Выплата выкупа после атак программ-вымогателей: да или нет?

Правительства во всем мире почти единодушны в своей политике в отношении террористов, захвативших заложников — никаких переговоров. Обоснование очевидно. Если террористы узнают, что правительства готовы вести переговоры о выполнении их требований, это может открыть шлюзы для подражательных атак. Поэтому, по крайней мере на публике, позиция бескомпромиссна. Тем не менее, эта публичная позиция не всегда согласуется с тем, что правительства делают за кулисами. Несколько стран были обвинены в использовании доверенных лиц для тайной выплаты выкупа в обмен на безопасное освобождение своих граждан. С дилеммой выкупа сталкиваются организации, которые пострадали от атаки программ-вымогателей. Платить выкуп не кажется законным или этичным. Но вам, возможно, придется подумать об этом, если это станет единственным, что вы можете сделать, чтобы вовремя восстановить доступ к своим системам и данным и спасти свой бизнес от разорения.

Однако перед оплатой очень важно оценить все за и против вашего решения.

Минусы выплаты выкупа

Многие правительства, лица, принимающие решения в бизнесе, и широкий круг специалистов по кибербезопасности даже не рассматривают вопрос о выплате выкупа. Вот почему.

1. Службы безопасности препятствуют выплате выкупа

После того, как организация подверглась атаке программы-вымогателя и потеряла доступ к своим данным, приоритетом № 1 является восстановление доступа как можно скорее. Каждая минута, когда данные остаются недоступными, может только ускорить переход клиентов к конкурентам.

ФБР и другие правоохранительные органы не поддерживают выплату выкупа. Тем не менее, ФБР старается однозначно не запрещать предприятиям платить выкуп ни при каких обстоятельствах. Скорее, они призывают к оценке всех вариантов в контексте защиты интересов клиентов, сотрудников и акционеров.

2. Используйте доступную поддержку

Непомерно высокая стоимость заключения контракта со сторонней охранной фирмой для решения проблемы может вынудить множество малых и средних предприятий заплатить, чтобы быстро выйти из тупика. Это логичный вариант, если сопоставить затраты и выгоды. Хорошей новостью является то, что на самом деле есть ресурсы мирового класса по борьбе с программами-вымогателями, доступные онлайн бесплатно.

Одной из самых известных является инициатива No More Ransom, которую проводят Национальное подразделение полиции Нидерландов по борьбе с преступлениями в сфере высоких технологий, Европейский центр киберпреступности Европола, McAfee и «Лаборатория Касперского». Проект помогает жертвам программ-вымогателей получать зашифрованные данные без необходимости платить выкуп. No More Ransom опубликовал инструменты для расшифровки более 85 типов программ-вымогателей.

3. Повторные атаки

Возможно, это причина № 1, по которой выплата выкупа сопряжена с риском. Как только вы переведете деньги в обмен на доступ, вы непреднамеренно объявите, что не против заплатить. Злоумышленники могут продолжать держать вас в поле зрения как надежную цель.

В конце концов, вы имеете дело с преступниками, поэтому нет никакой гарантии, что они сдержат свое слово и не нападут на вашу организацию в будущем. Таким образом, оплата может сделать вас «постоянным клиентом». Даже если вы укрепите свою защиту, может быть много попыток взлома, поскольку злоумышленники проверяют, есть ли еще способ пройти.

4. Нет гарантии, что вы восстановите доступ

Акт разработки и распространения программ-вымогателей по своей сути является преступным. Лица, стоящие за такими действиями, осуществляют незаконную деятельность с целью нажиться на несчастье жертвы. На этом фоне вы должны спросить, есть ли какие-либо гарантии, что вы вернете систему и доступ к данным, когда заплатите выкуп.

Вы можете с уверенностью сказать, что они выпустят коды расшифровки? В любом случае вы можете получить ключи дешифрования, но значительная часть файлов может остаться невосстановимой.

5. Вы ослабляете безопасность

Заплатить выкуп — самый простой выход. Одна успешная транзакция, и вы вернете все свои системы. К сожалению, это также может способствовать самоуспокоенности.

Вы избежите неудобств, связанных с длительным простоем, кропотливым восстановлением и дорогостоящим возобновлением работы. При этом вам будет не хватать решительного диска, необходимого для перенастройки вашей киберзащиты, чтобы предотвратить повторение. На самом деле вполне возможно, что вы оставите среду без изменений без какого-либо анализа первопричин или исправления процесса.

Плюсы выкупа

Вы должны избегать уплаты выкупа, насколько это возможно. Приведенные выше пункты показывают, насколько непредсказуем этот путь. Тем не менее, будут времена, когда организация решит, что у нее не осталось другого выбора, кроме как уступить требованиям злоумышленника.

1. Быстрое восстановление доступа

Независимо от отрасли, в которой вы работаете, крайне важно, чтобы вы оперативно отвечали на запросы клиентов, сотрудников и акционеров. Большинство организаций не могут быть разрушены в течение значительного периода времени без серьезного негативного воздействия на интересы заинтересованных сторон.

В определенных сценариях, например в больницах, сбои могут иметь опасные для жизни последствия. Выплата выкупа привлекательна, поскольку организация может довольно быстро возобновить нормальную работу.

2. Прибыль на инвестиции

Ранее мы говорили о том, почему предприятия малого и среднего бизнеса будут платить выкуп вместо того, чтобы нанимать консультанта по безопасности. Стоимость успешного устранения атаки программы-вымогателя может исчисляться миллионами долларов. Эти деньги малому и среднему бизнесу лучше перенаправить на основную деятельность, приносящую доход.

Таким образом, если злоумышленник потребует выкуп в размере пары тысяч долларов, это будет чрезвычайно привлекательно по сравнению с расходами, которые в противном случае понесет бизнес, если он будет играть жестко.

3. Инвестируйте сбережения в лучшую безопасность

Экономия, полученная за счет отказа от дорогостоящего решения проблем, может быть перенаправлена на повышение безопасности. Атака программы-вымогателя сама по себе должна стать тревожным сигналом для архитектуры безопасности организации. Экономия средств, которую дает бизнес-опыт, может быть перенаправлена на улучшение состояния безопасности компании. Улучшение контроля, обучение сотрудников и сокращение ИТ-долга — вот лишь некоторые вещи, на которые можно было бы потратить деньги.

На самом деле организация могла бы даже нанять третью сторону для работы по совершенствованию технического контроля. Поскольку это будет происходить при гораздо менее неприятных обстоятельствах, затраты могут быть намного ниже, чем бизнес в противном случае заплатил бы во время атаки программ-вымогателей.

4. Страхование кибербезопасности покрывает выплату выкупа

Если вы предусмотрительно купили страховой полис кибербезопасности, ваш бизнес может частично или полностью переложить финансовое бремя атаки программ-вымогателей на страховую компанию. Страховые полисы кибербезопасности значительно различаются, поэтому очень важно, чтобы вы внимательно изучили все, что написано мелким шрифтом. Кибервымогательство может быть встроено или добавлено в политику кибербезопасности, но детали покрытия могут быть сложными.

Некоторые политики могут предусматривать расходы на восстановление после начального периода ожидания, в то время как другие предусматривают помощь в восстановлении после обнаружения события. Тем не менее, большинство полисов позаботятся о выплате вымогательства, даже если это может иметь ограничения, такие как требование руководства правоохранительных органов.

Платить или не платить — каждое обстоятельство уникально

Каждая ситуация атаки программы-вымогателя уникальна с точки зрения характера злоумышленника, используемой программы-вымогателя и целевой организации. Следовательно, следует ли платить выкуп или нет, должно зависеть от того, что организация считает своими главными приоритетами. Это решение, которое не следует принимать опрометчиво.

Если вы не уверены в том, что вам нужно делать, проконсультируйтесь с экспертами по кибербезопасности, поговорите с коллегами по отрасли, наймите группу реагирования на инциденты, поищите в Интернете и свяжитесь с правоохранительными органами. Не обращайте внимания на текущий кризис и подумайте, как лучше подготовиться, если подобный инцидент произойдет в будущем.