Proč pojišťovny tlačí oběti ransomwaru k tomu, aby útočníkům platily? A dá se s tím něco dělat?
Nedávná studie Sophos zkoumala souvislost mezi bezpečnostním řešením, pojištěním kybernetických rizik a ransomwarem. Na několik otázek nám v této souvislosti odpověděl Chester Wisniewski, technický ředitel společnosti Sophos.
Viz také: Průzkum Sophos: Kvalita kybernetické obrany přímo ovlivňuje pojistné podmínky
Z výsledků vyplývá, že organizace se samostatným kybernetickým pojištěním téměř čtyřikrát častěji zaplatí výkupné za obnovu zašifrovaných dat než organizace bez kybernetického pojištění. Na druhé straně ale pojištěné společnosti mají být ty, které mají z hlediska bezpečnosti IT vyspělejší politiku. Není podle vás zvláštní, že se pak rozhodnou platit výkupné, i když se tento krok rozhodně nedoporučuje?
Ano i ne. Jistě, organizace, které jsou na vyspělejším konci bezpečnostního spektra, by měly být lépe připraveny na reakci na incidenty a obnovu svých systémů a dat, ale často je to pojišťovna, kdo při těchto událostech rozhoduje. Abyste měli nárok na plnění, pojišťovna vyžaduje, abyste se řídili jejím reakčním plánem.
Mohou za toto chování tedy samotné pojišťovny, které jsou zákazníkům ochotny výkupné uhradit?
Z údajů rozhodně vyplývá, že tomu tak je. Pojišťovny chtějí přijmout co nejméně nákladné opatření, aby uvedly organizaci do provozuschopného stavu. Vznikl dojem, že zaplacením výkupného je obnova rychlejší a levnější, takže výkupné zjevně platí často. Bohužel naše údaje ukazují, že zaplacení výkupného ve skutečnosti zpomaluje dobu odezvy a proces obnovy je vždy nákladnější. Doufejme, že si toho pojišťovny všimnou a přestanou výkupné platit.
Z vaší studie vyplývá, že u těch firem, u nichž došlo v posledním roce k zašifrování dat při ransomwarovém incidentu, zaplatilo výkupné 59 % organizací se samostatným kybernetickým pojištěním. Nezdá se vám toto číslo příliš vysoké? Nemělo by to být tak, že firmy s vyspělejším zabezpečením budou schopny svá data i v takovém případě obnovit (rozumně rychle a v rozumném rozsahu)?
Ano, ale to vše jsou jen kalkulace pojišťovny, která se snaží co nejvíce snížit náklady. Pokud se domnívají, že obnovení bez zaplacení výkupného bude nákladnější, budou i nadále výkupné platit. Někdy se také organizace rozhodnou výkupné zaplatit, aby se vyhnuly veřejnému úniku svých dat a případně i povinnosti podávat hlášení podle GDPR.
Máte nějaké informace o tom, jaký podíl těch, kdo jsou ochotni zaplatit, se dostane zpět ke svým datům, a kdy jsou „podvedeni dvakrát“?
To je složitá otázka. Téměř 100 % těch, kteří zaplatí, získá „nějaká“ data zpět, ale většina z nich včechna svá data zpět nedostane. Proces šifrování je často uspěchaný a chybný a vede k poškození určitého procenta souborů. Celkově mohou ti, kteří platí, dešifrovat přibližně 80 % svých souborů, což je důvod, proč je to nákladnější. Abyste získali zbytek, musíte téměř vždy ještě obnovit zálohy a také zajistit, aby vaše systémy byly čisté poté, co je měli zločinci v rukou.
Chester Wisniewski, technický ředitel společnosti Sophos
Vy sami nějak své zákazníky přímo od platby výkupného v případě podobného incidentu odrazujete, nebo to necháváte na nich?
Jako poskytovateli služeb nám nepřísluší ovlivňovat rozhodnutí ani zákazníka, ani jeho pojišťovny nebo jeho právních oddělení či orgánů činných v trestním řízení. Pokud se mě na to někdo osobně zeptá, vyjádřím svůj názor, že placení výkupného jen tuto pohromu přiživuje, a že pokud výkupné zaplatí, bude je to pravděpodobně stát jen další peníze a čas. Musíme si však uvědomit, že jsou to oběti a pokud nemají zálohy, může tato situace často znamenat konec jejich podnikání, takže nakonec respektuji jakékoli rozhodnutí, které oběť přijme.
Jaký máte názor na možnost platby výkupného obětem ransomwaru legislativně přímo zakázat (eventuálně nějak omezeně, firmám z určitého odvětví, firmám s účastí státu, veřejně obchodovatelným…) nebo zakázat pojišťovnám výkupné proplácet v rámci pojistného plnění?
Nejsem odborník na právo, ale technické detaily takového postupu by vyžadovaly rozsáhlé prosazování v mnoha zemích, aby to mělo potřebný dopad a význam. Viděli jsme příklady toho, jak se společnosti snažily nazývat vyděračské platby „odměnami za chyby“ (bug bounties), a také USA již vyplácení výkupného sankcionovaným subjektům zakázaly, ale bezvýsledně. Zastavení placení výkupného by bylo nejúčinnějším způsobem, jak s tím skoncovat, ale obávám se, že je to příliš komplikované a politicky obtížné, než aby to byla reálná možnost.