Třetí vlna ransomwaru bude vydírat přímo ohrožením lidských životů a dříve nebo později si útočníci budou moci udělat i symbolickou čárku. Tedy fakticky ransomware, dalo by se odhadnout, již téměř jistě někoho zabil, ovšem nepřímo (mrtvice, sebevražda kvůli finanční ztrátě, autonehoda řidiče stresovaného v důsledku incidentu…). Podvodníci zrovna o tohle neusilovali a ani tím nevyhrožovali. To se změní.
Cílem takového vydírání mohou být v první řadě samozřejmě provozovatelé nemocnic a dalších zdravotnických zařízení (nakonec víme, že nemocnice se obětí ransomwaru staly i u nás), stejně tak ale i letecký průmysl nebo jiné kritické dopravní systémy. Dále i dodavatelé přístrojů typu lékařských implantátů nebo nakonec i samotní uživatelé chytrých kardiostimulátorů či inzulínových pump se síťovou komunikací. Kdo si pak troufne nezaplatit? A to bez ohledu na další legislativu, která např. může zakázat pojišťovnám, aby výkupné za ransomware proplácely v rámci pojištění kybernetických rizik.
Brian Wrozek, CISO společnosti Optiv Security, se na InformationWeek na jednu stranu domnívá, že killware jako třetí vlna ransomwaru (první – zašifrování dat; druhá – vydírá se i jejich zveřejněním) je neodvratný, ale moc se nerozšíří, protože by vyvolal příliš silnou odvetnou reakci ze strany státních orgánů. Tvůrci ransomwaru chtějí vydělávat, ne se dostat na žebříček nejhledanějších zločinců světa; rozhodně nestojí o to, aby o život šlo jim samým.
Je takový optimismus ale na místě? Z teorie her celkem vyplývá, že kdo to zkusí jako první, může mít větší šanci na úspěch. Zločince asi příliš netrápí, že zvyšují rizika jiným zločincům. Navíc killware lze používat i jako pouhý způsob vydírání, bez toho, že by útočníci dokázali svou hrozbu splnit.
Z pohledu provozovatelů příslušných systémů, jejich správců a osob s rozhodovací pravomocí je tu snad ale přece jen pár dobrých zpráv. Za prvé, situace nevyžaduje žádné speciální kroky. Killware je pořád ransomware, to znamená, že rozhodujícím prvkem obrany je fungující strategie proti ransomwaru, ale sotva lze dělat něco víc. Druhá věc je, že reakci na incident lze „formalizovat“, tj. vypracovat manuál, který v kritický okamžik omezí subjektivnost rozhodování v krajním stresu se všemi z toho vyplývajícími chybami. To ale opět platí pro kyberbezpečnostní incidenty obecně, nikoliv pro killware speciálně. Zde snad je jen ještě důležitější, aby vedle samotného manuálu byly plány reakce na útok také předem skutečně procvičeny při simulovaném incidentu…