W ostatecznym rozrachunku sprowadza się to do konieczności odpowiedzenia sobie na pytanie: które dane moja firma potrzebuje backupować, a bez których nie może się obejść, więc trzeba zapewnić ich wysoką dostępność? Znajomość tej różnicy pomaga określić czas potrzebny na przywrócenie systemu do pracy (Recovery Time Objective, RTO) dla danego typu danych lub aplikacji.

24-godzinny czas odzyskiwania danych może mieścić się w zakresie RTO dla danych i aplikacji nieistotnych. Z drugiej strony, w przypadku zasobów o znaczeniu krytycznym, niedostępność danych przez całą dobę może znacznie nadszarpnąć swobodne funkcjonowanie firmy. Koszty z tym związane mogą niekiedy okazać się znacznie wyższe niż zapłata za odszyfrowanie danych, wymuszona w ramach ataku ransomware.

Równie ważna jak określenie wymaganego czasu RTO, jest decyzja dotycząca tego ile potencjalnie danych będzie można utracić. Przedstawiana jest ona w postaci punktu w przeszłości (Recovery Point Objective), w którym po raz ostatni wykonana została kopia danych. Na przykład wysokowydajny system, wykonujący przetwarzanie krytycznych transakcji online (OLTP), nie może sobie pozwolić na utratę danych pomiędzy cyklami tworzenia kopii zapasowych.

Dobrze zaprojektowane plany tworzenia kopii zapasowych są zwykle mieszanką zarówno standardowego backupu, jak i mechanizmów wysokiej dostępności. Dlatego warto znać różnice między nimi, aby móc wybrać właściwe podejście do danego systemu, aplikacji lub zestawu danych.

Tworzenie zapasowych kopii danych

Istnieje wiele powodów, aby regularnie tworzyć niezawodne kopie zapasowe systemów biznesowych. Mogą one dotyczyć zwykłych korzyści związanych z przechowywaniem dokumentów, np. brak konieczności rozpoczynania projektu od początku w przypadku przypadkowego skasowania pliku. Ułatwiają także spełnienie wymogów branżowych lub przepisów prawnych.

Kopie zapasowe są wykonywane w określonych odstępach czasu, zazwyczaj raz dziennie w godzinach wolnych od pracy, i przechowywane na serwerze kopii zapasowych. Często mają przypisaną wartość zwaną retencją, określającą przez jak długi czas przechowywana jest kopia. Tę decyzję należy podjąć biorąc pod uwagę aspekty biznesowe i wewnętrzne reguły polityki, ale także obowiązujące dane przedsiębiorstwo przepisy prawa, które często wymuszają stosowanie przedłużonej retencji, nawet na rok lub dłuższy okres.

Ostatnio serwery kopii zapasowych znalazły się na celowniku cyberprzestępców atakujących za pomocą oprogramowania ransomware. Dlatego konieczne jest skrupulatne przeanalizowanie przyjętych przez firmę mechanizmów tworzenia backupu, aby nie został on zaszyfrowany. Jedną z preferowanych metod jest wykonanie wtórnej kopii w chmurze. Ponieważ znajdzie się ona w oddzielnej strefie, zapewniona w ten sposób zostaje dodatkowa warstwa bezpieczeństwa.

W większości przypadków dla kopii zapasowych czas przywrócenia systemu do pracy (RTO) określany jest na poziomie godzin (awaria sprzętu, atak ransomware) lub nawet dni (zalana serwerownia). Dla niektórych działów, np. kadr, taki czas RTO może być akceptowalny. W przypadku systemu sprzedaży będzie to jednak oznaczać znaczną utratę przychodów.

Artykuł Jakie są różnice między backupem a wysoką dostępnością? pochodzi z serwisu CRN.

Według badania Veeam 28 proc. serwerów w branży finansowej doznało co najmniej jednej awarii w ostatnim roku. To odsetek znacznie niższy niż średnia światowa (40 proc.) i prawie dwa razy mniejszy niż np. w branży ochrony zdrowia (52 proc.).

Z roku na rok rośnie jednak luka pomiędzy potrzebami firm, a możliwościami działów IT. W gruncie rzeczy to już przepaść, bo 90 proc. przedsiębiorstw finansowych zauważa rozdźwięk między tym, ile danych może stracić bez negatywnych skutków dla działalności, a tym jak często tworzone są kopie zapasowe. Aż 91 proc. uważa, że to, jak szybko potrzebne jest przywrócenie działalności w momencie awarii, odbiega od możliwości firmy.

Prawie 40 proc. danych przepada

Jak zauważa raport, branża jest szczególnie wrażliwa na utratę danych. Już 76 proc. firm z sektora finansów i ubezpieczeń doświadczyło przynajmniej jednego ataku ransomware w ostatnim roku. Po udanym ataku nie udawało się odzyskać średnio 38 proc. utraconych informacji.

W ciągu ostatnich dwóch lat firmy finansowe znacznie zwiększyły częstotliwość ochrony zasobów: dane priorytetowe są zabezpieczane średnio co 121 min. (w 2019 r. – 205 min.), a pozostałe co 171 min. (663 min. w 2019 r.).

W przypadku 64 proc. danych priorytetowych i 58 proc. pozostałych instytucje finansowe mogą utracić zasoby maksymalnie z ostatniej godziny (światowa średnia to 56 proc. dla danych priorytetowych i 49 proc. dla pozostałych).

Oznacza to, że zakres danych, które mogą przepaść bez negatywnych skutków dla firmy jest niższy niż w innych branżach.

Migawki są niezbędne
Jak zauważa Veeam, samo tworzenie kopii zapasowych raz dziennie może nie wystarczyć do odzyskania potrzebnych zasobów tak szybko jak to konieczne. Proces ten musi być połączony z wykonywaniem migawek i/lub replikacją.

50 proc. branży w chmurze

W 2022 r. infrastruktura w branży finansowej składa się w 26 proc. z serwerów fizycznych, w 24 proc. z wirtualnych i w 50 proc. z infrastruktury w chmurze.

Dla porównania w 2020 r. lokalne serwery stanowiły 37 proc., widać więc szybkie tempo wirtualizacji i migracji do chmury w czasie pandemii.

Branża zamierza nadal dążyć do chmury. Z badania wynika, że do 2024 r. udział serwerów on-premise spadnie do 24 proc., a wirtualnych serwerów hostowanych przez zewnętrznych dostawców wzrośnie z 31 proc. w 2020 r. do 53 proc. w 2024 r.

Firmy z branży finansowej przechodzą do chmury w podobnym tempie jak pozostałe. Wciąż jednak widoczna jest duża zależność od starszych, średniej klasy systemów i aplikacji na lokalnych serwerach.

——–

Dane zawiera „Data Protection Trends Report 2022”, który powstał na podstawie wyników badania Vanson Bourne, zleconego przez Veeam. Wzięło w nim udział 3 tys. osób, które podejmują decyzje dotyczące infrastruktury IT w przedsiębiorstwach zatrudniających ponad 1 tys. pracowników z 28 krajów (w tym 472 respondentów z branży usług finansowych i ubezpieczeniowych).

Artykuł Rośnie przepaść między możliwościami działów IT a potrzebami ochrony danych pochodzi z serwisu CRN.

Ponad 70 proc. organizacji doświadczyło dwóch lub więcej ataków ransomware w ciągu ostatnich 12 miesięcy. W 2022 r. hakerzy wykradli już ponad 30 terabajtów poufnych danych w 320 atakach – podaje Atlas VPN. A z całą pewnością liczba kradzieży była jeszcze większa.

Globalna liczba ataków ransomware wzrosła o 105 proc. w 2021 r., osiągając zatrważającą średnią prawie 20 prób na sek. Większość — 44 proc. infekcji – przeprowadzono metodą phishingu.

Z tym że prawie połowa ataków ransomware na całym świecie była skierowana na podmioty w USA w ub.r.

Z kolei do najbardziej znaczących w tym roku należy atak na Nvidię. Hakerzy z grupy Lapsus twierdzili, że ukradli 1 TB danych firmy i zażądali okupu 1 mln dol.

Jednym z powodów, dla których oprogramowanie ransomware jest tak skuteczne, jest to, że firmy wciąż płacą okup. Aż 76 proc. organizacji zainfekowanych ransomware w ciągu ostatnich dwunastu miesięcy (badanie ze stycznia 2022 r.) uiściło haracz. Mimo to prawie co czwarta (24 proc.) firma nie była w stanie odzyskać swoich danych.

Wśród najbardziej zagrożonych sektorów są branże przemysłowa i energetyczna, handlu detalicznego i finansowa – informuje Atlas VPN.

Artykuł Hakerzy ransomware wyssali ponad 30 TB poufnych danych pochodzi z serwisu CRN.

Organy ścigania mocno przetrzebiły grupy przestępcze zajmujące się ransomware. Skutek jest taki, że wyraźnie spadł odsetek ataków tego typu. W II kw. 2022 r. miały 15 proc. udziału, podczas gdy w I kw. 2022 r. aż 25 proc. – według Cisco Talos.

Jednak obecnie najczęściej spotykanym problemem są ataki wykorzystujące commodity malware.

Jest to o tyle istotną zmianą, że wcześniej liczba obserwowanych przez zespół CTIR (Cisco Talos Incident Response) ataków wykorzystujących trojany typu commodity spadała regularnie od 2020 r.

Obecnie jednak obserwowany jest renesans trojanów odpowiadających za ataki na pocztę elektroniczną. W II kw. 2022 r. stwierdzono działanie m.in. Remcos Remote Access Trojan (RAT), złodzieja informacji Vidar, Redline Stealer i Qakbot (Qbot) – trojana bankowego, który w ostatnich tygodniach pojawił się w nowych skupiskach aktywności.

Cyberprzestępcy zazwyczaj wykorzystują, commodity malware stawiając na efekt skali, gdyż nie jest ono dostosowane do ataków na konkretne cele.

W dalszym ciągu najbardziej narażone na ataki były firmy z branży telekomunikacyjnej, którą od IV kw. 2021 r. interesują się cyberprzestępcy. Tuż za nią plasują się organizacje z sektora edukacji i opieki zdrowotnej.

Atak na serwer Azure

W minionym kwartale przeprowadzono kilka akcji, w których do ataku wykorzystano podatności w  aplikacjach, routerach i serwerach. M,in. działająca w Europie firma informatyczna miała źle skonfigurowany i przypadkowo ujawniony serwer Azure. Hakerzy próbowali zdalnie uzyskać dostęp do systemu, zanim został on odizolowany. Działał on sam w swojej podsieci, ale był połączony z innymi zasobami wewnętrznymi za pośrednictwem tunelu IPSec VPN. Zidentyfikowano wiele nieudanych prób logowania i ataków typu brute force, polegających na sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy z różnych zewnętrznych adresów IP.

Artykuł Powraca znane zagrożenie. Wyprzedziło ransomware pochodzi z serwisu CRN.

Ransomware ponownie staje się najczęściej używanym narzędziem przez cyberprzestępców. Co tydzień na całym świecie ataki uderzały średnio w 1 na 40 organizacji, co stanowiło wzrost o blisko 60 proc. wobec ub.r. Średnia tygodniowa liczba ataków na organizację sięga 1,2 tys., tj. o 32 proc. więcej rok do roku – ustalił Check Point Research.

Dlaczego jest gorzej
Eksperci wskazują na trzy istotne powody pogłębienia problemu ransomware:
-hakerzy wykorzystują przejście na zdalną pracę i naukę
-wojna na Ukrainie
-gotowość organizacji do płacenia okupu

Jednak stosunkowo nieźle wyglądała sytuacja w Europie, gdzie odnotowano 1-proc. spadek (atakowanych 1 na 66 organizacji). Atakowane były średnio 963 organizacje (+26 proc.).

W Polsce średnia ilość ataków tygodniowo to 1,1 tys.

Kto jest głównym celem cyberprzestępców

Najczęściej hakerzy na świecie uderzają są sektor rządowo-wojskowy (wzrost o 135 proc. r/r) oraz edukacji i badań. Na baczności muszą być firmy handlowe, bo w sektorze „hurt i detal” odnotowano 182 proc. wzrostu ataków.

Uwzględniając natomiast wszystkie typy zagrożeń, najbardziej atakowaną branżą na świecie były edukacja i badania (średnio ponad 2,3 tys. ataków na organizację w tygodniu, co oznacza wzrost o 53-proc. w porównaniu z II kw. 2021 r.).

Z kolei sektor opieki zdrowotnej odnotował największy, 60-proc wzrost liczby cyberataków w porównaniu z II kw. 2021 r. (przeciętnie 1342 ataki na organizację tygodniowo).

Średnia liczba ataków różnego typu na organizację w tygodniu

Check Point Research zaleca 5 kroków dla prewencji przed ransomware:

1.  Wykonaj kopię zapasową danych  i upewnij się, że backupy są  tworzone regularnie w całej firmie.

2.  Ustal „strategię odpowiedzi”, tzn. co zamierzasz zrobić, jeśli twoja organizacja stanie się celem ataku ransomware?

3. Zastosuj skanowanie i filtrowanie treści, aby pracownicy nie podali hakerom danych logowania za pomocą linku phishingowego lub pobrania pliku ze złośliwym oprogramowaniem.

4.  Aktualizuj swoje systemy.

5. Przeszkol swoich pracowników. Np. aby wybierali silne hasła, nie podawali haseł innym osobom, unikali podejrzanych linków i treści.

76 proc. dotkniętych atakiem ransomware w minionych 12 miesiącach przyznało, że zapłaciło okup – podaje Atlas VPN za badaniem Veeam. Jednak mimo to prawie co czwarta firma (24 proc.) nie odzyskała dostępu do swoich danych.

Artykuł O 60 proc. więcej firm ofiarą ataków ransomware w tym roku pochodzi z serwisu CRN.

Gang o nazwie RansomHouse utrzymuje, że wykradł z AMD 450 GB danych, a stało się to już na początku roku, dokładnie 5 stycznia 2022 r. Co więcej, cyberprzestępcy zapewniają, że już rok temu uzyskali dostęp do sieci producenta.

Gang podaje, że nie złamał zabezpieczeń, lecz wykorzystał niedostateczną kontrolę haseł. Pracownicy koncernu mieli korzystać z tak prostych haseł jak „password”, „P@sswoOrd” i „123456”. Pozwoliło to przeniknąć do sieci firmy – zapewnia gang.

Hakerzy mieli także poinformować serwis BleepingComputer, że nie zażądali okupu od AMD, bo bardziej opłaca im się sprzedać na czarnym rynku dane firmy.

AMD nie potwierdziło włamania. Poinformowało, że trwa dochodzenie w sprawie tych informacji.

Brett Callow, ekspert ds. ransomware z Emsisoftu, uważa, że twierdzenia hakerów „mają pewną wiarygodność”, natomiast nie podjął się oceny, czy rzeczywiście ich łupem padły dane AMD.

Artykuł Kradzież 450 GB danych z AMD? „Trwa dochodzenie” pochodzi z serwisu CRN.

Większość ofiar ransomware płaci cyberprzestępcom. Aż 76 proc. dotkniętych atakiem w minionych 12 miesiącach przyznało, że uiściło haracz, aby odzyskać dostęp do swoich danych – podaje Atlas VPN za badaniem Veeam. Jak się jednak okazuje, cyberbandytom nie można ufać – prawie co czwarta firma (24 proc.) mimo zapłaty nie odzyskała dostępu do plików.

Pozytywna wiadomość jest taka, że 19 proc. firm było w stanie odzyskać swoje dane bez przekazywania okupu.

Co ciekawe, by móc przekazać daninę napastnikom, 72 proc. organizacji korzystało z jakiejś formy ubezpieczenia.

Według badania 73 proc. przedsiębiorców doświadczyło dwóch lub więcej ataków ransomware w ciągu ostatnich 12 miesięcy. Większość infekcji (44 proc.) to skutek phishingu – wiadomości e-mail, linków i stron ze szkodnikami, a 41 proc. dokonano poprzez zainfekowane łatki i pakiety oprogramowania.

W badaniu pytano 1 tys. szefów IT z firm z 16 krajów z regionu Azji, EMEA i obu Ameryk.

Artykuł 76 proc. ofiar ransomware zapłaciło okup pochodzi z serwisu CRN.

Aż w 94 proc. polskich firm – ofiar ransomware atak negatywnie wpłynął na zyski – według badania Sophosa.

Co gorsza zagrożenie jest coraz większe, bo ponad połowa przedstawicieli średnich i dużych podmiotów potwierdza, że cyberataków w 2021 r. było więcej niż w latach poprzednich, a w ocenie 57 proc. cyberprzestępcy posługują się coraz bardziej zaawansowanymi technikami. Blisko połowa (45 proc.) stwierdziła, że zwiększyły się skutki ataków.

Rośnie świadomość ryzyka

Jeszcze w 2020 r. 27 proc. polskich przedsiębiorstw przyznawało, że nie uważa się za potencjalny cel dla hakerów.

W 2021 r. odsetek ten zmalał do zaledwie 3 proc., co świadczy o tym, jak zwiększyła się świadomość zagrożenia ransomware’m. Co piąta firma, nawet jeśli nie doświadczyła ataku w ub.r., spodziewa się go w przyszłości.

Co trzecia organizacja ma problem z łataniem luk

Z raportu wynika, że 66 proc. średnich i dużych przedsiębiorstw w Polsce dba o monitorowanie podejrzanych aktywności, łatanie luk w systemach, integrację i automatyzację rozwiązań ochronnych oraz śledzenie nowych technik i metod cyberataków. Takie są przynajmniej deklaracje.

Co trzecia firma wskazuje, że ma problemy z łataniem luk, śledzeniem incydentów czy nadążaniem za zmieniającymi się metodami przestępców.

Z danych wynika, że przedsiębiorcy mają problem z odpowiednim wykorzystaniem kadry IT i budżetów na ochronę.

Większość firm zapewnia, że ma fachowców i budżety na cyberbezpieczeństwo

Już 61 proc. polskich firm twierdzi, że ma wystarczającą liczbę specjalistów ds. cyberbezpieczeństwa.

Podobny odsetek utrzymuje, że ich organizacja posiada odpowiednio wysoki budżet na działania związane z ochroną danych.

Tylko 17 proc. przyznaje, że przeznaczane na ten cel środki nie są wystarczające.

Atakują nas, ale tylu fachowców nam nie potrzeba
Co ciekawe, aż 65 proc. ofiar uważa, że ma więcej pracowników zajmujących się ochroną środowiska IT niż jest to konieczne.

Firmy: za dużo wydajemy na bezpieczeństwo

Co czwarte średnie i duże przedsiębiorstwo deklaruje, że wydaje na cyberbezpieczeństwo znacznie więcej, niż samo uważa za zasadne (na świecie twierdzi tak średnio aż 6 na 10 firm, które doświadczyły ataku ransomware). Co sugerowałoby, że decydenci IT nie widzą sensu przynajmniej części wydatków.

„Badanie wykazało, że samo zaangażowanie kadry i środków finansowych nie wystarcza. Konieczne jest inwestowanie we właściwe rozwiązania oraz posiadanie wiedzy i umiejętności, aby skutecznie z nich korzystać. Liczby sugerują, że firmy mają trudności z efektywnym rozlokowaniem swoich zasobów w obliczu rosnącej liczby i złożoności ataków” – komentuje Grzegorz Nocoń, inżynier systemowy w Sophosie.

Jak skutecznie się chronić

Zdaniem ekspertów Sophosa trzeba uprzedzać ruchy cyberprzestępców.

„Najlepszą ochroną jest aktywne „polowanie” na zagrożenia i wykrywanie atakujących jeszcze zanim dostaną się do sieci” – radzi Grzegorz Nocoń.

Kluczowe według niego jest także wzmocnienie działu IT firmy i regularne kontrole bezpieczeństwa. Firma musi też mieć plan działania na wypadek cyberataku i możliwie szybko reagować, dlatego ważne jest tworzenie kopii zapasowych i ćwiczenia przywracania danych – przypomina inżynier Sophosa.

——–

Badanie „State of Ransomware 2022” zostało przeprowadzone przez agencję badawczą Vanson Bourne w styczniu i lutym 2022 r. Wzięło w nim udział 5,6 tys. decydentów IT z 31 krajów, w tym z Polski.

Artykuł Pogrom polskich firm przez ransomware. 94 proc. miało straty pochodzi z serwisu CRN.

W tym roku, podobnie jak w 2021 r., ransomware pozostaje najczęściej występującym cyberzagrożeniem – według danych Cisco Talos.

Trzy główne cele przestępców

W I kw. 2022 r. atakowano najczęściej firmy telekomunikacyjne, placówki edukacyjne i sektor rządowy. Co istotne, napastnicy zazwyczaj precyzyjnie wybierali cele, aby pozyskać konkretne informacje – dotyczące hostów i maszyn uczestniczących w wymianie danych, które miały stać się obiektem ataków – twierdzą specjaliści z Cisco Talos Incident Response (CTIR).

Jak przebiegają ataki

Początkowym etapem był zwykle phishing mający na celu instalację, po kliknięciu w zainfekowany link lub pobraniu dokumentu, złośliwego oprogramowania, które odpowiadało za przygotowanie do dalszej serii naruszeń.

Co zmieniło się w tym roku

W porównaniu z końcem 2021 r. zaobserwowano więcej zagrożeń wykorzystujących socjotechnikę i prób podszycia się pod zaufane programy i aplikacje.

Ataki sponsorowane przez rządy

W I kw. 2022 r. było więcej ataków typu advanced persistent threat (ATP). Są to złożone i prowadzone przez długi czas działania wymierzone w konkretną organizację. Wymagają dużych inwestycji, dlatego stroną atakującą lub sponsorem często są agencje rządowe.

Ostatnio stwierdzono aktywność grup powiązanych z Iranem i Chinami. Ta ostatnia wykorzystuje krytyczną lukę Log4j, wykrytą w końcu ub.r, która zagrażała nawet połowie polskich firm.

Ta podatność była wykorzystywana do obejścia zabezpieczeń poprzez instalację backdoora. Następnie program PowerShell służący do automatyzacji zadań IT wydawał polecenie pobrania trzech dodatkowych plików z serwera powiązanego z cyberprzestępcami, które siały spustoszenie w zasobach organizacji.

Niebezpieczna demokratyzacja ransomware postępuje

Na początku tego roku odnotowano naruszenia z wykorzystaniem nowych rodzin ransomware, przy czym ataki są zróżnicowane. Żadna rodzina ransomware nie została zaobserwowana dwukrotnie w incydentach w I kw. br.

Jest to zdaniem specjalistów efekt demokratyzacji ransomware, czyli darmowego udostępniania narzędzi do ataków. Gdy te okazują się skuteczne, twórcy złośliwego oprogramowania partycypują w zyskach z okupu.

Cisco Talos, radzi, jak się chronić

Najlepszym zabezpieczeniem jest uwierzytelnianie wieloskładnikowe (MFA) we wszystkich krytycznych usługach – twierdzą specjaliści Cisco. Podają przykład ataku z I kw. br. na firmę telekomunikacyjną. Został on przeprowadzony za nieświadomym pośrednictwem organizacji partnerskiej, odpowiadającej za wsparcie i call center. Cyberprzestępcy uzyskali dostęp do urządzenia Citrixa, które nie było zabezpieczone przez MFA – informuje Cisco Talos.

Artykuł Co nam zagraża wg Cisco pochodzi z serwisu CRN.

Już 8 na 10 ataków zakończyło się zaszyfrowaniem firmowych danych. Połowa przedsiębiorstw, których dane zostały zaszyfrowane, zapłaciła okup przestępcom – nawet jeśli mogła spróbować odzyskać pliki z kopii zapasowych.

Polskie firmy w 2021 r. płaciły przestępcom średnio 670 tys. zł haraczu za odzyskanie danych zaszyfrowanych ransomware.

Straty wzrosły pięciokrotnie

Ponad jedna piąta (22 proc.) polskich firm w wyniku ataku ransomware poniosła koszt od 2,8 mln do 5,8 mln zł. Co dziesiąta zanotowała straty rzędu 5,8 – 29 mln zł. Czyli przeciętne szkody okazują się znacznie wyższe, niż płacony okup.

Wydatki te związane były z przestojami w działalności firmy, straconymi możliwościami biznesowymi, kosztami operacyjnymi oraz koniecznością opłacenia okupu – średnio było to w sumie 7,6 mln zł. To znaczny wzrost w porównaniu z 2020 r. (1,49 mln zł).

Jedynie 5 proc. polskich firm nie odczuło negatywnego wpływu ataku ransomware na codzienną działalność, a 62 proc. przyznało, że miał on poważne skutki dla biznesu. Połowa przedsiębiorstw znacząco odczuła utratę szans na rynku i przychodów.

W Polsce zrobiło się niebezpieczniej niż na świecie

Nagły wzrost liczby ataków widać na całym świecie, ale w Polsce ten skok jest wyjątkowo duży.

Otóż odsetek firm zatrudniających ponad 100 osób zaatakowanych ransomware globalnie wzrósł z 37 proc. w 2020 roku do 66 proc. w 2021 r. – ustalił Sophos.

Średni płacony okup był na świecie prawie pięciokrotnie wyższy niż rok wcześniej i wyniósł 812 tys. dol. (ok. 3,4 mln zł), czyli znacznie więcej niż w naszym kraju.

Firmy coraz częściej płacą przestępcom

Trzykrotnie wzrósł odsetek przedsiębiorstw, które zapłaciły przestępcom co najmniej 1 mln dol. Firmy są coraz bardziej skłonne przesłać atakującym okup – w 2021 r. zrobiło to 46 proc. z nich (w 2020 r. 32 proc.).

„Powodów może być kilka: niekompletne kopie zapasowe, obawa przed wyciekiem skradzionych informacji, presja, aby jak najszybciej wrócić do funkcjonowania” – tłumaczy Grzegorz Nocoń, inżynier systemowy w Sophosie.

„Przywracanie danych za pomocą kopii zapasowych może być trudne i czasochłonne, wiele firm myśli więc, że zapłacenie okupu będzie szybsze. Niesie to jednak duże ryzyko dla bezpieczeństwa. Firma nie wie, co atakujący zrobił w sieci, jakie dane mógł skopiować i jakie furtki zostawił sobie na kolejne ataki” – zauważa ekspert.

Długi (i kosztowny) powrót do normalności

W porównaniu ze średnią światową, w Polsce przedsiębiorstwa dłużej neutralizują skutki ataku. Tylko 39 proc. firm udało się to w mniej niż tydzień (globalnie było to 53 proc.). Co czwarta firma przywracała normalną działalność do miesiąca, a 31 proc.  – od 1 do 3 miesięcy.

„Przywracanie systemu po ataku to skomplikowany proces. Firma w takiej sytuacji może być wyłączona na wiele tygodni, co generuje ogromne koszty” – twierdzi Grzegorz Nocoń.

Radzi przygotować się na atak: tworzyć kopie zapasowe, ćwiczyć i aktualizować planu działania, aby jak najszybciej wznowić pracę. Ważne są również regularne kontrole bezpieczeństwa i inwestowanie w wysokiej jakości zabezpieczenia.

„Najlepszą ochroną jest aktywne ‘polowanie’ na zagrożenia i identyfikowanie atakujących jeszcze zanim dostaną się do sieci. Firmy, które nie mają specjalistów ds. cyberbezpieczeństwa mogą powierzyć to zadanie zewnętrznym ekspertom” – radzi inżynier Sophosa.

———

Badanie „State of Ransomware 2022” zostało zrealizowane dla Sophosa przez Vanson Bourne w styczniu i lutym 2022 r. Przeprowadzono wywiady z 5,6 tys. decydentami IT w 31 krajach, w tym w Polsce, z firm zatrudniających od 100 do 5 tys. pracowników.

Artykuł 3 na 4 polskie firmy ofiarą ataku ransomware w 2021 r. pochodzi z serwisu CRN.