Ransomware – realne zagrożenie, realne straty

Raporty czy informacje o atakach ransomware paraliżujących firmy i administrację są teraz niestety na porządku dziennym. Skala zagrożeń stała się alarmująca, zmuszając zarówno małe jak i duże organizacje do szybkiego ustalania strategii oraz wprowadzania rozwiązań zapewniających im bezpieczne prowadzenie działalności gospodarczej lub minimum biznesowe przetrwanie po takim  ataku. Nie jest to zagrożenie powstające samoistnie czy przypadkowo – jest to zamierzone działanie osoby lub grupy ludzi mających na celu osiągnięcie w sposób nielegalny korzyści finansowych, a w najlepszym dla atakowanych przypadku, w celu uzyskania rozgłosu. Polska jest dzisiaj pełnoprawnym uczestnikiem i beneficjentem globalnej gospodarki, dlatego polskie firmy oraz instytucje są narażone na cyberzagrożenia.

Na celowniku cyberprzestępców wykorzystujących ransomware znajdują się zarówno przedsiębiorstwa, jak i jednostki administracji i usług publicznych różnego szczebla, samorządowe oraz centralne. Ataki coraz częściej bywają precyzyjnie zaplanowane i wymierzone w konkretne instytucje lub osoby, praktycznie w każdej z możliwych branż i w każdym obszarze naszego życia. Ich celem jest paraliżowanie pracy firmowych ośrodków przetwarzania oraz kluczowych procesów produkcyjnych, ale także  blokowanie funkcjonowania usług dla obywateli, obsługi lotnisk, sterowania infrastrukturą sieci energetycznych i gazowych czy funkcjonowania różnych obiektów użyteczności publicznej. Autorzy ataków działają w coraz bardziej wyrafinowany i skomplikowany sposób. Szkodliwe oprogramowanie jest coraz trudniejsze do wykrycia i korzysta z coraz bardziej zaawansowanych opcji szyfrowania. Wszystko po to, aby skuteczniej wywoływać chaos i zmuszać ofiary do płacenia dużych kwot okupu.

Ransomware z bliska

Ogólnie określamy tą nazwą złośliwe oprogramowanie, które szyfruje ważne pliki, czyniąc je niedostępnymi do użytku (lub przetwarzania) do czasu kiedy nie zostanie zapłacony okup za ich odszyfrowanie i odblokowanie. Atak może mieć różne formy i może być prowadzony różnymi metodami, m.in. wykorzystując słabe zabezpieczenia sieci informatycznej (także sieci domowej i publicznej), proponując instalowanie niezweryfikowanych aplikacji, infekowanie złośliwym kodem niezabezpieczonych przenośnych nośników pamięci czy poprzez otwarte połączenia Bluetooth

– każda forma nienadzorowanej komunikacji z systemem operacyjnym jest podatna na zagrożenia i warto pamiętać, że na celowniku są zarówno komputery stacjonarne, jak i urządzenia mobilne. Zagrożenie może być wyższe w sytuacji kiedy firmy coraz częściej stosują tryb pracy zdalnej lub hybrydowej swoich pracowników, bez wcześniejszej modernizacji i rozszerzenia dotychczasowej ochrony takich stanowisk. 

Szkody ekonomiczne wywołane atakiem ransomware mogą być ogromne. Są to m.in.: koszty nieplanowanych przestojów w funkcjonowaniu firmy i w pracy pracowników, utrata przychodów, utrata reputacji i obniżenie zaufania obecnych czy przyszłych partnerów handlowych oraz Klientów, dotkliwe sankcje finansowe i nawet karne w przypadku stwierdzenia wycieku danych wrażliwych. Trudno sobie wyobrazić rozmiar strat, jakie mogą powstać w wyniku zaatakowania ośrodków badawczych czy systemów obsługujących świadczenia medyczne dla społeczeństwa. 

Obecnie skala globalnych strat i kosztów zaatakowanych firm i instytucji jest szacowana na ok. 20 mld USD przy atakach odnotowywanych obecnie średnio co 11 sekund.

Eksperci cyberbezpieczeństwa szacują jednak, że do 2031 r. ataki ransomware będą miały miejsce co dwie sekundy, a roczne szkody wzrosną do 265 mld dolarów.
(Źródło: https://cybersecurityventures.com/global-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031).

Data Protection vs. Ransomware – jak chronić dane z Fujitsu?

Gwałtowny wzrost zagrożeń ransomware jest też coraz mocniejszym impulsem do działania dla  Fujitsu i innych światowych liderów branży IT. Fujitsu zbudowało kompleksowe portfolio rozwiązań i usług dla ochrony kluczowych danych biznesowych, a także dla ochrony przed atakami ransomware. Dzięki temu możliwe jest zastosowanie różnorodnych scenariuszy działania, dostosowanych do rzeczywistych potrzeb, skali zagrożeń oraz możliwości finansowych poszczególnych organizacji i firm. 

Zbudowany przez Fujitsu ekosystem technologiczny obejmujący zarówno globalnych liderów w obszarze rozwiązań Data Protection jak i partnerów lokalnych specjalizujących się w poszczególnych wybranych dziedzinach tego obszaru lub posiadających unikalne kompetencje uzupełnia  potencjał własny Fujitsu oraz zapewnia możliwość zaprojektowania,

często wspólnie z Klientem, rozwiązań pod bardzo indywidualne i niestandardowe wymagania. 

W czasach, gdy cyberprzestępcy za pośrednictwem ransomware atakują także kopie zapasowe, będące w powszechnym mniemaniu „ostatnią linią obrony”, podejście do ochrony danych powinno być przede wszystkim wielowarstwowe. Dobrze wykonany backup to wciąż rozwiązanie zapewniające ciągłość operacji biznesowych, ale musi on uwzględniać aktualne zagrożenia. Nowoczesne podejście Fujitsu do walki z zagrożeniami ransomware można wskazać już na poziomie technologii i rozwiązań zaimplementowanych w kluczowych elementach infrastruktury informatycznej, jakimi są np. serwery Primergy czy systemy pamięci masowej Eternus.

Są one wykorzystywane w dedykowanych rozwiązaniach Data Protection, jakimi są uniwersalne i skalowalne platformy z rodziny CS8000 lub prostsza i dedykowana do mniejszych środowisk platforma Eternus CS800RA. Posiadają one szereg unikalnych funkcji chroniących dane: systemy certyfikacji uprawnień dostępu i obsługi, zabezpieczania danych przed nieuprawnionym skasowaniem i modyfikacją, bezpieczne kopie migawkowe danych dla szybkiego odtworzenia danych, ‘utwardzone’ oprogramowanie systemowe dla eliminacji nieuprawnionego dostępu, szyfrowanie danych, aby uniemożliwić ich łatwe oczytanie np. w przypadku kradzieży i inne.

Przy zagrożeniach atakiem ransomware wręcz koniecznym uzupełnieniem każdego projektowanego rozwiązania Data Protection są biblioteki taśmowe stanowiące naturalną barierę dla zagrożeń ransomware. Dodatkowo zapewniają one najniższe koszty przechowywania kopii zapasowych i archiwizacji danych – stąd w ofercie Fujitsu można znaleźć rodzinę własnych modularnych bibliotek Eternus LT albo rozwiązania od firm partnerskich. 

Uzupełnieniem nawet najlepiej dobranego zestawu technologii i umiejętności muszą być właściwe działania podejmowane już na pierwszych etapach budowania ochrony danych – określamy tym pojęciem m.in. sprawdzone praktyki i zasady, pozwalające szybciej uzyskać niezbędny poziom bezpieczeństwa biznesowego z racjonalnym wydatkowanie środków. Należy zgodzić się z opinią wielu ekspertów, że raczej niemożliwe jest zbudowanie 100% ochrony przed ransomware także dlatego, że nie wszystkie firmy są takie same, ich kluczowe procesy mogą być różne, mogą korzystać w różny sposób z danych. Taka ochrona musi być też realizowana na wielu różnych płaszczyznach działania firmy jednocześnie, od poziomu  świadomości pracowników i kadry kierowniczej, przez niezawodne i bezpieczne wewnętrzne systemy IT, po bezpieczną wymianę danych biznesowych z zewnętrznymi kontrahentami i Klientami.  

Dobre i sprawdzone praktyki, które Fujitsu rekomenduje jako bardzo skuteczne w realizacji strategii ochrony danych w organizacji, także jako pomocnych w ochronie firmy przed skutkami ataków ransomware to m.in.:

Regularne tworzenie kopii zapasowych 

Kopie zapasowe tworzymy po to, aby mieć możliwość bezpiecznego i szybkiego odtworzenia danych i tym samym mieć możliwość przywrócenia funkcjonowania przedsiębiorstwa czy organizacji po wystąpieniu niezaplanowanej awarii lub po skutecznym cyberataku.  Dobrze zaprojektowana polityka backupowa i procedury muszą obejmować regularność tych działań, aby spełnić minimalne kryteria bezpieczeństwa biznesowego firmy –  nie przekroczyć dopuszczalnego przestoju w funkcjonowaniu i uchronić przed utratą niedopuszczalnej ilości danych.

Zasada 3-2-1 przy tworzeniu kopii zapasowych dla krytycznych danych

Reguła, która w 80% przypadków krytycznych awarii i zdarzeń pozwala przywrócić funkcjonowanie firmy to: minimum 3 repliki kopii zapasowych, na minimum 2 różnych typach nośników, minimum 1 kopia zapasowa offline do systemów produkcyjnych (np. taśma w sejfie, kopia w chmurze, itp.). Niezależne i odseparowane od produkcyjnych systemy do przechowywania kopii zapasowych krytycznych danych zapewnią szybszą i skuteczniejszą reakcję na wykryte zagrożenia. 

Regularne testy skuteczności

procedur odtwarzania

Zagrożenia występują zawsze, ważne jest czy organizacje oraz firmy są na nie przygotowane i potrafią sobie z nimi skutecznie radzić.

Dlatego testowanie stworzonych procedur odtwarzania danych oraz podnoszenie poziomu umiejętności osób odpowiedzialnych za ich realizację musi być także sprawdzane i weryfikowane.

Wyselekcjonowanie danych, które należy chronić kopiami zapasowymi lub archiwizować

Coraz większa ilość danych zwiększa naturalnie koszty ich przechowywania, ale także wymaga coraz większej wydajności systemów produkcyjnych i backupowych. Jeśli wiesz, że wśród nich są dane, których nigdy powtórnie nie użyjesz lub nie będą Ci przydatne biznesowo, usuń je lub zarchiwizuj najniższym kosztem (taśma, chmura) WG badań firmy Veritas (Data Berg Report) ilość takich danych może stanowić nawet 30% wszystkich danych. Łatwiej i taniej jest chronić dane, których jest mniej i które  ‘znamy’ – możemy dobrać poziom ich ochrony adekwatny do ich wartości biznesowej,  ich ilości, położenia.

Szybkie wdrażanie poprawek i aktualizacji

dla elementów Data Protection

Rozwój firmy często wiąże się z uruchamianiem nowych projektów biznesowych, które z kolei mogą wymagać nowych środowisk do obsługi kluczowych aplikacji czy procesów. Szybkie wdrażanie aktualizacji i poprawek dla posiadanych platform Data Protection może zapewnić ochronę danych koniecznych dla obsługi nowych projektów i zespołów, bez zagrożeń dla utrzymania wymaganego poziomu bezpieczeństwa czy działania procedur odtworzeniowych. Posiadany system Data Protection musi być przygotowany na różne zmiany zachodzące w organizacji. Jest to często gwarancja dalszego bezpiecznego rozwoju firmy.

Strategia walki z ransomware dla organizacji data-driven pomoże wzmocnić odporność na ataki tego typu i poprawić bezpieczeństwo danych – gromadzonych lokalnie, w chmurze lub gdziekolwiek indziej. Obejmuje ona pomoc we wdrażaniu takich rozwiązań w zakresie przechowywania danych, które będą w stanie stawić czoło cyberprzestępcom. Rozpoczyna ją dokładne zbadanie potrzeb biznesowych i istniejących luk w oprogramowaniu, które mogą ułatwić atak. Następny krok to współpraca z partnerami, aby zbudować bezpieczną i nowoczesną infrastrukturę. Kolejny etap to wdrożenie konkretnych narzędzi, chroniących przed cyberprzestępcami. 

Strategia Fujitsu vs. ransomware obejmuje rozwiązania do identyfikacji, ochrony, wykrywania i odzyskiwania danych. Podstawowe założenia to m.in. odpowiednie wykonywanie kopii zapasowych, replikacja danych, wykorzystanie narzędzi offline i backup cloudowych oraz odpowiednie podejście do infrastruktury sieciowej. Elastyczna integracja z istniejącymi środowiskami sieciowymi jest możliwa, dzięki partnerstwom Fujitsu z wiodącymi dostawcami rozwiązań sieciowych i bezpieczeństwa – m.in. firmami Fortinet, Juniper, F5 czy Extreme. Szczegółowe rekomendacje dotyczą: urządzeń do ochrony danych, integracji oprogramowania i aplikacji, bibliotek taśmowych i przechowywania danych w chmurze.

Najlepiej zapobiegać – kluczowe wskazówki: