Ko podjetje obstane zaradi kibernetskega napada, škoda ne nastaja le v informacijskem sistemu. Ustavijo se proizvodnja, logistika, prodaja, finančni tokovi in podpora strankam. Izsiljevalski virusi zato predstavljajo poslovno tveganje, ki zahteva pozornost uprave enako kot požar, naravna nesreča ali prekinitev dobavne verige. Posledično je za upravo ključno vprašanje, kako hitro lahko podjetje po napadu ponovno vzpostavi normalno delovanje.
Simptoma do problema
Tipični znaki napada z izsiljevalskim virusom se kažejo v tem, da postanejo datoteke nenadoma, zaposleni se ne morejo prijaviti v poslovne aplikacije, stranke ne prejemajo storitev, proizvodne linije pa se ustavijo. Sodobni napad poteka več fazno, pri čemer kriminalne skupine v vsaki fazi zaostrijo pristosk na žrtev. Podatkov namreč ne le šifrirajo, ampak jih pred tem praviloma tudi ukradejo. Če podjetje odkupnine ne plača, grozijo z javno objavo občutljivih informacij. Če se to ne zaleže, se spravijo na posloven partnerje, katerih podatke so pridobili z napadom na prvo podjetje. Posledice za žrtev so lahko vitalnega pomena saj lahko vključujejo izgubo prihodkov, pogodbene kazni, regulatorne postopke in škodo ugledu.
Poslovni pogled
Najdražji del ransomware napada običajno ni odkupnina. Največ stanejo izgubljeni prihodki, čas okrevanja, izredni stroški z obnavljanjem poslovanja ter izgubljeno zaupanje partnerjev in strank. Zato uspešna podjetja vlagajo predvsem v zmanjšanje časa zaznave in odziva z namenom, po prekinitvi poslovanja zaradi napada čimprej povrnejo v delovanje ključne IT-storitve, od katerih je odvisna osnovna dejavnost. S tega vidika gre za podobne pristope obnavljanja poslovanja, kot jih poznamo pri katastrofah.
Strošek izpada poslovanja in okrevanja tudi do 50-krat presega vrednost odkupnine.
Kako zmanjšati tveganja
Celovita zaščita pred izsiljevalskimi virusi ni samo uporaba sistemov za odkrivanje groženj EDR/XDR oziroma upravljanih storitev kibernestke varnosti MDR temveč vključuje večfaktorsko avtentikacijo, upravljanje privilegiranih računov, redno odpravljanje ranljivosti, segmentacijo omrežja, preverjene in ustrezno shranjene varnostne kopije ter redne vaje kriznega odzivanja. Pri tem je pomembno, da podjetje pozna svoje kritične poslovne procese in jih tako zavaruje, da jih lahko obnovi v najkrajšem možnem času.
Premija je precej nižja od škode
Organizacije z dobro pripravljenim načrtom odzivanja hitreje omejijo škodo, hitreje obnovijo poslovanje in občutno zmanjšajo finančne posledice. Poleg tega lažje izpolnjujejo zahteve zakonodaje in regulatorjev ter poslovnih partnerjev. Glede na to, da povprečna škoda zaradi izsiljevalskega virsua že presega 5 milijonov evrov, se v srednjem podjetju vložek recimo 200.000 eur letno precej dobro obrestuje. Poleg tega lahko strošek izpada poslovanja in okrevanja tudi do 50-krat presega vrednost odkupnine.
Kaj lahko direktor podjetja stori tako rekoč takoj, da zmanjša tveganje napada z iziljevalskim virusom
- Zahteva poročilo o obnovljivosti varnostnih kopij.
- V IT-ju preveri, koliko časa bi trajala obnova ključnih sistemov.
- Skupaj z IT-jem in vodji posameznih poslovnih funkcij izvede namizno vajo kriznega odzivanja.
- S sodelavci iz IT-ja pregleda kritične ranljivosti, statuse posodobitev in zahteva oblikovanje načrta posodobitev v skladu s prioritetami.
- Vzpostavi ključne kazalnike kibernetske odpornosti na ravni uprave.
Hitrost okrevanja po napadu morda še bolj pomembna od vlaganj v njihovo preprečevanje
Pri napadu z izsiljevalskim virusom je na preizkušnji organizacijska pripravljenosti. Tehnične rešitve za prestrezanje in preprečevanje kibernetskih napadov so namreč že odgirale svojo vlogo. Napadalci so jih morda čisto zaobšli s tehnikami socialnega inženiriniga, ali morda niso pravočasno prepoznale bočnih premikov in nepooblaščenih dostopov do kritičnih sistemov in podatkov.
Podjetja, ki vlagajo le v preprečevanje napadov, namreč pogosto spregledajo druge scenarije in še pomembnejše vprašanje, kako hitro bodo po incidentu ponovno ustvarjala prihodke. Zato postaja hitrost okrevanja po uničujočem napadu z izsiljevalskim virsuom že ena najpomembnejših konkurenčnih prednosti. V takšno odzivanje je namreč vključeno tako rekoč celotno podjetje, ne samo IT ali oddelek kibernetske varnosti, saj mora podjetje vzpostaviti procese odzivanja na ravni organizacije in ne samo tehnično spraviti sisteme v ponovno delovanje.




