Blisko połowa małopolskich firm miała infekcję ransomware

Zyski cyberprzestępców z "popularnego" ransomware WannaCry dopiero kilka dni temu przekroczyły 100 tys. dolarów. Przy takiej skali infekcji to raczej słaby wynik, a zapędy szantażystów hamowane są między innymi ostrożnością i dobrymi praktykami potencjalnych ofiar. Również lokalnie, co pokazują wyniki naszej ankiety. 47% małopolskich firm i instytucji doświadczyło jakiegoś ataku ransomware, ale ponieważ 98% z nich w różny sposób tworzy kopie swoich danych to w wielu przypadkach płacenia haraczu udało się uniknąć.

WannaCry to zagrożenie szyfrujące, które dwa tygodnie temu szturmem wzięło setki firmowych sieci i medialnych nagłówków. Spotkali się z nim również administratorzy, menedżerowie i specjaliści bezpieczeństwa IT goszczący na naszej krakowskiej konferencji Advanced Security Systems - blisko dwa tygodnie po wybuchu epidemii zagrożenia. Odpowiedzi uczestników na przeprowadzoną tam ankietę pokazują, że ransomware to jak najbardziej realne zagrożenie, a część polskich firm i instytucji może nie być gotowych na ataki szyfrujące i ich niszczycielskie skutki.

Mimo medialnego szumu wokół szyfrujących cyberszantaży, wiele osób jeszcze do niedawna postrzegało je raczej jako egzotyczną ciekawostkę. Tymczasem blisko połowa naszych respondentów już doświadczyła infekcji szyfrującej w sieci własnej firmy lub instytucji, a 83% osobiście zna inne podmioty zaatakowane przez ransomware. Nic więc dziwnego, że tylko 10% specjalistów uważa środki bezpieczeństwa wdrożone w swoim miejscu pracy za wystarczające do powstrzymania takiego ataku.

Brak wiary w skuteczność ochrony przekłada się na częstsze tworzenie kopii bezpieczeństwa, jako szybkiego sposobu usunięcia skutków infekcji. Aż 98% ankietowanych zadeklarowało, że chroni w ten sposób swoje najważniejsze pliki. Backupowy optymizm podtrzymują dane dotyczące aktualności backupu. U 65,5% specjalistów ostatni backup miałby jeden dzień, "kilka dni" to wybór 27,5% badanych, a 5% uczestników przyznało, że ostatni plik w ich firmie mógłby mieć ponad miesiąc. W przypadku bazy danych dużej firmy utrata miesiąca pracy może być bardzo kosztowna, ale i mniejsze podmioty powinny zatroszczyć się o większą częstotliwość tworzenia backupu, bo zagrożenia szyfrujące nie są wybredne - z równą zajadłością atakują jednoosobowe firmy, urzędy miast, szkoły, zakłady produkcyjne etc.

- Na wypadek podobnej katastrofy każda firma powinna mieć tzw. plan disaster recovery. Jego elementem jest ustalenie częstotliwości i procedury wykonywania testowego backupu, które wbrew obawom części administratorów wcale nie musi być czasochłonne. Jeśli wykorzystamy do tego możliwości uruchamiania systemu w środowisku wirtualnym to cały proces zajmuje kilka minut.

Krystian Smetek

inżynier systemowy rozwiązań StorageCraft ShadowProtect SPX

Prawdopodobnie to właśnie "brak czasu" na testowe przywracanie kopii bezpieczeństwa sprawia, że jego statystyki wypadają na tle całości średnio. Tylko niecałe 7% ankietowanych sprawdziło swój backup w przeciągu ostatniego tygodnia, a 15% w ciągu miesiąca poprzedzającego konferencję. Okres "w przeciągu 6 miesięcy" wskazało blisko 22% ankietowanych i tyle samo przyznało, że nie testuje swojego backupu w ogóle. Ostatnich 12% odpowiedzi brzmiało "nie pamiętam", ale trzeba odnotować, że mogły jej udzielać również osoby nie zajmujące się bezpośrednio testami backupu.

Warto przypomnieć, że mimo ewolucji technologii sandboxingu zwalczających ransomware, na ten moment przywrócenie aktualnej kopii bezpieczeństwa pozostaje jedynym, praktycznie niezawodnym sposobem uniknięcia cyfrowego szantażu. Dla wielu podmiotów atakowanych przez ransomware w rodzaju WannaCry to ostatnia deską ratunku. W naszym interesie jest jak najczęściej sprawdzać, czy od ostatniego backupu ta deska nie spróchniała.