Ransomware-attacker ökar i frekvens. Kredit:Shutterstock
De senaste cyberattackerna i augusti mot Bombardier Recreational Products och Ontario Cannabis Store belyser det fortsatta gisselet av cyberbrottslingar och ransomware.
Ransomware är ett stycke skadlig programvara – skadlig programvara – kod som kommer in i ett informationssystem och blockerar åtkomst till datorn eller dess filer tills offret betalar för att få en nyckel eller lösenord. Ransomware var en term som inte kom in i det populära lexikonet förrän för cirka 10 år sedan (och det lades till i Oxford English Dictionary 2018).
Det har nu utvecklats och 2021 registrerades 3 729 ransomware-klagomål, med förluster på 49,2 miljoner USD enbart i angivna kritiska infrastrukturer. Den genomsnittliga betalningen av ransomware klättrade med 82 procent för att nå rekord på 570 000 USD under första halvåret 2021.
Och det kommer bara att bli värre. FBI:s Internet Crime Complaint Center rapporterade 2 084 ransomware-klagomål från januari till 31 juli 2021 – en ökning med 62 % jämfört med föregående år.
För alla organisationer är cyberattacker inte en fråga om "om", utan "när":En cyberattack är oundviklig. Detta tvingar ledarna att fråga:Betalar vi lösensumman eller inte?
Ungefär hälften av alla organisationer väljer att betala lösen. Men det betyder också att ungefär hälften inte gör det. Det som gör detta till ett särskilt ondskefullt problem är att det inte finns något korrekt svar eller tydlig struktur. Så frågan blir:Under vilka villkor ska en lösen betalas ut? Och vilka faktorer kan hjälpa ledare att fatta detta beslut?
Blockerar åtkomst
Det finns fyra kärnåtgärder som ransomware kan utföra, förkroppsligade i akronymen LEDS:Lås, Kryptera, Ta bort eller Stjäla. Ransomware kan låsa, eller förhindra åtkomst till data eller ett informationssystem, vilket kräver en nyckel för att låsa upp. På samma sätt kan den tillåta åtkomst, men data är trassligt eftersom de har krypterats på plats, vilket återigen kräver en dekrypteringsnyckel för att göra dem läsbara. Data kan raderas på plats (raderas) eller säljas till högstbjudande.
Det som gör dagens ransomware-attacker särskilt skadliga och lömska är att de ofta använder mer än en av dessa effekter.
När skadlig programvara är inbäddad i en organisations system kontaktar brottslingarna offret, vanligtvis via ett anonymt e-postmeddelande, eller genom själva skadlig programvara (popup-fönster) och kräver omedelbar betalning av en lösensumma i kryptovaluta, och hotar vanligtvis ytterligare skada.
Att betala lösensumman kan leda till att en dekrypteringsnyckel tillhandahålls, som när den anges i popup-fönstret omedelbart låser upp systemet och allt som har krypterats.
Överväganden före betalning
Det finns två dimensioner att ta hänsyn till när man bestämmer sig för att betala en lösen:affärsbeslutet och det etiska.
Brottsbekämpande myndigheter, inklusive FBI och RCMP, avråder bestämt från att betala lösen, någonsin. De gör det av två goda skäl:för det första belönar och uppmuntrar det kriminell verksamhet. För det andra kan det äventyra organisationen ytterligare när det blir känt i hackerkretsar att detta är en organisation som är villig att betala.
Med andra ord, det kanske inte får brottet att försvinna och kan göra dig ännu mer av ett mål.
Om brottslingarna inte är en känd terroristorganisation är betalning av en lösen inte ett brott. Detta kan förändras, eftersom vissa länder, särskilt USA, föreslår antagande av lagar om efterlevnad av sanktioner som kriminaliserar alla betalningar av lösen på nätet. Det kan vara svårt att tillskriva attacken, varför hackarna ofta identifierar sig för sina offer.
Ett ärligt brott
Det finns ett övertygande affärscase att göra för att betala ett krav på lösen. Brottet fungerar eftersom det, om du så vill, är ett ärligt sådant. Det vill säga, 70 procent av tiden kommer att betala en lösensumma resultera i att en giltig dekrypteringsnyckel tillhandahålls.
Detta är vettigt. För att brottslingar ska kunna dra nytta av denna strävan måste de visa god tro och hålla sitt löfte.
Brottslingar vet också detta. Riktade kampanjer ser att angripare i genomsnitt tillbringar nästan sex månader i ett företags nätverk innan de löser ut skadlig programvara. De gör det för att säkerställa att deras skadliga program har infekterat så många system som möjligt, inklusive säkerhetskopior; att identifiera och extrahera föremålen av störst värde; för att säkerställa att de inte lämnar spår; och för att samla in all affärsinformation (som t.ex. incidentresponsplaner eller försäkringar). Detta gör att de kan bestämma det maximala beloppet för lösen att kräva.
Detta är kärnan i beslutet om affärscase. Anta till exempel att kostnaden för en lösenhändelse uppskattas till $500 000 (baserat på databasens storlek, tid för återhämtning, datavalidering vid återhämtning och andra utgifter). Ett krav på lösen på $250 000 är helt klart ett bättre alternativ eftersom det inte bara är billigare, utan snabbare än alternativet.
Organisationer kan beräkna kostnaderna för olika incidenter och i princip bestämma sin vilja att betala för varje möjlig lösenscenario. Detta leder till utvecklingen av vad som kallas en ransomware-betalningsmatris för organisationen.
Moraliska dimensioner
Men det finns också en moralisk eller etisk dimension i detta beslut. Betalningar till brottslingar kanske inte är förenliga med organisationens kärnvärden, kultur eller etiska regler. Även om de är det kanske detta inte passar företagets anställda, kunder och andra intressenter.
Det finns många ramar och teorier som handlar om etik på arbetsplatsen, och ledare behöver använda sig av en eller flera. Detta kommer att hjälpa dem att fatta ett beslut om att betala en lösensumma, för även om det kan vara bra affärsmässigt att betala en lösen, kanske det inte är rätt sak att göra för organisationen.
Istället kan organisationen välja att investera medel som annars skulle gå till lösenbetalningar i utbildning, cyberskydd och uppgradering och patchsystem.
Oavsett beslut är det viktigt att utforska alla alternativ i god tid innan några cyberattacker inträffar. Detta inkluderar att föra diskussioner med anställda, kunder och andra intressenter. Det inkluderar också försäkringsbolag (som i allt högre grad avskyr att försäkra sig mot ransomware-händelser) och brottsbekämpande myndigheter.
Att acceptera det oundvikliga av en cyberattack och att noggrant utforska olika scenarier kommer att ha den dubbla effekten att inte bara förbereda sig för attacken, utan även möjliggöra ett mer effektivt svar när det inträffar. + Utforska vidare
Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.