i sledování podezřelých aktivit kolem záložních dat, na které je třeba reagovat. Může jít o indikátor snah útočníků o jejich kompromitování.
Autorka se věnuje bezpečnostním reportům a také marketingovou ředitelkou společnosti Sophos
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.