Zyski cyberprzestępców z “popularnego” ransomware WannaCry dopiero kilka dni temu przekroczyły 100 tys. dolarów. Przy takiej skali infekcji to raczej słaby wynik, a zapędy szantażystów hamowane są między innymi ostrożnością i dobrymi praktykami potencjalnych ofiar.
Również lokalnie, co pokazują wyniki ankiety przeprowadzonej przez firmę Anzena. 47% małopolskich firm i instytucji doświadczyło jakiegoś ataku ransomware, ale ponieważ 98% z nich w różny sposób tworzy kopie swoich danych to w wielu przypadkach płacenia haraczu udało się uniknąć.
Czym jest WannaCry?
WannaCry to zagrożenie szyfrujące, które dwa tygodnie temu szturmem wzięło setki firmowych sieci i medialnych nagłówków. Spotkali się z nim również administratorzy, menedżerowie i specjaliści bezpieczeństwa IT goszczący na krakowskiej konferencji Advanced Security Systems. Wydarzenie zorganizowane przez polskiego dystrybutora rozwiązań do backupu StorageCraft – firmę Anzena – miało miejsce dwa tygodnie po wybuchu epidemii zagrożenia. Odpowiedzi jego uczestników na przeprowadzoną ankietę pokazują, że ransomware to jak najbardziej realne zagrożenie, a część polskich firm i instytucji może nie być gotowych na ataki szyfrujące i ich niszczycielskie skutki.
Skala epidemii
Mimo medialnego szumu wokół szyfrujących cyberszantaży, wiele osób jeszcze do niedawna postrzegało je raczej jako egzotyczną ciekawostkę. Tymczasem blisko połowa respondentów już doświadczyła jakiejś infekcji szyfrującej w sieci własnej firmy lub instytucji, a 83% osobiście zna inne podmioty zaatakowane przez ransomware. Nic więc dziwnego, że tylko 10% specjalistów uważa środki bezpieczeństwa wdrożone w swoim miejscu pracy za wystarczające do powstrzymania takiego ataku.
Brak wiary w skuteczność ochrony przekłada się na częstsze tworzenie kopii bezpieczeństwa, jako szybkiego sposobu usunięcia skutków infekcji. Aż 98% ankietowanych zadeklarowało, że chroni w ten sposób swoje najważniejsze pliki. Backupowy optymizm podtrzymują dane dotyczące aktualności backupu. U 65,5% specjalistów ostatni backup miałby jeden dzień, “kilka dni” to wybór 27,5% badanych, a 5% uczestników przyznało, że ostatni plik w ich firmie mógłby mieć ponad miesiąc. W przypadku bazy danych dużej firmy utrata miesiąca pracy może być bardzo kosztowna, ale i mniejsze podmioty powinny zatroszczyć się o większą częstotliwość tworzenia backupu, bo zagrożenia szyfrujące nie są wybredne – z równą zajadłością atakują jednoosobowe firmy, urzędy miast, szkoły, zakłady produkcyjne etc.
Jak unikać zagrożenia?
Na wypadek podobnej katastrofy każda firma powinna mieć tzw. plan disaster recovery. Jego elementem jest ustalenie częstotliwości i procedury wykonywania testowego backupu, które wbrew obawom części administratorów wcale nie musi być czasochłonne. Jeśli wykorzystamy do tego możliwości uruchamiania systemu w środowisku wirtualnym to cały proces zajmuje kilka minut. – Krystian Smętek, Anzena
Prawdopodobnie to właśnie “brak czasu” na testowe przywracanie kopii bezpieczeństwa sprawia, że jego statystyki wypadają na tle całości średnio. Tylko niecałe 7% ankietowanych sprawdziło swój backup w przeciągu ostatniego tygodnia, a 15% w ciągu miesiąca poprzedzającego konferencję. Okres “w przeciągu 6 miesięcy” wskazało blisko 22% ankietowanych i tyle samo przyznało, że nie testuje swojego backupu w ogóle. Ostatnich 12% odpowiedzi brzmiało “nie pamiętam”, ale trzeba odnotować, że mogły jej udzielać również osoby nie zajmujące się bezpośrednio testami backupu.
Warto przypomnieć, że mimo ewolucji technologii sandboxingu zwalczających ransomware, na ten moment przywrócenie aktualnej kopii bezpieczeństwa pozostaje jedynym, praktycznie niezawodnym sposobem uniknięcia cyfrowego szantażu. Dla wielu podmiotów atakowanych przez ransomware w rodzaju WannaCry to ostatnia deską ratunku. W naszym interesie jest jak najczęściej sprawdzać, czy od ostatniego backupu ta deska nie spróchniała.