Autor Eric Frank
Mnogi faktori u poslednje vreme podstiču sve veći broj preduzeća da plate otkup. Ali etička pitanja ostaju, kao što tvrdi nekoliko direktora za bezbednost informacija koji takođe ističu ograničen uticaj koji ta pitanja mogu imati na konačnu odluku o ucenjivačkom softveru.
U svom izveštaju „Glas CISO-a za 2024.“, Proofpoint je otkrio da ucenjivački softver ostaje glavna briga među direktorima za bezbednost informacija (engl. CISO – Chief Information Security Officer) širom sveta.
Još više, međutim, iznenađuje šta ovi direktori kažu o tome kako bi njihove organizacije reagovale na određeni incident: 62% je izjavilo da bi njihovo preduzeće verovatno platilo otkup kako bi povratili pristup sistemima.
Tri najveće zemlje u kojima su direktori za bezbednost informacija očekivali ovakvo reagovanje bile su Saudijska Arabija sa 83%, Kanada sa 82% i Južna Koreja sa 79%.
Ove brojke mogu biti šokantne. Preduzeća obično zauzimaju čvrst stav prema akterima drugih pretnji, uključujući nezadovoljne zaposlene, korporativne špijune, hakeriste i sajber teroriste.
Zašto je toliko njih spremno da pregovaraju sa operaterima ucenjivačkog softvera, nabave i pošalju kriptovalute na datu adresu, i sklope ruke u nadi da će svi ostati verni svojoj strani pogodbe?
Razgovarali smo sa nekoliko direktora za bezbednost informacija o tome koji su faktori uključeni u donošenje ove ključne odluke — i kakav uticaj na kraju ima direktor u određivanju izabranog kursa.
Izračunavanje direktnih i indirektnih troškova ucenjivačkog softvera
Leonard Kleinman, CISO kompanije Enablis, dobavljača upravljanih usluga u Australiji, kaže da preduzeća često popuštaju na osnovu analize troškova i koristi.
„Ako to posmatramo iz veoma osnovne ekonomske perspektive, to je jednostavno cena naspram koristi [jednačina]“, kaže on. „Jednostavna analiza vam govori da [bi trebalo] uporediti vrednost prihoda organizacije na godišnjem nivou – šta god da je u pitanju – sa troškom ucenjivačkog softvera.
Kao primer, ukazao je na napad na Colonial pipeline u maju 2021. Američka kompanija za transport goriva platila je otkup u Bitcoin-ima u iznosu od 4,4 miliona dolara, što je kap u moru s obzirom da je prethodne godine zaradila 1,3 milijarde dolara. Kompanija bi od kontinuiranog prekida poslovanja izgubila znatno više.
Pozivajući se na napad ucenjivačkim softverom na Kaseyu u Švajcarskoj 2021. godine, Derek Gooh, direktor za bezbednost informacija singapurske maloprodaje prehrambenih proizvoda NTUC, dodaje da ne postoji samo direktna cena izgubljenog posla već i trošak obnavljanja. „Zamislite, da biste oporavili sve ove stvari, da biste obnovili mašinu od nule – potrebno je vreme“, kaže on.
Iz ove perspektive, plaćanje otkupnine je primamljivo. „Ali ako dobijete ključ za oporavak, ako imate ključ za dešifrovanje, to bi moglo biti posao od 3-minuta“, kaže Gooh. „Znate da je zlonamerni softver još uvek unutra. Ali barem, sa ključem, [možete brzo] da se uključite – ne morate da zatvorite radnju.“
Chris Haigh, CISO kompanije MercuryIT, australijskog dobavljača upravljanih usluga, kaže da kritične industrije mogu imati dodatnu pobudu – da izbjegnu trajanje nedostupnosti.
„Pomislite o medicinskim uslugama: velike bolnice koje opslužuju region grada ili jedinstveni centar za ceo grad – to postaje kritična usluga. Dakle, zastoj može da utiče na odluku da se plati jer [oni] ne mogu da priušte da im sve ove usluge ne rade“, kaže on.
Ken Newton, CISO u Secondwave-u, dobavljaču rešenja za prilagođavanje rizika u SAD, kaže da kada kompanija ima posla sa sajber osiguravačem, oni žele da smanje gubitke što je pre moguće.
„I često će dozvoliti da se isplati otkup, znajući da, iako među lopovima nema puno časti, postoji istorija da se isplati uplatiti kako bi se organizacija ponovo pokrenula i brzo ponovo počela da radi“, kaže on.
Kleinman iz Enablisa objašnjava da preduzeća takođe moraju da uzmu u obzir pravne i regulatorne obaveze — rizike koji mogu biti povezani sa raznim finansijskim posledicama, posebno za veće kompanije, kaže on, navodeći primer operatera ucenjivačkog softvera koji šifruje podatke korporacije i ode na berzu gde je ona u ponudi. „Oh, usput, da li ste znali da je onaj Acme XYZ šifrovan?“ kaže on.
Keinman objašnjava da je to regulatorni rizik jer kompanije koje kotiraju na berzi moraju kontinuirano da objavljuju, s obzirom da je to bitno za cenu njihovih akcija. Ako grupa ucenjivačkog softvera obavesti berzu, kompanija će možda prekršiti ovu politiku, izlažući se daljem regulatornom nadzoru i kažnjavanju.
Etika plaćanja ucenjivačkog softvera
Ako bi plaćanje ucenjivačkog softvera uključivalo samo analizu troškova i koristi, verovatno bi bilo 100% pristajanja na zahteve. Međutim, etika plaćanja operatera ucenjivačkog softvera je mnogo složenija, što preduzećima daje dodatne faktore koje treba da uzmu u obzir.
Newton iz Secondwavea kaže da bi njegov stav bio da ne plati otkup operateru ucenjivačkog softvera „Razmišljam o tome gde taj novac završava. Razmišljam o tome šta on finansira“, kaže on.
Iako su svi operateri ucenjivačkog softvera kriminalci, njihovi krajnji ciljevi su različiti. Neki to rade isključivo radi profita, dok drugi mogu biti povezani sa odmetničkim državama kao što je Severna Koreja.
Haigh iz MercuryIT-a napominje da neki operateri ucenjivačkog softvera mogu čak biti osuđenici od strane vlasti kao što je Ministarstvo finansija SAD.
„Videli smo, na primer, u Velikoj Britaniji, SAD, pa čak i u Australiji u određenoj meri, gde su vlade izjavile: ‘Vidite, morate biti svesni da ako platite ucenjivača i isplata ide na osuđeni entitet, možete se suočiti sa prilično ozbiljnim kaznama sudskog spora“, kaže on.
Kleinman dodaje da većina preduzeća želi da izbegne kontakte sa ovim kriminalnim grupama zbog utiska koji bi mogli ostaviti ako ne bi. „Oni generalno žele da budu u mogućnosti da stanu pred druge – sebi ravne u industriji i širom industrije – i da kažu da su uradili pravu stvar iz moralne i etičke perspektive“, kaže on.
Štaviše, popuštanje zahtevima podstiče dalje loše postupke, tvrde Klajnman i drugi.
„Ne plaćajte, jer ih to samo podstiče“, kaže on. „Ne plaćajte, jer to zapravo nagrađuje i finansira sledeći napad“, kaže on.
Gooh navodi primer advokatske firme u Singapuru koja je u aprilu 2024. platila otkupninu od 1,8 miliona singapurskih dolara, pa su zato lokalne vlasti preporučile da se ne plaća.
„Lako je razumeti, zar ne? Mislim, ako se zna da singapurske [kompanije] ne odbijaju plaćanje otkupnine, onda će nas više napadati, a sve je to začarani krug, da tako kažem“, kaže Gooh.
Kleinman, međutim, ističe da organizacije nisu primorane da donesu odluku ili-ili o tome da li da se povinuju vlastima, od kojih većina zaista obeshrabruje plaćanje operaterima ucenjivačkog softvera.
„U današnje vreme se smatra da vlasti – kada se angažuju na odgovarajući način – mogu pomoći organizacijama da barem ublaže neke od izazova, [kao što su] gubici i slične stvari“, kaže on. „Možda da ipak plate, ali to ne znači nužno da je to jedno ili drugo.“
Haigh veruje da kompanije nikada ne bi trebalo da plaćaju operaterima ucenjivačkog softvera — i da vlasti treba da razmotre da to bude nezakonito.
„Ako kompanije prestanu da plaćaju, biće kratkoročnih nevolja, nažalost. Dakle, neka preduzeća će propasti. … To je užasna situacija“, kaže on. „Ali to je jedini način da se ovo zaista zaustavi. Ako niko ne plaća, zašto da se onda [mučiti] sa ucenjivačkim softverom? Bukvalno nema razloga da to radite.“
Direktor za bezbednost informacija ključni faktor
Pošto je mandat CISO-a da osigura bezbednost organizacije, pretpostavilo bi se da ovaj rukovodilac ima konačnu reč u tome da li da se plati otkupnina u napadu ucenjivačkog softvera.
„Evo zabavnog dela: CISO ne može da odlučuje o tome“, kaže Kleinman, koji je za ulogu CISO-a u napadu ucenjivačkog softvera saznao od kolega.
„I to sam zapravo naučio u diskusiji sa drugim CISO-ima. Pošto sam odgovorio: ‘Ne bih platio’ Onda su sledeća dva momka koje sam zaista poštovao u oblasti Portlanda, obojica CISO ili direktor bezbednosti, rekli: ‘Ne odlučujem ja’”, kaže. Kleinman.
Iako možda ne donose odluke, CISO-i su ipak ključni faktori uticaja na svoje izvršne direktore ili odbore. U ovom svojstvu, Kleinman kaže da bi savetovao da se ne plaća na osnovu rizika za proizvodnju, zakonskih i regulatornih obaveza i gubitka prihoda. „Ja bih govorio o ta četiri rizika. I pokušao bih da ih uporedim sa rizikom po reputaciju“, kaže on.
Klajnman priznaje da ovde postoji teška bitka. Mada se nekada izlazilo na loš glas ako pristanete na zahteve operatera ucenjivačkog softvera, on veruje da to više nije tako. On kaže da su sajber osiguravači normalizovali isplate otkupa.
„Mislim da pošto federalne vlasti čak pomažu… postoje kompanije koje posreduju u pregovorima o otkupnini. To je njihov jedini posao. Zato to više nije toliki udarac na reputaciju kao što je nekada bio“, dodaje on.
Iako to što su sada plaćanja ucenjivačkog softvera javna to može dovesti u pitanje.
Drugi izazov je da CISO mogu imati direktno protivljenje unutar najvišeg rukovodstva. Haigh pominje napad ucenjivačkog softvera na Toll Group 2020.
„Najveći problem koji su imali [bio je] to što nisu mogli da plate svoje zaposlene, a to je bilo na nedeljnom ili dvonedeljnom nivou. A ako ne plaćate svoje vozače i ostalo, taj posao staje, zar ne?“ kaže Haigh. „Osoba koja je bila pod najvećim stresom je finansijski direktor. [On] je video kako idu u bankrot. … Mislim da su imali samo mesec dana na raspolaganju.”
Kada se organizacija suoči sa nelikvidnošću, većina najvišeg rukovodstva bi bila za to da se otkupnina plati, kako bi mogli da nastave sa radom.
„Zato što je sada reč o suštinski egzistencijalnoj pretnji vašem poslovanju. A odgovornost je izvršnog direktora, finansijskog direktora [i] odbora da se to ne dogodi. Tako da je skoro kao da ovde dodajete jedno na drugo. Jer za opšte dobro, ne bi trebalo da plaćate ucenjivački softver. Ali za vaš neposredni mikro pogled na održavanje svog poslovanja u životu, treba da platite. To je teško pitanje“, kaže on.
Kupovina vremena sa spoljnim stručnjacima
Da bi donela najbolju odluku, preduzeća bi trebalo da provere da li se njihovi podaci mogu vratiti iz rezervnih kopija i da li njihovo sajber osiguranje pokriva operativne troškove u slučaju dužeg prekida poslovanja. I jedno i drugo bi preduzećima omogućilo da izbegnu plaćanje otkupnine.
Pošto ucenjivački softver postaje „brži, pametniji i zlobniji“, neki operateri ucenjivačkog softvera sve više prete da će obelodaniti podatke, što može dovesti do toga da preduzeće preduzme dodatne mere. „Vi ćete [moraćete] da koristite spoljne stručnjake koji će pretražiti mračnu mrežu, pronaći podatke i moći ili da ih preuzmu ili da ih uklone. To je najbolje što možete da uradite u tom slučaju“, kaže on.
To je igra mačke i miša modernog ucenjivačkog softvera. Operateri ucenjivačkog softvera neprestano smišljaju nove tehnike kako bi izvršili veći pritisak na najviše rukovodstvo i odbor da plate. Kleinman kaže da neki operateri ucenjivačkog softvera ciljaju informacije koje bi mogle da nanesu što veću štetu.
„[Operateri ucenjivačkog softvera] su prilično kreativni. Počeli su da pregovaraju sa mnogim rukovodiocima, višim članovima odbora. To je objavljivanje ličnih osetljivih podataka o pojedincu – kao što je predsednik odbora ili nešto slično, ili o njihovoj porodici – opet, da bi se dodatno podstaklo plaćanje“, kaže on.
Kleinman kaže da je ovaj trend u skladu sa porastom nešifrovanog ucenjivačkog softvera, pretnje oslonjene na curenja podataka.
Pretpostavimo da kompanija odluči da popusti pod pritiskom. U tom slučaju, Gooh kaže da bi trebalo da razmotri dovođenje spoljnih stručnjaka da se povežu sa operaterom ucenjivačkog softvera i, što je još važnije, da kupe vreme za traženje ključeva za dešifrovanje (koji su dostupni za neke vrste ucenjivačkog softvera), koordiniraju sa vlastima i pregovaraju za nižu cenu.
Gooh kaže da bi plan reagovanja na incidente svakog preduzeća trebalo da sadrži ovu vrstu profesionalne pomoći. „Znati šta treba učiniti i znati koga možete pozvati kada se ovakve stvari dese je svakako jedna od stvari na koje kompanije moraju biti spremne“, kaže on.
Newton kaže da je olakšanje što konačna odluka o plaćanju otkupnine ne leži na njegovim plećima kao direktora za bezbednost informacija, ali bi i dalje izneo jake argumente za neplaćanje.
„Kada bi me pitali da li bih platio otkup, pričao bih o etici“, kaže on. „A ponekad je etika bolna. Biti etički je bolno.“
Izvor: CSO