W czerwcu 2021 r. była to firma JBS Foods, największy na świecie producent mięsa, a w lipcu szwedzki detalista Coop - obie padły ofiarą ataków ransomware przypisywanych organizacji REvil.
Chociaż charakter ataków był różny, ich skutki - utrata dostępu do danych, przestoje i zakłócenia w łańcuchu dostaw - były równie szkodliwe.
W przypadku firmy JBS było to bezpośrednie uderzenie w systemy, co spowodowało wstrzymanie działalności zakładów w USA, Kanadzie i Australii. Dla Coop była to infiltracja jednego z zaufanych dostawców usług zarządzania IT, firmy Kaseya, która spowodowała zamknięcie kas w ponad 800 supermarketach.
Natychmiastowe pytanie dla firm takich jak JBS Foods i Coop dotyczyło tego, czy można polegać na planach ciągłości biznesowej, czy też okup jest ceną, którą warto zapłacić, aby szybko odzyskać dane i systemy? Argumenty przemawiające za zapłaceniem mogą wydawać się przekonujące, zwłaszcza jeśli przewidywane straty są większe niż żąda atakujący, ale jest to problematyczne, zarówno z etycznego, jak i handlowego punktu widzenia. Przestępcy będą przeprowadzać takie ataki tak długo, jak długo będą one opłacalne.
Jak pokazał atak na Coop, nie wystarczy być pewnym swoich własnych protokołów bezpieczeństwa, ataki ransomware mogą nastąpić poprzez łańcuchy dostaw i inne organizacje, z którymi współpracujesz, jesteś powiązany lub na których polegasz. Zarówno na niższych, jak i wyższych szczeblach łańcucha dostaw należy rozważyć, komu udostępniane są dane, skąd pochodzą materiały i kto ma dostęp do systemów kontroli przetwarzania, receptur produktów, opakowań i aktywów marki?
Niewykonanie podstawowych czynności znacznie zwiększa ryzyko infekcji ransomware
We współpracy z ekspertami LRQA ds. zagrożeń cyberbezpieczeństwa sformułowaliśmy trzy zasadnicze pytania, które należy zadać, aby określić stopień przygotowania firmy na atak ransomware.
- Czy jesteśmy pewni ochrony przed podstawowymi atakami?
Niewykonanie podstawowych czynności znacznie zwiększa ryzyko infekcji ransomware, ale nie oznacza to przyjęcia każdego najnowocześniejszego dostępnego rozwiązania. Nawet podstawowe kontrole mogą być trudne do wdrożenia i wiele organizacji wierzy, że robi to dobrze, ale bez niezależnego potwierdzenia, to przestępcy zidentyfikują słabe punkty, a nie specjaliści od cyberbezpieczeństwa. - Gdybyśmy jutro zostali zaatakowani przez ransomware, czy bylibyśmy w stanie odzyskać równowagę?
Atak ransomware nie jest nieunikniony, ale zaplanuj go tak, jakby był. Czy dane mogą być szybko odzyskane w razie potrzeby i czy ta możliwość została przetestowana? Dane z kopii zapasowej są często celem ataku, więc jeśli nie zostaną odizolowane od działających systemów, istnieje bardzo realne ryzyko ich nieodwracalnej utraty. Oprócz odzyskiwania danych należy rozważyć ciągłość działania - jak będzie funkcjonować firma, jeśli systemy będą niedostępne przez pewien czas? Posiadanie planów jest ważne, ale równie ważne jest testowanie ich działania. Ćwiczenia przeciwpożarowe odbywają się nie bez powodu: regularne testowanie planów zapewnia, że zespoły są dobrze przećwiczone w ich realizacji. Jeśli nie wiesz, kiedy plany były ostatnio testowane, bądź zaniepokojony. - Czy rozumiesz swoich zewnętrznych sprzedawców i dostawców?
Każda organizacja będzie w jakimś stopniu polegać na osobach trzecich. Czy są one udokumentowane i czy ryzyko, jakie stwarzają, zostało właściwie ocenione? W większości organizacji odpowiedź brzmi: nie - a przynajmniej nie w sposób kompleksowy. Weźmy pod uwagę dostawców, którzy dostarczają dobra materialne, dostawców chmury, programistów, którzy dostarczają podstawowe oprogramowanie oraz wszelkie organizacje, z którymi dzielimy się danymi. Jeśli dostawca ma jakikolwiek poziom dostępu do Twojego środowiska, jest potencjalnym wektorem ataku. Nie zapominaj też o shadow IT, czyli tych kluczowych, ale nieudokumentowanych i niekontrolowanych rozwiązaniach, które nieuchronnie gdzieś istnieją. Zrozum ryzyko związane z osobami trzecimi i poszukaj pewności, że one również są odpowiednio chronione.
W miarę jak nasze globalne sieci dostaw żywności i napojów stają się coraz bardziej złożone, podatność na zagrożenia cybernetyczne może tylko rosnąć. W całej branży, teraz bardziej niż kiedykolwiek, musimy zadać sobie pytanie, kto będzie następnym celem? A jeśli będzie to nasza organizacja, to czy jesteśmy chronieni?