Je zřejmé, že ransomwarové útoky jsou velmi reálnou a aktuální hrozbou – slyšíme o nich každý den, ať už sledujeme zprávy, nebo jednáme v zasedačkách. Vzhledem k všudypřítomnosti těchto útoků si organizace musí uvědomit, že již není otázkou „zda“, ale „jak často“ ransomware zasáhne i je. Zatímco velké množství organizací zažilo v loňském roce alespoň jeden útok, studie Veeam Data Protection Trends Report ukázala, že necelá polovina (48 %) společností čelila dvěma nebo i třem útokům. Pro organizace jakékoli velikosti to může být zdrcující vyhlídka a přirozeným důsledkem je, že se mnozí uchylují ke kybernetickému pojištění, aby si zajistili klid.

Kybernetické pojištění sice může nahradit škody způsobené ransom­wa­ro­vým útokem, ale je důležité si uvědomit, že nikdy nemůže zabránit nebo napravit škody či následky ransomwaru v podobě ztráty zákazníků nebo jejich důvěry. Zabránit škodám způsobeným ransomwarem mohou pomoci vzdělávání a transparentnost, což však někdy omezují podmínky kybernetického pojištění.

S rostoucí hrozbou napadení ransomwarem rostou i požadavky poskytovatelů kybernetického pojištění. Nedávná studie Veeam Ransomware Trends Report zjistila, že u více než 20 % dotazovaných organizací nejsou v rámci jejich kybernetického pojištění ransomwarové útoky pokryty. A i když pokryty jsou, někteří poskytovatelé v podmínkách stanovují, že napadené společnosti nemohou o útoku veřejně mluvit. Nešťastným důsledkem toho je, že dnes tak běžná realita ransomwarových útoků zůstává utajena. Doufejme, že se to v příštích letech změní, protože právě díky vzájemnému vzdělávání a sdílení poznatků a chyb můžeme naši obranu proti ransomwarovým útokům posílit.

Ransomware už s námi zůstane a firmy se musí této nové realitě přizpůsobit, nastavit efektivní bezpečnostní procesy a rozšířit svou obranu. Jak toho mohou české podniky dosáhnout, ukáže program konference VeeamON Tour Česká republika a Slovensko, která se uskuteční 12. září 2023 v hybridním formátu - fyzicky v konferenčním centru Spojka Events Karlín v Praze a online. Účast je zdarma.

V devíti specificky zaměřených prezentacích této komunitní konference experti na obnovu dat odhalí, že pokud jde o překonání hrozby, kterou představují kybernetičtí zločinci, je útok tou nejlepší obranou. Jak ukázala zmíněná studie společnosti Veeam, 93 % kybernetických útoků je zaměřeno na zálohovací úložiště a 45 % cílí na produkční data - tato hrozba je tedy reálná a všudypřítomná.

„Účastníci konference VeeamON Tour Česká republika a Slovensko budou mít mimo jiné i příležitost zjistit, jak využít více než 500 nových funkcí a vylepšení řešení Veeam Backup & Replication v12 k modernizaci své ochrany dat a implementaci neměnných řešení pro odolnost a obnovu dat, která zabrání útokům i dalším katastrofám. Program konference nabídne i detailní pohled na řešení Microsoft 365 Backup nebo Kubernetes Data Protection with Kasten K10,“ láká účastníky na zajímavý program Martin Štětka, regionální ředitel pro oblast CEE ve společnosti Veeam Software.

Základem je znalost procesu napadení

Mluvit o ransomwarových útocích pomáhá rozptýlit tajemno, které je zahaluje. Přestože se v médiích o ransomwaru hovoří často, mnoho lidí neví, jak ve skutečnosti takový útok probíhá. Může vypadat jako stisknutí vypínače nebo kouzelnický trik, ale skutečnost je mnohem složitější a zdlouhavější. Vzhledem k tomu, že ransomwarovým útokem budou zasaženy téměř všechny organizace (a mnohé již pravděpodobně byly), je znalost celého procesu nezbytná pro přípravu na útok a úspěšné zotavení.

V rozhovorech o ransomwaru se zřídkakdy připouští, že samotný ransomwarový útok je až vyvrcholením série událostí, které mají kyberzločinci na svědomí. Ransomware se totiž neobjeví jen tak – útoku předcházejí dny, týdny, měsíce nebo dokonce roky příprav. Podívejme se, co se vlastně v zákulisí odehrává.

Útočníci začnou fází pozorování. Během této doby jednoduše sledují svůj cíl a shromažďují informace o lidech, procesech a technologiích, aby identifikovali příležitosti. Stejně jako se zloděj nejprve seznámí s tím, kde jsou vchody a východy do budovy a kdo v ní bydlí, i kyberzločinci rádi vědí, s kým mají tu čest.

Poté nastane čas vstoupit do budovy. Kyberzločinci toho dosáhnout zasláním phishingového odkazu nebo použijí jiný způsob, který jim umožní průnik a vytvoření operační základny v infrastruktuře oběti. V tomto okamžiku zůstávají mimo pozornost, což jim umožňuje způsobit značné škody. V této fázi útočníci exfiltrují data a mohou také zcela nepozorovaně zničit zálohy – dokud o sobě nedají vědět při spuštění poslední fáze, tedy samotném ransomwarovém útoku a požadavku na výkupné.

Odhalení celého procesu je přirozeně vyčerpávající. Bezpečnostní týmy se totiž musí vypořádat nejen s viditelnými hrozbami, ale také s neznámými a neviditelnými nepřáteli, kteří se mohou kdykoliv skrývat kdekoliv v pozadí. Potvrzuje se zde ale rčení, že „ve vědění je síla“. Organizace mohou tyto informace využít k vytvoření co nejsilnější strategie zálohování a obnovy po ransomwarovém útoku.

Nespoléhejte se na štěstí

Ransomwarové útoky jsou sice nevyhnutelné, ale to ztráta dat nutně být nemusí. Ve skutečnosti je možné dosáhnout 100% odolnosti, pokud budou přijata správná opatření. Může to znít příliš dobře na to, aby to byla pravda, ale díky několika klíčovým prvkům si může každá organizace vytvořit spolehlivou strategii ochrany dat.

Ta se skládá ze tří částí. Za prvé, bezpečnostní týmy musí zajistit, aby měly k dispozici neměnnou kopii dat, kterou útočníci nemohou jakkoli poškodit nebo zašifrovat. Poté musí tato data zašifrovat, aby k nim v případě odcizení nebo útoku neměli útočníci přístup a nemohli je využít. Nejdůležitější fází skutečně neproniknutelného zabezpečení je pak takzvané pravidlo 3-2-1-1-0. To znamená udržovat minimálně 3 kopie dat, takže i v případě, že dojde ke kompromitování nebo selhání dvou zařízení, budete mít k dispozici další kopii. Že dojde k selhání tří zařízení, je totiž mnohem méně pravděpodobné. Organizace by také měly tyto zálohy ukládat na 2 různé typy médií – například jednu kopii na interním pevném disku a druhou v cloudu. Dále, 1 z kopií by měla být vždy uložena na bezpečném místě mimo firmu a 1 by měla být udržována offline, tedy zcela izolovaně bez jakéhokoli připojení k hlavní infrastruktuře IT. Číslice 0 je asi ze všech nejdůležitější - znamená, že v zálohách by neměly být žádné chyby. To lze zajistit pravidelným testováním a neustálým monitorováním, a simulováním obnovy. Při využití tohoto přístupu mohou organizace zůstat v klidu - až na ně ransomwarový útok nevyhnutelně udeří, budou v bezpečí s vědomím, že před útočníky zamkly dveře.

Realita dnešního světa

Všechny organizace budou v určitém okamžiku čelit ransomwarovému útoku – taková je realita dnešního světa. Ale s rostoucím povědomím roste i připravenost. Kybernetický útok sice vždy přinese chaos, ale se správnou strategií z něj můžete udělat kontrolovatelný chaos, což nakonec rozhodne o úspěchu.

Edwin Weijdema Technický ředitel pro oblast EMEA a vedoucí technolog pro kybernetickou bezpečnost ve společnosti Veeam Software.