A telekomunikacja?
Ma 2-procentowy udział. Jeżeli firma dysponuje własnym SOC [Security Operations Center ‒ red.] jak na przykład telekomy, to relatywnie szybko może stwierdzić, że ktoś próbuje dostać się do jej systemów i zapobiec włamaniu.
Stereotypowo wyobrażamy sobie, że za atakami stoją ludzie. To już przeważnie jest nieprawda ‒ infrastruktura cyberprzestępców jest zautomatyzowana. Poszczególne ataki realizują automaty. W botnecie Mirai w jednym z ataków wykorzystano 400 tys. zhakowanych kamer przemysłowych, które posłużyły do realizacji ataków DDoS i do hakowania kolejnych urządzeń w sieci.
Wykradanie danych, to jednak co innego, niż atak DDoS, blokujący serwis internetowy.
Czasami przestępcy stosują miks różnych metod: na przykład atak DDoS poprzedza próbę włamania do systemu. Praktyka pokazuje, że na cyberszpiegostwo bardziej narażone są firmy z sektora publicznego lub motoryzacyjnego ‒ przede wszystkim z dużymi działami R&D. Od jednego z czołowych producentów samochodów przez dwa lata wyciekały dane dotyczące projektu nowego silnika elektrycznego. Potencjalnie warte były miliardy euro.
Z kolei firmy sektora finansowego albo e-commerce są w większym stopniu narażone na ataki DDoS, które klientom blokują dostęp do ich usług. Natomiast na ataki typu ransomware najbardziej narażone są firmy produkcyjne, w których przestój (po cyberataku może trwać nawet do miesiąca) naraża na bardzo konkretne straty finansowe. To najczęściej skłania kadrę zarządzającą w takich firmach do zapłacenia okupu za odblokowanie środowiska.
Jaka jest pewność, że po zapłaceniu okupu cyberprzestępcy rzeczywiście dostarczą klucze?
Statystycznie 80 proc. hakerów dotrzymuje umowy. Grupy przestępcze mają swoją renomę, która w kręgu specjalistów jest znana. Dotrzymywanie umów jest w interesie cyberprzestępców, bo uczy przyszłe ofiary, że okup rozwiązuje problem. Oczywiście nikt w tym „biznesie” nie daje żadnej gwarancji. A już zupełnie nie wtedy, kiedy przejęte zasoby dostaną się ręce kolejnych grup przestępczych, które za kilka lat znowu wrócą z szantażem.
Jak się rozlicza okup?
Tego się formalnie nie rozlicza. W polskim prawie nie ma mechanizmu na zaksięgowanie okupu, w wielu innych systemach prawnych jest to wprost zakazane. Okupy rozlicza się zazwyczaj kryptowalutami (popularne jest obecnie Ethereum) a firma nie ma możliwości ich zakupu.
Można ubezpieczyć ryzyko cyberataku?
Tak, to coraz bardziej popularne za granicą. W Polsce też już są cztery firmy ubezpieczeniowe, które zajmują się ryzykiem cyberataku. Część przedsiębiorców, rozmawiając o cyberzagrożeniach, mówi: mnie to nie dotyczy (zazwyczaj się mylą). Inni mówią: tak, jestem świadom ryzyka, wykupiłem polisę ubezpieczeniową; ubezpieczyciel zrobił u mnie audyt i w razie czego to on będzie negocjował z hakerami.
Z hakerami się negocjuje?
Jako Orange nie rekomendujemy takiej praktyki, ale to nie po naszej stronie jest decyzja, bo to nie my poniesiemy jej konsekwencje. Dokładna wiedza o efekcie ataku jest nieodzowna, ponieważ szantażyści mogą blefować, utrzymując na przykład, że wykradli wrażliwe dane. Pion IT może to sprawdzić; jeżeli blefują i chodzi tylko o deszyfrację środowisk, to zmienia skalę potencjalnych strat a więc warunki potencjalnego porozumienia z przestępcami. Średnio przestój w firmie produkcyjnej z powodu cyberataku trwa 24 dni ‒ od tego liczy się straty firmy i wysokość okupu.
Jaki odsetek firm decyduje się płacić okupy?
Szacuje się, że około 40 proc. Dokładnie nie wiadomo, bo nikt się tym nie chwali.
