Od krádeží dat k jejich zašifrování

Podle mnohých zpráv z médií by se zdálo, že se útočníci zaměřují spíše na veřejné organizace, jejichž úroveň IT bezpečnosti bývá často nedostatečná. Jako například nedávný příklad útoku na floridské město Riviera Beach, které se rozhodlo zaplatit hackerům v Bitcoinech částku odpovídající 600 000 dolarům.

Nicméně realita je taková, že podobný osud stále častěji potkává také výrobní společnosti. Letos v červnu byl zaznamenán útok na belgickou společnost ASCO. Výrobce leteckých komponent, musel v důsledku ransomwarového útoku zastavit výrobu na celý týden a přes 1 000 pracovníků poslat na placené volno, dokud nebyl zasažený systém opět obnoven. K dalším již prokázaným obětem ransomwaruse zařadily i takové firmy jako farmaceutický gigant Merck, automobilky Nissan a Renault, tchajwanský výrobce polovodičů TSMC či Norsk Hydro.

Proč na výrobní podniky cílí právě ransomware, když dřívější útoky byly vedeny spíše s cílem krádeží technických dat a duševního vlastnictví? K čemu a komu jsou dobrá zašifrovaná data? Výrobní podniky se staly mezi počítačovými vyděrači populární pro vysoké náklady, které platí společnost v případě stojící výrobní linky (podle nedávné studie firmy Ponemon činí průměrná hodinová ztráta 22 000 dolarů). To vytváří na oběti ransomwaru obrovský tlak na rychlé zaplacení a obnovu provozu. Výrobní firma si nemůže dovolit stát dlouho bez výroby a pokud není schopna rychle obnovit výrobní data, raději riskne zaplacení výkupného.

Komplexní ochrana

Obrana proti ransomwaru dnes není snadná, jeho tvůrci se poučili z toho, že se firmy zlepšily a zintenzivnily zálohování a dnešní útoky jsou rafinovanější a nebezpečnější. Stále ale platí, že zálohování je první podmínkou pro přežití ransomwarového útoku. Je proto nutné vytvářet zálohy a ukládat je na bezpečné místo - pokud bude nejhůř, data i systémy lze z těchto záloh obnovit.

Druhým krokem je využívat aktivní ochranu proti ransomwaru, která je například přítomná ve všech zálohovacích řešeních Acronis. Výhodou aktivní ochrany je to, že je specializovaná přímo na ransomware. Aktivní ochrana může detekovat a zastavit šifrování i šíření ransomwaru nebo alespoň zmírnit napáchané škody. Navíc nedovolí šifrovat již vytvořené zálohy, o což se dnes mimochodem chytřejší ransomware pokouší nejdříve.

Další vrstva obrany musí zabránit ransomwaru již na vstupu do podnikové sítě. Je proto nutné nastavit přísnější filtrování pošty, protože nejčastějším způsobem nákazy je e-mail a infikovanou přílohu nebo odkaz v emailu vedoucí na zavirovaný obsah.

S tím také souvisí zpřísnění přidělování administrátorských práv uživatelům, kteří je nemají mít. Největším rizikem jsou uživatelé a není složité přesvědčit nepoučeného uživatele, aby pod nějakou záminkou otevřel přílohu. Takovou přílohou může být například údajně neproplacená faktura zaslaná na fakturační oddělení, údajný životopis zaslaný na personální oddělení, údajná objednávka zaslána na obchodní oddělení, nebo údajné potvrzení o doručování zásilky.

A v neposlední je třeba aktualizovat. Aktualizovaný systém většinou znamená záplatovaný a méně děravý. V pravidelně aktualizovaných systémech je vždy nižší riziko, že bude systém ransomwarem napaden a šířen dále.

Jak již bylo naznačeno, v případě ransomwaru jde o nekonečný boj mezi jeho tvůrci a vývojáři IT security řešení. Je zjevné, že vedle zálohovacích řešení s aktivní ochranou je třeba využít dalších vrstev ochrany s pomocí souboru technických řešení, který například reprezentuje licenční model GFI Unlimited vytvořený právě za účelem rychlé a snadné integrace a správy více prvků ochrany podnikových sítí.

Zdeněk Bínek Autor je ředitelem Zebra systems, distributora řešení Acronis a GFI Software na český a slovenský trh.