Bartosz Bednarz, Interia: Joseph Blount, prezes Colonial Pipeline zapłacił hakerom 4,4 mln dol. okupu po ataku ransomware. Swoją decyzję argumentował tym, że firma musiała szybko odzyskać zdolność operacyjną. W takich sytuacjach pojawia się jedno zasadnicze pytanie: płacić czy nie płacić przestępcom?
Krzysztof Dyki, prezes ComCERT: To zawsze jest indywidualna decyzja, nie ma jednej uniwersalnie dobrej odpowiedzi. Każdy przypadek jest inny.
Od czegoś musimy jednak zacząć. Wiemy jedno: dostęp do naszego komputera, serwerów został po ataku ransomware zablokowany.
- Trzeba zbadać indywidualnie pacjenta, trochę podobnie do wizyty u lekarza. Jeśli mamy poważne objawy chorobowe, a w przypadku ransomware mówimy o poważnej infekcji, powinniśmy udać się do specjalisty. W pierwszej kolejności, określiłbym w jaki sposób ujawnienie danych przez przestępców, wcześniej wykradzionych, może być dla nas szkodliwe: prywatnie, rynkowo, medialnie, gospodarczo, politycznie. Mając ocenę tych zagrożeń powinniśmy podjąć decyzję co robić dalej. Nie zgadzam się z tezą, żeby nie płacić z założenia. Zbadajmy każdy przypadek indywidualnie - to jest moja rekomendacja. I wtedy zdecydujmy co jest dla nas najlepsze. Pamiętajmy, że ransomware dzisiaj to nie tylko szyfrowanie danych, ale też ich kradzież. Przestępcy są już krok dalej: nie tylko szyfrują, ale też przesyłają pozyskane dane do siebie.
I żądają okupu nie tylko za ściągnięcie blokady z naszego komputera, ale również za nierozpowszechnianie pozyskanych danych.
- To musiało nastąpić. Skoro ofiara posiada kopie zapasowe, to według przestępców ma płacić za ich niepublikowanie oraz nieujawnianie informacji o skutecznym ataku. Tu pojawia się kolejne pytanie: czy upublicznienie danych nam zaszkodzi? Dopiero mając pełną wiedzę, powinniśmy za każdym razem indywidualnie ocenić sytuację. Możemy się zastanowić: czy rozważamy zarządzenie tym ryzykiem, czy nie.
Czyli ponownie: płacić czy nie?
- Dialog nie oznacza od razu płacenia żądanej kwoty przez przestępców. Może to być po prostu wejście w proces negocjacyjny, którego - z natury swoich wcześniejszych i obecnych doświadczeń - nie wykluczałbym. Zawsze rozważmy ryzyka i potencjalne korzyści mogące płynąć z negocjacji - usiądźmy do stołu z drugą stroną i zobaczmy, co uda się ugrać. Nie mówię płaćmy bezrefleksyjnie, ale proponuję indywidualną ocenę sytuacji wraz z opcją negocjacji.
Tylko po drugiej stronie są przestępcy...
- Dlatego oceńmy, czy jest z kim rozmawiać. Jeśli to jest anonimowa grupa, nieznana lub domorosły haker - byłbym daleki od negocjacji, ponieważ druga strona może być niewiarygodna. Jeśli jest to profesjonalna grupa, owszem przestępcza, ale o znamionach profesjonalnej działalności, a takowe są, w cudzysłowie wiarygodne, to być może warto rozważyć negocjacje i porozmawiać o tym, co możemy zrobić. Zdarza się, nie mogę mówić o szczegółach, że w efekcie negocjacji nie płacono żadnego okupu.
Jak to?
- Dotyczyło to przykładowo jednostki wrażliwej społecznie, gdzie wystarczyło podkreślić społeczny charakter szczególnej instytucji oraz udowodnić jej słabą kondycję finansową. Instytucja ta nie prowadziła działalności gospodarczej tylko społeczną. W toku negocjacji padło pytanie, czy akurat ta ofiara powinna być karana za to, że nie stać ich na cyberbezpieczeństwo. Podczas negocjacji zdarza się, że przestępcy mówią o pewnym wymiarze kary za brak zabezpieczeń, a nie wprost i wyłącznie o haraczu. Cała rozmowa zmierzała w kierunku, wywołania u atakujących refleksji, czy ta instytucja, jest aby na pewno właściwym celem dla tego typu ataków. Ostatecznie jest to jeden z niewielu przykładów, gdy odstąpiono po kilku spotkaniach od okupu. Negocjacje odbywają się tekstowo, na czacie.
Kłóci mi się to jednak z atakami na szpitale, które też się zdarzają?
- Zdarzają się, ale dlaczego nam się to ma kłócić? Nie ma tej refleksji, o którą pan pyta, a ja opisuję. Jeżeli ktoś jest zaatakowany i mówi nie płacę, bo to są przestępcy, to oczywiście ma do tego prawo. Jeżeli ktoś inny zadaje pytania, zastanawia się co można z tym zrobić, konsultuje się z ekspertami, wchodzi w proces komunikacji z przestępcami, by porozmawiać na ten temat, co się wydarzyło to jest inna rozmowa. Jeśli nie negocjujemy - sprawa rozwiązuje się sama. Jeśli negocjujemy, to nie znaczy, że sytuacja się odwróci o 180 stopni, ale mamy szanse wpłynąć na zakres żądań.
Co można ugrać, bo jak rozumiem, zwolnienie z okupu to jednak wyjątkowa sytuacja.
- To zależy od przebiegu negocjacji, zaatakowanego, jego sytuacji finansowej, charakteru wykradzionych danych. Wśród przestępców czasami zdarzają się osoby z pewną wrażliwością. Spójrzmy na największy atak w tym roku, w ogóle rekordowy w historii, w ramach którego ukradziono 600 mln dol., z czego zadeklarowano zwrot 300 mln dol. To pokazuje to o czym mówię. Jeśli zaczniemy spokojną rozmowę, z szacunkiem, jeśli można mówić o takowym do przestępcy i będziemy go traktować poważnie, to może stworzyć przestrzeń do ustępstw. Bardzo rzadko się zdarza, że udaje się zupełnie uniknąć okupu, ale takie sytuacje mają miejsce.
Jeśli weźmiemy pod uwagę taki atak jak WannaCry, notPetya - to setki tysięcy zablokowanych komputerów na całym świecie. Skala jest na tyle duża, że o negocjacjach nie może być mowy. Trudno mówić o indywidualnym podejściu do naszego przypadku.
- Rozdzielmy kategorie zagrożeń. To o czym do tej pory rozmawialiśmy, dotyczyło ataków ransomware na organizacje, instytucje, korporacje, na duże podmioty. Mamy oczywiście też masowe ataki. W takich przypadkach jak WannaCry nawet bym nie próbował negocjować. To zupełnie inna charakterystyka ataku, inni atakujący. Przy masowych atakach, gdzie ofiary liczy się w tysiącach, setkach tysięcy, najczęściej nie ma tej przestrzeni na negocjacje, to nie ten profil, który umożliwiłby skuteczną interakcję na linii przestępca-ofiara. Chociaż to też powoli się zmienia.
W przypadku WannaCry atakujący nie zauważył nawet kogo zaatakował.
- Wcześniej mówiliśmy jednak o sytuacjach kierowanych, kiedy przestępca doskonale wiedział kogo atakuje, przygotowuje się, wchodzi, szyfruje dane i wysyła "fakturę". Wtedy może powstać przestrzeń do negocjacji. Jeśli są to masowe ataki, tzw. detaliczne, powiedzmy konsumenckie - opłaty przeważnie nie są na tyle wysokie, aby rozpoczynać negocjacje. Okup w takich sytuacjach wynosi od kilku do kilkudziesięciu tysięcy złotych.
To wciąż dużo.
- Przypomina mi się jedna sprawa. Bardzo duża firma. Na posiedzeniu zarządu trwała dyskusja, co zrobić po ataku: płacić czy nie płacić. Chodziło tylko o odszyfrowanie danych. Nie można było zrobić tego w inny sposób. Nie było indywidualnego szantażu, zwykły masowy atak. Decyzja firmy była natychmiastowa. Zapłacono i w ten sposób rozwiązano problem techniczny - nie oznacza to oczywiście, że rekomenduję płacenie okupów.
Ile okupu najczęściej przestępcy żądają?
- Niektóre grupy stosują algorytmy automatyczne do wyliczania okupu na podstawie np. liczby zainfekowanych serwerów w organizacji, ilości danych, które automatycznie zostały sklaryfikowane jako cenne. Najczęściej jest to jakaś stała, ustalona wartość. Ale są grupy przestępcze, które - pomimo tego, że atakują tysiące ofiar - chcą być przygotowane na to, żeby się z nimi kontaktować, zalogować poprzez siec TOR i rozpocząć proces negocjacyjny. Wiedzą, że wskazana pierwotnie kwota może być zbyt wysoka - przykładowo z uwagi na zbyt dużą liczbę zainfekowanych urządzeń.
Zejdą z wysokości haraczu albo nie odblokują komputerów. I tak, i tak wygrywają.
- Celem jest maksymalizacja zysków i nieutracanie klienta, czyli ofiary w ich rozumieniu. Lepiej jak zapłaci część "kary" niż wcale. Tam, gdzie są stosowane algorytmy automatyczne, ta wartość okupu może być przeszacowana. Jednocześnie nie chcą stosować jak niektóre grupy sztywnego, niskiego cennika. Profesjonalne grupy przestępcze są przygotowane do obsługi "klienta". Wysyłają informację: skontaktuj się z nami w celu omówienia twojego przypadku, tu jest twój numer klienta, a tu portal, przez który możesz się z nami skontaktować.
Powiedzmy, że do nich piszę. I co dalej?
- Przeważnie decyzje zapadają szybko na czacie. Do pewnego progu, ci ludzie, powiedzmy umownie "konsultanci", którzy obsługują ofiary - mają decyzyjność do określonego poziomu. Powyżej tego progu wchodzi przełożony i decyduje. To nie są wielogodzinne negocjacje. Całość trwa średnio poniżej godziny. Wyjątkiem są sytuacje, w których w toku negocjacji przestępcy żądają udostępnienia dokumentów, przykładowo potwierdzających trudną sytuację finansową - wtedy negocjacje są dłuższe.
Jak te cyberataki ewoluują. Możemy mówić o profesjonalizacji całego procesu: są one rozłożone w czasie, przestępcy zbierają dane o systemach informatycznych, o całej strukturze cyberbezpieczeństwa i dopiero na koniec atakują.
- To są cechy ataku APT (Advanced Persistent Threats - red.). To jest sztuka sama w sobie. Nie jest to względnie prosty atak kategorii WannaCry - strzelanie z milionów dział z nadzieją, że kogoś uda się trafić. To są ataki kierunkowe, przygotowywane miesiącami. W niektórych przypadkach inwigilacja infrastruktury trwała dwa lata, zanim dokonywano ostatecznego ataku. Mówimy o permanentnej infiltracji infrastruktury, to nie są ataki ransomware. W jednej ze spraw klient oczekiwał odpowiedzi na pytanie, jak to było możliwe, że doszło to tak głębokiej i długotrwałej penetracji serwerów. Okazało się, że wszystkie komputery administratorów systemu były zainfekowane. Jak można się domyśleć - przestępcy wykorzystywali zdalnie komputery administratorów do realizowania swoich działań.
I nikt się nie zorientował?
- To jest wyjątkowa historia. Jedna z najciekawszych. Przestępcy robili swoje w godzinach pracy administratorów. Czuli się tak pewnie, że logowali się do serwerów wykorzystując loginy i hasła administratorów. W pewnym momencie zaczęli robić to nawet w czasie pracy administratorów, wykonując nielegalne operacje. To są ataki klasy APT. Rzadko kiedy są to grupy przestępcze komercyjne zorientowane na działalność biznesową. Najczęściej są to grupy state sponsored, rządowe. Może pan się domyślać z jakich krajów. Jeśli ktoś ma możliwości ataku, to przestępca, w odróżnieniu od obcego wywiadu, nie będzie tracić czasu, przez dwa lata siedząc w ukryciu. Zamiast tego klasyczny przestępca nastawiony na zysk będzie dążył do jak najszybszego spieniężenia swoich operacji.
Jak się chronić przed atakami typu APT?
- W każdym przypadku badamy profil klienta. Stosujemy między innymi modelowanie zagrożeń, podczas którego ustalamy obszary zagrożone oraz sposoby ochrony. Nawet jeśli mamy dwa podobne podmioty, działające w tym samym sektorze, ktoś powie wręcz identyczne, to nie spotkaliśmy jeszcze dwóch takich, dla których ocena stanu i rekomendacje dałyby taki sam wynik. Za każdym razem jest on inny. U szeregu klientów weszliśmy na całkowicie zielony teren i zbudowaliśmy od podstaw samodzielne struktury bezpieczeństwa, np. SOC (Security Operations Centre). Wdrożyliśmy rozwiązania, przeszkoliliśmy ludzi. Niektórzy korzystają z naszych usług w zakresie trzeciej linii wsparcia - wspieramy te najtrudniejsze przypadki. Jesteśmy też obecni w krajach afrykańskich. W Republice Togo zbudowaliśmy pierwszą w tym kraju instytucję odpowiedzialną za bezpieczeństwo cybernetyczne, ochronę togijskiej infrastruktury krytycznej, firm, administracji i obywateli.
Ile taki przestępca, nastawiony na zysk może siedzieć w ukryciu w danej firmie?
- Maksymalnie kilka miesięcy, częściej są to tygodnie. Przestępca "komercyjny" będzie jak najszybciej chciał przejść do transakcji. Te najlepsze grupy profesjonalne mają własne algorytmy szyfrujące. Szczycą się tym, że ich algorytmy szyfrujące - i jest to prawda - są absolutnie wyjątkowe, najszybsze. Są to organizacje, które się profesjonalizują, wydają dużo pieniędzy na badania i rozwój. Profesjonalne grupy posiadają potencjał cybernetyczny lepszy od większości państw.
To przeciwko takim grupom przestępczym tworzy się właśnie koalicja pod egidą USA i prezydenta Joe Bidena w obszarze zwiększenia cyberbezpieczeństwa i ograniczenia ataków ransomware?
- To jest dobre pytanie o tyle, o ile pamiętamy o dwóch wymiarach tego problemu. Ciężko mi przychodzi powiedzenie tak, bo zapytałbym na samym początku, czy jednak masowe ataki nie są większym problemem? Skupiamy się na średnich firmach, korporacjach, na urzędach, a kto zabezpieczy społeczeństwo, obywateli? Nie ograniczałbym się tylko do grup APT. Ataki APT na pewno są widoczne i medialne, ale zagrożeniem dla obywateli każdego kraju nie są grupy APT, tylko przykładowo złośliwe oprogramowanie kategorii WannaCry. Pytanie, na czym i komu zależy, jeżeli rozmawiamy o ochronie.
Można też spojrzeć na to z drugiej strony. Jeśli chcielibyśmy prowadzić do szerokiej destabilizacji na poziomie państwa, np. w służbie zdrowia, to właśnie te ataki APT będą o wiele większym problemem. Można sobie wyobrazić sytuację, że firma produkująca szczepionki od kilku miesięcy źle dobiera skład swoich preparatów, albowiem ktoś tam z tyłu, jakiś niewidoczny cyberprzestępca pozmieniał proporcje, a nikt się tego nie dopatrzył?
- Ponad 10 lat temu powstał wirus stuxnet, który zakłócił pracę irańskich wirówek wzbogacających uran. Był właśnie tym, na co zwraca pan uwagę. Jeżeli w technologii jądrowej Iranu wystarczyło wpłynąć na proces produkcyjny i zakłócić pracę programu atomowego, to możemy przyjąć, że przy medycynie i szczepionkach zabezpieczenia są znacznie słabsze. Więc to ryzyko jest bardzo realne w każdym sektorze. Jeśli mamy zautomatyzowane procesy produkcyjne, sterowanie wodociągami, przepływem prądu, gazu, produkcją leków - zagrożenie jest realne.
Zbytnim uogólnieniem będzie, jeśli powiemy, że cały atak ransomware zaczyna się od otwarcia załącznika z maila od nieznanego nadawcy?
- Lub odwiedzenia niewłaściwej strony. Najczęściej to będą te dwa czynniki: otwarcie załącznika lub linku z maila lub SMS-a, albo wejście na niewłaściwą stronę.
Czyli najsłabszym ogniwem jest i pozostanie człowiek.
- Technologie cyberbezpieczeństwa są niezbędne. Ale na pierwszym miejscu trzeba stawiać człowieka. Każdy powinien być świadomy ryzyka ataku i pamiętać, że socjotechnika jest tym, co najczęściej stanowi fundament ataku. Dopiero w drugiej kolejności są narzędzia, które powinny nas chronić.
W pierwszej kolejności czytam i sprawdzam co odbieram, co otwieram i od kogo.
- Podejrzanych wiadomości najlepiej w ogóle nie otwierać, dotyczy to zarówno komputera, jak i smartfonu. Nie oddzwaniajmy na podejrzanie wyglądające numery telefonów. Sprawdzajmy od kogo jest dany mail i nie otwierajmy bez zastanowienia załączników. Żaden system zabezpieczeń istniejący na świecie nie zabezpieczy nas w 100 proc. przed tymi ryzykami. To trochę podobnie do covid i szczepionki, która ogranicza ryzyko, ale go nie eliminuje.
Świadomość wśród firm rośnie?
- Świadomość rośnie...
...a wraz z nią wydatki na bezpieczeństwo?
- O ile firmy są bardziej świadome ogólnego ryzyka ataku, to wyzwaniem jest gotowość do inwestycji w cyberbezpieczeństwo. I nie chodzi tu o mniejsze firmy. Ogólnie widać, że temat inwestycji w cyberbezpieczeństwo jest problematyczne, bo go przecież nie widać na co dzień. Przeciętna organizacja widzi efekty z inwestycji w fizyczną ochronę czy video monitoring, ale nie w cyberbezpieczeństwo.
Czyli boją się bardziej tego, że złodzieje wyniosą komputery, a nie ukradną wszystko, co na nich trzymamy.
- To jest brak zrozumienia współczesnych realiów. Mamy powszechną fizyczną ochronę mienia, by przykładowo zabezpieczyć przed kradzieżą dokumenty, które przechowujemy w firmach. Ale gdzieś nam umknęło, że przez ostatnie kilkanaście lat, te dokumenty zmieniły swoją postać z papierowej na cyfrową. Nowe rejestry, które budujemy są cyfrowe, ale w ślad za tym nie nadąża świadomość zagrożeń. Szereg organizacji prywatnych i publicznych wydaje mnóstwo pieniędzy na fizyczną ochronę i monitoring. Są duże organizacje, gdzie w ogóle nie ma komórki cyberbezpieczeństwa. I nikt nie zauważa, że dane nie są papierowe, ale cyfrowe.
Może to podejście w rodzaju "to ryzyko mnie nie dotyczy"?
- Raczej: przecież mam ochronę fizyczną.
Dane firmy trzymają już w chmurze.
- Tak, ale to nie zmienia sytuacji. Jeżeli dane przechowujemy w chmurze publicznej, to nie mamy fizycznej kontroli nad urządzeniami, które przetwarzają nasze dane. Tak więc w tym przypadku również trzeba zadbać o cyberbezpieczeństwo.
Czyli o bezpieczeństwo danych w chmurze musimy dodatkowo zadbać sami.
- Oczywiście. Deklaracje usługodawców chmurowych dotyczące bezpieczeństw i certyfikatów dotyczą przeważnie centrów przetwarzania danych. Czyli należy zgodzić się, że poważny dostawca usług chmurowych posiada przeważnie dobrze zabezpieczone centrum przetwarzania danych. Jednak centrum przetwarzania danych a usługi chmurowe każdego klienta to dwie różne rzeczy, jeżeli rozmawiamy o cyberbezpieczeństwie. O ile fizyczne bezpieczeństwo serwerów jest ważne, to należy pamiętać, że bezpieczeństwo usług uruchamianych przez klienta w chmurach przykładowo Amazon, Google, Microsoft domyślnie nie jest gwarantowane. Dostawcy ci oferują szereg rozwiązań bezpieczeństwa, ale ich wdrożenie i konfiguracja spoczywa na kliencie, który może chronić się sam lub wynająć do tego wyspecjalizowany podmiot.
- Inwestycje w zabezpieczenia to jedno. A potencjał kadrowy to coś innego. Ile firm posiada co najmniej jednego eksperta ds. cyberbezpieczeństwa?
Ustawa o cyberbezpieczeństwie miała to naprostować i wymusić kierunek cyberbezpieczeństwa w firmach.
- Czekamy na ostateczny kształt tej ustawy. Prace idą w dobrym kierunku. Przyglądamy się jej z uwagą - zmiany, przedłużanie procesu legislacyjnego są korzystne, bo każda nowelizacja ustawy zawiera coraz lepsze i niezbędne zapisy. Liczę, że ostateczny kształt doprecyzuje wymagania, bo jeżeli nie zaczniemy wymagać ochrony wymogami prawnymi to nic się nie zmieni.
Rozmawiał Bartosz Bednarz
