Z perspektywy cybernetycznej istnieją tylko dwa rodzaje firm: Te, które już zostały zhakowane i te, które dopiero zostaną zhakowane.

Kiedy producent rolny zostaje zaatakowany przez ransomware, jest bliski upadku swojego biznesu.
Ostatnie dwa lata naszego życia na zawsze będą już naznaczone jako lata najcięższego uderzenia globalnej pandemii COVID-19. Ale okres ten przyniósł nam również inną, cyfrową pandemię, ekspansję cyberataków typu Ransomware.

Co to jest Ransomware?

To był zwykły poranek w firmie będącej jednym z głównych wytwórców produktów mlecznych w regionie. Dyrektor firmy przybył do fabryki jak zwykle jako pierwszy, włączył swojego służbowego laptopa i zauważył niepokojącą wiadomość: „Zostałeś zaatakowany przez ransomware, proszę kliknąć na link w celu wykonania dalszych kroków”.

Ransomware to rodzaj złośliwego oprogramowania lub programu szyfrującego, umieszczonego przez hakera, który działa poprzez szyfrowanie danych w sieci, a następnie żąda zapłacenia okupu w zamian za klucz deszyfrujący, w celu odzyskania dostępu do danych. Niektóre badania (Coveware) pokazują, że mniejszość firm, które wybierają drogę płatności okupu, jest zmuszona do dokonywania dodatkowych płatności lub nigdy nie uzyskuje dostępu do swoich danych.

Ataki typu ransomware są jednym z najszybciej rosnących zagrożeń w ciągu ostatnich kilku lat. Okres przerw w działalności biznesowej wydłużył się z średnio 15 dni (2020), do średnio 23 dni (2021). Należy również zauważyć, że koszty przerw w działalności są niekiedy równie wysokie, jak kwota okupu, a nawet ją przekraczają.

Zgodnie z Raportem IBM 2020 Cost of Data Breach Report potrzeba było około 280 dni, aby zidentyfikować naruszenie systemu, co daje nam obraz możliwości i siły hakerów, którzy niepostrzeżenie krążą po systemie firmy-ofiary.

  • W 2016 roku Delta Airlines doświadczyła poważnej awarii sieci, która trwała pięć godzin i kosztowała firmę 150 milionów dolarów.
  • W październiku 2016 r. miał miejsce atak DDoS na Dyn, firmę administrującą głównym elementem sieci, który spowodował awarię powszechnie używanych stron internetowych, takich jak PayPal, Twitter, Netflix, Amazon i inne.
  • W 2017 roku Maersk, duńska firma żeglugowa, stanęła w obliczu cyberataku, który zakłócił działalność na dwa tygodnie, powodując straty w wysokości około 300 milionów dolarów.

Słabym punktem jest RDP

Cognyte, czołowyproducent oprogramowania do analizy bezpieczeństwa, twierdzi, że wiodącymi celami dla ataku ransomware są przemysł wytwórczy i usługi finansowe, a w dalszej kolejności transport, branża technologiczna, kancelarie prawne i zasoby ludzkie.

Według „Sophos”, brytyjskiej firmy zajmującej się cyberbezpieczeństwem, jedną z najbardziej wyróżniających się metod jest powszechne stosowanie Remote Desktop Protocol (RDP). RDP pozwala zdalnym użytkownikom na podłączenie się do pulpitu innego komputera poprzez połączenie sieciowe i zazwyczaj jest używany przez organizacje, w celu umożliwienia pracownikom dostępu do ich sieci podczas pracy zdalnej. Jeśli port, którego organizacja używa do dostępu RDP, jest wystawiony bezpośrednio na działanie Internetu, hakerzy łatwo mogą go znaleźć, a następnie próbować uzyskać dostęp do systemów komputerowych organizacji.

Po uzyskaniu przez hakerów dostępu do systemu, kolejnym krokiem jest włamanie się na konto lokalnego administratora organizacji. Oznacza to, że atakujący za pomocą programu komputerowego próbują złamać hasła, wypróbowując różne kombinacje haseł w szybkich seriach. Im dłuższe i bardziej skomplikowane hasło, tym więcej czasu i tym trudniej jest hakerom złamać system. Niestety, w naszym przypadku konto lokalnego administratora firmy miało słabą kombinację haseł. Dodatkowo, brak wieloskładnikowego uwierzytelniania (MFA – Multi-factor authentication) dla dostępu RDP sprawił, że haker był w stanie uzyskać dostęp do sieci organizacji bez konieczności przechodzenia drugiej procedury weryfikacyjnej, np. wpisywania kodu weryfikacyjnego.

Produkcja została wstrzymana, a niestety firma nie posiadała kopii zapasowych przechowywanych na zewnętrznym nośniku, które mogłyby zostać użyte do odtworzenia danych. Po uruchomieniu planu ciągłości działania i skontaktowaniu się z zewnętrznym zespołem reagowania kryzysowego, firma zdecydowała zapłacić okup. Po otrzymaniu klucza deszyfrującego rozpoczęto odzyskiwanie danych. Ponieważ cały proces był czasochłonny, system potrzebował około 14 dni na pełne odzyskanie danych.

Zalety cyberubezpieczenia

Dzięki polisie cybernetycznej firma była w stanie przeprowadzić cały proces odzyskiwania danych i wypłaty okupu przy pomocy wysoko wykwalifikowanych specjalistów IT. Koszty, które zostały pokryte w ramach tego cyberataku, oprócz wspomnianego okupu, to straty związane z przerwaniem działalności, koszty reakcji na zdarzenie, koszty informatyków śledczych, koszty konsultantów PR, a także koszty związane z odpowiedzialnością za naruszenie prywatności i przepisów dotyczących ochrony danych osobowych (RODO).

Kilka ważnych statystyk (Indusface):

  • Organizacje odnotowały rekordowy 225% wzrost strat spowodowanych atakami ransomware w 2020 r.;
  • 53% zaatakowanych firm stwierdziło, że ich marka i reputacja ucierpiały po udanym ataku;
  • Około 26% przedsiębiorstw musiało całkowicie przerwać działalność z powodu ataku ransomware.

Z perspektywy cybernetycznej istnieją tylko dwa rodzaje firm: Te, które już zostały zhakowane i te, które dopiero zostaną zhakowane.

Jeśli jesteś ciekaw, jakie są możliwości uzyskania oferty ubezpieczeniowej i jaki jest poziom podatności Twojej firmy na cyberzagrożenia, skontaktuj się z nami, a zespół naszych specjalistów udzieli Ci wszelkich niezbędnych informacji na temat dalszych kroków.

Related Insights

Stephan Eberlein

Group Practice Leader Financial Lines

T +43 664 962 40 60