ФБР говорит не платить. Должны ли вы прислушиваться к их совету?
Программы-вымогатели сейчас очень популярны, и это не очень хорошо. Если предположить, что кому-то не посчастливилось стать жертвой вымогателей, то такому человеку придется быстро решать: платить выкуп или нет?
Руководство ФБР относительно программ-вымогателей предоставляет много полезной информации. Жертвам вымогателей стоит принять во внимание несколько вещей. Во-первых, ФБР советует применить план реагирования на инциденты и обеспечения непрерывности деятельности. Предполагается, что у компании имеются такие планы.
ФБР также не рекомендуют вам платить выкуп, предлагая вместо этого оценить все возможные варианты защиты акционеров, сотрудников и клиентов. Рассмотрим два сценария:
Компания № 1 имеет эффективную программу обеспечения информационной безопасности и восстановления после инцидента. Она применяет программное обеспечение безопасности, в том числе новейшие брандмауэры и системы обнаружения вредоносных программ. Резервные протоколы гарантируют, что создаются резервные копии системы и данных в масштабе, близком к реальному времени. Резервные копии сохраняются, а потом перемещаются в отдельную сеть, где затем синхронизируются с облаком.
Ни одна система не является совершенной, кроме того, в результате сочетания нескольких факторов пользователь все же нажимает на ссылку, которая устанавливает программу-вымогателя. Затем компания сталкивается с решением платить или нет.
Специалисты компании немедленно переводят систему в автономный режим работы, и определяют масштаб эпидемии. Они определяют, какие компьютеры были заражены, и начинают их проверку. Зная, когда именно возникла проблема, они могут восстановить все данные с точностью до последних двух часов. Ввиду этого, они не платят выкуп. «На этом этапе, когда удалось задействовать резервные копии системы, многие из моих клиентов вздыхают с облегчением», - говорит Митч Захлер, исполнительный директор Proactive Cyber Security. «Единственное, в чем они множество раз терпели неудачу, так это в введении дополнительных элементов управления, дающих возможность снизить вероятность повторного заражения».
Компания № 2 имеет очень бедную программу информационной безопасности. На самом деле, ИТ-отдел состоит всего из двух человек. Эти два человека делают все возможное, чтобы обеспечить компанию хорошими средствами управления безопасностью, но они никогда не задумывались о том, как защититься от вредоносных программ, поскольку никогда не получали никакого обучения или надзора. Что касается резервных копий, то компания использует автоматизированную систему для выполнения поэтапного резервного копирования. Учитывая, что у этих двух специалистов нет свободного времени, то никто никогда не проверял, эффективны ли резервные копии или нет.
Когда пользователь зашел на сайт с бесплатными фильмами, то одновременно на рабочий стол было установлено пользовательское ПО. ИТ-специалисты не сразу поняли, что делать и начали искать в Google информацию относительно программ-вымогателей. Когда они увидели, что их базы данных зашифрованы, и пользователи не могут получить доступ к данным, они переводят систему в автономный режим работы и обращаются к резервным копиям.
При попытке начать восстановление, программа завершает работу по причине слишком большого числа CRC ошибок. Если бы они чаще проверяли резервные копии, то обратили бы внимание, что они были актуальны два года назад.
На данный момент, они потеряли доступ к своим собственным данным. Они могли бы вернуться к последней успешной резервной копии, но это означает потерять объем данных за последние два года. У компании нет никакого выбора, нет козырей или запасного плана, а потому она платит выкуп. «Поскольку мы оказываем услуги предприятиям малого и среднего бизнеса, то заметили, что либо сторонние разработчики, либо один человек из ИТ-отдела считает себя профессионалом в сфере кибербезопасности. В результате инцидента срабатывает «коленный рефлекс», и они начинают размещать элементы управления, зачастую бесполезные, в своих системах, но компания продолжает переживать удар за ударом», - говорит Захлер.
Как отмечает ФБР, оплата выкупа не гарантирует, что организация получит доступ к своим данным. В действительности, некоторые лица и организации так и не получили ключей для расшифровки данных после оплаты выкупа. В этом случае, компании №2 повезло, и она получила такой ключ.
ФБР справедливо в своем убеждении, что когда у вас есть возможность платить выкуп – не платите. Поскольку, даже если вы заплатите, нет никакой гарантии, что вы получите ключ.
Когда дело доходит до программ-вымогателей, суть в том, что лучший способ избежать необходимости платить выкуп состоит в наличии эффективной и действенной программы обеспечения безопасности, которая поможет вам не стать жертвой вымогателей. Даже самая лучшая программа не может гарантировать, что это никогда не произойдет. Но наличие такой программы гарантирует, что ваша компания окажется готовой, и вы сможете прислушаться к совету ФБР и не платить выкуп.
