Przeciwdziałanie ransomware – sesja “TOGETHER – SAFER, STRONGER, SMARTER”

18 kwietnia br. odbyła się piąta edycja międzynarodowej sesji „Together – safer, stronger, smarter” poświęconej najbardziej palącym problemom cyberbezpieczeństwa. W tym roku wszyscy uczestnicy dyskutowali o wyzwaniach i różnych perspektywach przeciwdziałania ransomware – jednemu z największych globalnych wyzwań związanych z cyberbezpieczeństwem.

Ransomware to rodzaj złośliwego oprogramowania, który uniemożliwia dostęp do plików komputerowych, systemów lub sieci i żąda okupu za zwrot utraconych danych. Jest on wyjątkowo niebezpieczny, szczególnie w obliczu faktu, że każdy może stać się potencjalnym celem – od osób prywatnych po globalne korporacje. Może się to zdarzyć wszędzie i każdemu.

Podczas sesji temat zwalczania ransomware i wyzwania z nim związane zostały przedstawione z różnych perspektyw przez prelegentów z Federalnego Biura Śledczego USA (FBI), Rządowego Biura Bezpieczeństwa Informacji Republiki Słowenii (GISO), CSIRT NASK, CSIRT MON, Departamentu Bezpieczeństwa Wewnętrznego USA (US DHS) oraz Departamentu Cyberbezpieczeństwa z Kancelarii Prezesa Rady Ministrów w Polsce.

David Hitchcock, FBI Cyber Attaché, podkreślił, że z jednej strony w porównaniu z rokiem ubiegłym wzrosła i nadal rośnie liczba ataków z wykorzystaniem ransomware, a modus operandi ich sprawców jest coraz bardziej złożony i technicznie zaawansowany. Z drugiej jednak strony, organizacje są coraz lepiej zabezpieczone i przygotowane na przywracanie danych po ataku. Nadal najlepszym sposobem ochrony i przywracania danych są kopie zapasowe. W dalszym ciągu istnieje potrzeba prowadzenia kampanii uświadamiających, budowania zaufania między podmiotami poszkodowanymi, a organami ścigania i współpracy sektorów prywatnego i publicznego.

Wartości okupu żądanego przez sprawców ataków z użyciem ransomware wciąż rosną i niektóre organizacje mają poważny dylemat, co do tego, jaką podjąć decyzję w obliczu takiego zagrożenia. Zapłacenie okupu nie gwarantuje odzyskania danych, a utrata danych może spowodować poważne konsekwencje związane z działalnością firmy.

W większości przypadków czynnik ludzki jest najsłabszym punktem, potwierdzając stare powiedzenie: jesteśmy tak silni, jak nasze najsłabsze ogniwo. Z tego względu należy nieustannie pamiętać i przypominać o zachowaniu ostrożności, kierowaniu się zdrowym rozsądkiem podczas otwierania załącznika, reklamy czy linku do strony, która przecież mogła zostać zainfekowana.

Jak dodał David Hitchcock, wyniki badania przeprowadzonego przez Sophos[1] dowodzą, że wsparcie w rozwiązaniu problemów związanych z atakiem z użyciem ransomware może zapewnić zarówno efektywne wykorzystanie już dostępnych zasobów, jak również zainwestowanie w odpowiednie rozwiązania technologiczne i wdrożenie odpowiednich procedur związanych z:

  • regularnym wykonywaniem kopii zapasowych i sprawdzaniem ich pod kątem potencjalnych zakłóceń;
  • przeprowadzaniem kontroli bezpieczeństwa;
  • proaktywnym wyszukiwaniem potencjalnych zagrożeń i podatności;
  • przygotowaniem procedur na wypadek ataku uwzględniających sposób postępowania oraz osoby odpowiedzialne.  

Jednym z proaktywnych środków służących zabezpieczeniu przed skutkami ataku jest także zakup ubezpieczenia od cyberataków.

Kolejnym wyzwaniem związanym z ransomware, poruszonym przez Urośa Svete, Dyrektora słoweńskiego Rządowego Biura Bezpieczeństwa Informacji jest ich klasyfikacja w zależności od celu i rodzaju ataku.  Podczas ataku istotne jest bowiem ustalenie, czy skutkiem było samo zaszyfrowanie danych czy ich wyciek. Czy może było to szpiegostwo gospodarcze czy próba wymuszenia? Problemem jest także przypisanie odpowiedzialności za to, że atak był skuteczny. Czy ktoś nie dopełnił swoich obowiązków? Czy to wina użytkownika końcowego, szefa IT czy prezesa firmy?

Nowym wyzwaniem związanym z oprogramowaniem typu ransomware jest sztuczna inteligencja, która może zostać wykorzystywana, zarówno do zwalczania tego zjawiska, jak i przez sprawców ataku.

Na wsparciu technicznym i reagowaniu na incydenty związane z ransomware skupił się Maciej Siciarek, Dyrektor CSIRT NASK, który stwierdził, że w przypadkach reagowania na skutki ataków z wykorzystaniem oprogramowania typu ransomware wzrosła rola CERT-u, który wspiera firmy w odzyskiwaniu danych, a także dostarcza rekomendacje, wytyczne i instrukcje dotyczące ataków ransomware.

Przedstawiciel Dowództwa Wojsk Obrony Cyberprzestrzeni z CSIRT MON przedstawił case study jednego z ataków z wykorzystaniem ransomware przeprowadzonych w Polsce. Z jego prezentacji wynikał wniosek, że odpowiedzialne przestrzeganie procedur chroniących przed tego typu incydentami jest jednym z kluczowych czynników zapobiegających powstaniu strat lub je minimalizującym.

Ian Hansen, zastępca dyrektora ds. współpracy międzynarodowej w amerykańskim Departamencie Bezpieczeństwa Wewnętrznego (DHS), potwierdził, że skala zagrożeń jest bardzo szeroka. Zaznaczył on także, że atak z użyciem ransomware na przedsiębiorstwo Colonial Pipeline był punktem zwrotnym pokazującym, jak ściśle powiązane wewnętrznie jest środowisko cyberbezpieczeństwa oraz jaki efekt i wpływ mogą mieć ataki na obiekty infrastruktury krytycznej. Hansen dodał, że prawie 85% amerykańskiej infrastruktury krytycznej należy do sektora prywatnego, dlatego dobra komunikacja i wymiana informacji jest koniecznością, a dziś jest ważniejsza niż kiedykolwiek. Ze względu na ewoluujące metody i potrzebę zwiększenia odporności, DHS przyjął kompleksowe podejście i połączył możliwości i zasoby z innymi amerykańskimi agencjami federalnymi, organami ścigania, sektorem prywatnym i partnerami zagranicznymi, w celu wymiany informacji i łagodzenia zagrożeń. DHS oferuje również szeroką gamę metod wsparcia takich jak edukacyjne strony internetowe czy promowanie cyberhigieny. DHS upowszechnia także narzędzia jak przykładowo Ransomware Vulnerability Warning Pilot, które skanują systemy pod kątem złośliwego oprogramowania i sugerują techniki łagodzenia jego skutków, oraz udzielają wskazówek dotyczących innych proaktywnych rozwiązań i działań, w zależności od wielkości danej firmy lub podmiotu. Wskazał także, że Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) jest w centrum wielu z tych działań, prowadząc wspólne programy i inicjatywy z innymi agencjami federalnymi, a także wydając wspólne biuletyny informacyjne. CISA prowadzi również Joint Cyber Defense Collaborative, uznając, że wspólne podejście i współpraca z sektorem prywatnym jest jedynym sposobem na skuteczne zwalczanie ransomware i innych zagrożeń.

Oceniając skalę problemu i zagrożenia, w 2021 roku Biały Dom wystosował zaproszenie do udziału we wspólnym projekcie zwalczania ransomware: Counter Ransomware Initiative (CRI). Do tej pory CRI zgromadziła ponad 40 krajów na całym świecie zaangażowanych w budowanie zbiorowej odporności na ransomware, współpracy w celu przeciwdziałania atakom z użyciem tego oprogramowania, ścigania podmiotów odpowiedzialnych, a także przeciwdziałanie nielegalnemu finansowaniu, które stanowi podstawę działalności grup wykorzystujących ransomware. Zbudowanie skutecznej odporności na ataki wykorzystujące ransomware wymaga skutecznej polityki i współpracy z zaufanymi partnerami, dlatego CRI utworzyło międzynarodową grupę zadaniową Counter Ransomware Task Force, której celem jest opracowanie międzysektorowych narzędzi i wymiana informacji o cyberzagrożeniach, w celu zwiększenia zdolności wczesnego ostrzegania i zapobiegania atakom, jak również konsolidacji obowiązujących regulacji prawnych i dobrych praktyk.

Polska jest częścią CRI i nowo utworzonej przy niej Grupy Roboczej (CRITF). Marcin Domagała z Kancelarii Prezesa Rady Ministrów przedstawił polską inicjatywę na rzecz wsparcia i rozwoju CRITF: RACER.  Jej celem jest przygotowanie poradników na tematy związane z ochroną systemów, reagowaniem na ataki, a także zabezpieczaniu i analizie dowodów.

CRI jest zaangażowane nie tylko w ochronę przed ransomware na poziomie krajowym, ale także we wspieranie aktywności na poziomie międzynarodowym. Celem tych działań jest dzielenie się informacjami operacyjnymi dotyczącymi zagrożeń oraz przekazywanie rekomendacji na jak najszerszą skalę.

Jak wszyscy wiemy, na każdym kroku pojawiają się wyzwania. Spotkanie w ramach sesji zamkniętej „Together – safer, stronger, smarter” wzbogaciło naszą wiedzę i wskazało różne rozwiązania oraz perspektywy, które warto rozważyć, aby zadbać o bezpieczeństwo i odporność wobec zagrożeń ze strony ransomware.

Countering ransomware – Summary of the session “Together-safer, stronger, smarter”

The fifth edition of the international session “Together – safer, stronger, smarter” dedicated to the most pressing cybersecurity issues – took place on April 18th.  This year, all participants have discussed challenges and various perspectives of countering ransomware – one of the biggest global cybersecurity challenge.

Ransomware is a type of malicious software, or malware that prevents the victim from accessing computer files, systems, or networks and demands to  pay a ransom for the return of data. Especially in view of the fact that everyone can become potential target – from individuals to large, global organizations.  It can happen anywhere and to anyone.

The topic and its challenges was presented from different perspectives by the keynote speakers from the US Federal Bureau of Investigation, Government Information Security Office from the Republic of Slovenia, national CSIRTs from Poland (CSIRT NASK, CSIRT MoD), the U.S. Department of Homeland Security and Chancellery of the Prime Minister in Poland. Below you will find a complete summary of the session.


[1] https://www.sophos.com/en-us/content/state-of-ransomware