Oprogramowanie typu ransomware (blokada danych, komputera w zamian za okup), które pojawiło się około 10 lat temu, stało się w ostatnim czasie prawdziwą zmorą przedsiębiorców. Wystarczy spojrzeć na liczby. W zeszłym roku liczba ataków według firmy Deep Instinct wzrosła o 435 proc. Więcej światła na skalę problemu rzucają dane gromadzone w raportach ekspertów od ransomware – Coveware. W pierwszym kwartale tego roku:
- średnia wartość okupu wzrosła z 154 tys. USD do 220 tys. USD, czyli o 43 proc. (mediana skoczyła zaś o 59 proc., do 78 tys. USD),
- 73 proc. zaatakowanych firm to przedsiębiorstwa zatrudniające do tysiąca pracowników (najmniejsze, zatrudniające do 100 osób stanowiły 37,2 proc. wszystkich poszkodowanych),
- najczęściej atakowane są firmy świadczące usługi profesjonalne (np. kancelarie prawne) – 25 proc.,
- • w 77 proc. przypadków hakerzy nie tylko blokują dane, ale grożą też ich upublicznieniem,
- • średni czas przestoju spowodowanego atakiem to 23 dni, o 10 proc. więcej niż pod koniec 2020 r.
Rośnie ryzyko – ubezpieczyciele podnoszą ceny
Te liczby same w sobie już niepokoją, a obawy przedsiębiorców może podbić jeszcze fakt, że francuski oddział jednego z 5 największych ubezpieczycieli wycofał się parę tygodni temu z oferowania rozszerzenia ochrony o koszty okupu w ramach cyberubezpieczeń na niektórych rynkach. Co więcej, CEO Swiss RE powiedział z kolei niedawno, że cyberryzyko może stać się zakresem nieubezpieczalnym. Choć skrajne, nie są to odosobnione głosy.
Nie spodziewam się jednak, żeby polskich przedsiębiorców jak francuskich, czekało ograniczenie ochrony, ale na pewno ceny pójdą w górę. Proszę też spojrzeć na liczby bezwzględne – sumę okupów zapłaconych w zeszłym roku oszacowano na równowartość 350 mln USD w kryptowalutach. A to tylko część środków wypłacanych przez ubezpieczycieli. Z polisy można sfinansować wiele więcej działań niż sam okup. To musi się odbić na cenach. Spodziewam się, że mogą wzrosnąć nawet i o 30-40 proc.
O atakach jest coraz głośniej, ale tylko o tych największych
Głośnymi niedawno przypadkami tego typu ataków są te przeprowadzone na szwedzką sieć sklepów spożywczych Coop, amerykańską firmę Colonial Pipeline (operator największego rurociągu w USA), czy działającą w branży mięsnej korporację JBS z USA. To największe ostatnio ataki, ale jak pokazują statystyki, to sektor MSP jest najbardziej zagrożony – ponad 1/3 atakowanych to firmy zatrudniające do 100 osób. Niestety, już nikt nie jest wolny od ryzyka. Coraz więcej przedsiębiorców zdaje sobie sprawę, że to nie kwestia „czy”, ale „kiedy” będę celem ataku. Dlatego oprócz dodatkowych zabezpieczeń, kupują też cyberpolisy.
Trzy filary cyberbezpieczeństwa
¯eby zabezpieczyć przedsiębiorstwo kompleksowo przed ryzykiem cybernetycznym, konieczne są trzy uzupełniające się elementy – aktualne oprogramowanie antywirusowe, minimalizacja błędów ludzkich i ubezpieczenie.
1. Aktualne oprogramowanie
Podstawą każdego systemu bezpieczeństwa IT jest oprogramowanie chroniące przed atakiem. Musi ono być stale aktualizowane, inaczej może nie zapewnić odpowiedniego poziomu ochrony. Ponadto jest to często wymóg ubezpieczycieli, żeby polisa pozostawała w mocy. Na szczęście większość dostępnych na rynku programów aktualizuje się automatycznie, trzeba więc tylko zadbać o wybór odpowiedniego – zapewniającego też zaporę przed malware i ransomware.
2. Edukacja pracowników
Samo oprogramowanie to jednak za mało, ponieważ nadal wiele ataków jest skutecznych z powodu błędów ludzkich. Dlatego firmy muszą dbać o czujność, wzrost świadomości oraz informowanie pracowników o niebezpieczeństwach. Pomocne będą tutaj „najprostsze” czynności tj. dbałość o nieotwieranie załączników z podejrzanymi rozszerzeniami, cykliczne wykonywanie kopii zapasowych oraz szkolenia. Warto też zadbać o kontrolę dostępu do poszczególnych aplikacji, baz danych i systemów firmowych.
3. Cyberubezpieczenie
Jednak nawet najlepsze zabezpieczenia i czujność pracowników czasem mogą okazać się niewystarczające. Wtedy ostatnią deską ratunku jest zazwyczaj ubezpieczenie. Jaką ochronę zapewnia w przypadku ransomware? Przede wszystkim gwarantuje środki na pokrycie okupu.
Ponadto z ubezpieczenia można sfinansować znalezienie i usunięcie luk w systemie bezpieczeństwa oraz wszelkie koszty związane z naruszeniem poufności danych osobowych, jak przeprowadzenie akcji informacyjnej wśród potencjalnie poszkodowanych czy wypłata ewentualnych zadośćuczynień.
Trzeba jednak pamiętać, że wszystkie wymienione elementy są ze sobą ściśle związane. Wobec coraz większego zagrożenia możemy spodziewać się, że w procesie oceny ryzyka zyskają na znaczeniu wymagania techniczne i organizacyjne, które winny być spełnione przez wnioskujących o ubezpieczenie. Przykładowo, coraz częściej mówi się o posiadaniu systemu do analizy i wykrywania zagrożeń na urządzeniach końcowych, tzw. Endpoint Detection and Response, w skocie EDR. Eksperci od oceny ryzyka zwracają też uwagę, czy firma prowadzi szkolenia dla pracowników z cyberbezpieczeństwa, wypracowała procedury reakcji, stosuje stopniowanie dostępu itd.
Przedsiębiorco, pamiętaj o przestoju z powodu ataku!
Konieczność zapłaty okupu, odzyskania danych czy wykrycia i usunięcia luk w systemie ochrony firmy to jednak tylko część problemu. Skutkiem ataku jest też zazwyczaj wymuszona przerwa w działalności do czasu zlikwidowania zagrożenia. A ta może potrwać nawet parę tygodni, jak widać
z zaprezentowanych na początku danych. Na szczęście ubezpieczyciele zdają sobie z tego sprawę i uwzględniają to ryzyko w oferowanej ochronie. Dzięki odpowiednim klauzulom przedsiębiorcy mogą liczyć na rekompensatę utraconego zysku netto z powodu ataku czy złośliwego oprogramowania.
Cyberpolisy oferują, jak widać kompleksową pomoc w razie ataku. „Dbają” też o reputację firmy, ponieważ fakt skutecznego ataku cybernetycznego, zawłaszcza, jeśli wyciekły dane osobowe, jest czasem bardzo szybko nagłaśniany medialnie. Powoduje to natychmiastowy spadek reputacji i zaufania do marki. Dlatego ubezpieczenie może zapewniać też pokrycie kosztów dodatkowego doradztwa i działań wizerunkowych, mających zminimalizować odpływ klientów z powodu samego ataku czy spowodowanej nim przerwy w działalność.
Warto zwrócić uwagę, że skutkiem ataków są czasem nie tylko konieczność zapłaty wielomilionowych okupów i zachwianie reputacji marek, ale także wzrosty cen spowodowane brakami dostaw, co również pozostawia rysę na wizerunku.
Autor: radca prawny, z-ca dyrektora oddziału Kraków EIB SA