Заплати этому человеку в толстовке его выкуп!

Я не большой поклонник фильмов Мэтта Деймона (помните «Марсианина»? Бор-ринг!), но я большой поклонник Джона Малковича. Сравните, например, его игру в роли конспиролога в «КРАСНЫХ» и «КРАСНЫХ 2» (на мой взгляд, блестящих в обоих) с его безупречными французскими диалогами в роли Талейрана в европейском историческом мини-сериале «Наполеон» (хорошо спродюсированный, за исключением иногда чрезмерной роли Кристиана Клавье). в роли Le Petit Caporal). Но есть одна сцена с Малковичем и Деймоном, к которой я часто возвращаюсь и которую я собираюсь предложить, которая может быть применима, если вы, к сожалению, обнаружите, что не можете получить доступ к своим бизнес-данным из-за атаки программы-вымогателя на вашу компанию. Вы можете посмотреть эту сцену здесь, на YouTube. (Большую версию можно посмотреть здесь.)

Делать правильные вещи? Нет. Заплатить выкуп? Да

Верно, я собираюсь доказать в этой статье, что логично, если, возможно, и неправильно, заплатить выкуп, который у вас вымогают. По крайней мере, это, наверное, логично с чисто деловой точки зрения. Но можно также возразить, что это логично с точки зрения ИТ.

Почему это? Потому что ИТ в бизнес-контексте в основном занимается не технологиями, а операционными вопросами. Вычислительные устройства, программное обеспечение и услуги, которыми управляет бизнес-ИТ, предназначены для поддержки операций бизнеса; они не существуют сами по себе. Таким образом, если смотреть с этой точки зрения, можно утверждать, что атаки программ-вымогателей подпадают под определение обеспечения непрерывности бизнеса и готовности к аварийному восстановлению. Вы либо готовы и в хорошем состоянии, чтобы быстро восстановиться после атаки программ-вымогателей, либо нет — и в этом случае ваш бизнес облажался. Конечно, это предполагает, что вы можете быстро определить, когда была инициирована атака программы-вымогателя против вашей компании, потому что время восстановления после аварии пропорционально степени вторжения (более или менее). И само это тоже зависит от количества времени, прошедшего с момента нарушения вашей защиты. И защита вычислительной инфраструктуры и данных вашего бизнеса также является заботой ИТ-специалистов, как и восстановление после последствий нарушения кибербезопасности.

Аварийное восстановление начинается с смягчения последствий аварии

Но аварийное восстановление — это больше, чем просто восстановление систем и данных из резервных копий. Аварийное восстановление по своей сути само по себе является бизнес-процессом, а не техническим вопросом. Речь идет о восстановлении ваших бизнес-операций в обычном режиме и о том, чтобы сделать это быстро. Потому что чем дольше ваши операции прерываются, тем больше страдает ваш бизнес. Прерванный бизнес быстро теряет деньги и часто также теряет часть своих клиентов. Их репутация на рынке также может пострадать, и их акционеры также могут быть недовольны ими.

Следовательно, когда компания обнаруживает, что подверглась атаке программы-вымогателя, и злоумышленники потребовали деньги за раскрытие своих данных, руководство и ИТ-отдел собираются вместе и подсчитывают объем усилий и времени, необходимых для восстановления всего из облачных резервных копий. Затем они сравнивают стоимость потерянного бизнеса в течение этого периода восстановления со стоимостью простой выплаты злоумышленникам того, что они требуют. И руководство понимает, что в долгосрочной перспективе для компании будет дешевле, если они просто заплатят цену вымогательства, чтобы они могли немедленно снова запустить все.

Не только это, но и в зависимости от страхового полиса, который есть у вашего бизнеса, выкуп, вероятно, будет платить ваша страховая компания, а не сам ваш бизнес. Конечно, ваши страховые взносы, вероятно, вырастут, так что страховая компания в конечном итоге получит наибольшую выгоду в долгосрочной перспективе, но, по крайней мере, в настоящее время ваши операции будут устойчивыми, ваши клиенты останутся довольными, а ваши акционеры не начнут демпинг на вас.

Оплата выкупа не последняя глава

Конечно, выплата выкупа — это еще не все, что необходимо для восстановления после атаки программ-вымогателей. Вам все еще нужно провести полный судебный аудит, чтобы найти вектор, по которому была запущена атака на вашу сеть. Вы должны выполнить полное сканирование своих систем, чтобы убедиться, что нет необходимости удалять остаточную инфекцию. И вы должны установить новые меры контроля, политики процедур, чтобы гарантировать, что атака, аналогичная той, которая произошла, вряд ли будет успешной в будущем, особенно повторная атака со стороны тех же преступников.

Ситуация становится еще более критической, когда программа-вымогатель запустила атаку на поставщика медицинских услуг или другой бизнес, где на карту поставлена не только прибыль, но и здоровье людей и даже их жизни. В таких случаях выплата требуемого выкупа может быть не только наиболее рентабельным решением, но и единственным этически оправданным ответом. Фактически, вся идея использования стандартных процедур BC/DR и резервного копирования для восстановления после вторжений программ-вымогателей, вероятно, осуществима только для малых предприятий, где задействовано несколько систем, а сумма денег, потерянных из-за перерыва в работе, относительно невелика.

Но разве выплата таких выкупов не побуждает мошенников продолжать свое поведение и нацеливаться на другие предприятия? Возможно, но теперь мы отклонились от области ИТ и перешли к тому, что на самом деле должно быть регулятивным вопросом, который должны решать правительства. Например, правительства могут принять закон, требующий от компаний раскрывать информацию об атаках программ-вымогателей после их обнаружения, и даже наказывать компании, которые платят злоумышленникам деньги за вымогательство. Возможно, это звучит разумно с этической точки зрения, но можно также утверждать, что это наказывает жертву, а не преступника. Однако на самом деле мне сказали, что некоторые правительства, включая Соединенные Штаты, похоже, движутся в противоположном направлении, делая платежи за программы-вымогатели необлагаемыми налогом и, следовательно, поощряя их чрезмерное использование стандартных процедур аварийного восстановления. Я не юрист и не бухгалтер, и я канадец, но мне кажется, что IRS уже квалифицирует шантаж и вымогательство как формы воровства, что означает, по крайней мере, в некоторой степени, что убытки от этой деятельности могут быть обложены налогом. франшиза. Наверное, в Европе все по-другому, я полагаю.

Итак, если на мгновение переключить взгляд с бизнеса на ИТ, то какое решение этой растущей проблемы программ-вымогателей может предложить ИТ-специалистам, таким как мы? Максимально автоматизируйте процедуры BC/DR, чтобы сделать восстановление более быстрым и эффективным. Усильте свою защиту кибербезопасности настолько, насколько это возможно, чтобы затруднить взлом вашей сети. Будьте бдительны и будьте в курсе любых бюллетеней о недавно обнаруженных уязвимостях в устройствах, программном обеспечении и службах, которыми вы управляете. Применяйте исправления, как только вы их протестировали, и будьте готовы столкнуться с неизбежными головными болями, когда с патчем связаны побочные проблемы. Обновите эти устаревшие серверные рабочие нагрузки — оставаться на Windows Server 2003 или работать с Exchange 2007 на самом деле не очень хорошая идея на данный момент, и также не стоит иметь Windows 7 или (эй!) Windows XP только для того, чтобы этот промышленный инструмент или медицинский сканер работали. правильно.

И, наконец, не кладите все яйца в одну корзину — неоднородность ИТ-устройств, программного обеспечения и сервисов действительно может повысить безопасность, хотя, конечно, усложняет управление вашей инфраструктурой. Итак, в следующий раз, когда вы захотите пойти ва-банк с рукой, которая, по вашему мнению, является выигрышной, сделайте паузу, переведите дыхание и спросите себя: готовы ли вы потерять свою рубашку?