Sektor usług finansowych staje się podatny na ataki ransomware

Sektor usług finansowych jest atrakcyjnym celem dla cyberprzestępców
fot. Sheila Sund @ flickr.com CC BY 2.0

Dane finansowe klientów, dane bankowe, dane o transakcjach i programach emerytalnych prawdopodobnie należą do najważniejszych danych przetwarzanych obecnie przez przedsiębiorstwa. Odpowiednia ochrona i zabezpieczenie tych danych są dla sektora finansowego niezmiernie ważne, a niedomagania na tym froncie mogą spowodować ogromne straty wizerunkowe i wysokie koszty finansowe

W zeszłym roku poinformowano, że w okresie od kwietnia do czerwca sektor finansowy był drugim co do wielkości źródłem naruszeń bezpieczeństwa danych — w ciągu zaledwie jednego kwartału miało miejsce 42 dużych naruszeń bezpieczeństwa usług.

Presja związana z globalną pandemią i pracą zdalną jeszcze bardziej skomplikowała sytuację. W lutym tego roku australijskie Centrum Cyberbezpieczeństwa poinformowało, że australijskie banki zostały zaatakowane przez grupę, która groziła im przeprowadzeniem ataków typu „blokada usługi”, jeśli nie zapłacą okupu.

Mimo, że ataki ransomware są bardzo skomplikowane i stanowią duże wyzwanie dla organizacji, jest kilka kroków, które można wykonać, aby zminimalizować ryzyko już na samym początku.

Zrozumienie zagrożenia

Główne drogi, przez które ransomware dociera do przedsiębiorstw, wiodą przez protokoły zdalnego pulpitu (Remote Desktop Protocols — RDP) lub inne mechanizmy zdalnego dostępu, phishingowe wiadomości e-mail lub luki w zabezpieczeniach oprogramowania. Znajomość tych trzech dróg dostępu bardzo pomaga zidentyfikować obszary, w których przedsiębiorstwo powinno skupić swoje wysiłki, aby być bardziej odporne na ataki.

Większość administratorów IT używa RDP w swojej codziennej pracy, a wiele serwerów RDP jest bezpośrednio podłączonych do Internetu. Prawda jest jednak taka, że nie powinny się one łączyć z Internetem.

dministratorzy IT mogą wykazywać się kreatywnością, tworząc specjalne adresy IP, przekierowując porty RDP, tworząc skomplikowane hasła itp., ale dane nie pozostawiają wątpliwości, że ponad połowa oprogramowania ransomware dociera do przedsiębiorstw za pośrednictwem RDP. Świadczy to o tym, że łączenie serwerów RDP z Internetem jest sprzeczne z nowoczesnymi strategiami zapewnienia odporności na ataki ransomware.

Inną częstą drogą ataku są phishingowe wiadomości e-mail. Większość z nas widziała wiadomości e-mail, które wydawały się podejrzane. Taką wiadomość należy skasować. Skuteczną pierwszą linią obrony mogą być samoobsługowe narzędzia do przeprowadzania oceny, połączone ze szkoleniami dla pracowników, które pomogą im identyfikować phishingowe linki i wiadomości e-mail.

Trzecim istotnym obszarem jest ryzyko wykorzystania luk w zabezpieczeniach. Zapewnienie aktualności systemów było obowiązkiem działów IT od zawsze, ale teraz jest ważniejsze niż kiedykolwiek. Mimo że nie jest to efektowne zadanie, szybko może się okazać dobrą inwestycją, jeśli firma będzie mieć do czynienia z incydentem ransomware wykorzystującym znaną, ale załataną lukę w zabezpieczeniach.

Kopie zapasowe danych

Ponieważ gra toczy się o wysoką stawkę, przedsiębiorstwa z branży finansowej muszą również przygotować się na najgorszy scenariusz i zadbać o skuteczną strategię w zakresie kopii zapasowych.

Zasada 3-2-1 stanowi dobry punkt wyjścia dla ogólnej strategii zarządzania danymi. Zaleca ona, że ważne dane powinny być przechowywane w co najmniej w trzech egzemplarzach i na co najmniej dwóch typach nośników, a co najmniej jeden z tych egzemplarzy powinien być przechowywany poza siedzibą przedsiębiorstwa. Najlepsze w tej zasadzie jest to, że nie wymaga ona żadnego konkretnego typu sprzętu i jest na tyle uniwersalna, że sprawdza się w przypadku prawie każdego scenariusza awarii.

Nie płać okupu

Mimo tych wszystkich technik przedsiębiorstwa muszą być również przygotowane na reagowanie na zagrożenia, kiedy już one wystąpią. Nasze podejście jest proste: Nie należy płacić okupu. Jedyną opcją jest odtworzenie danych. Przedsiębiorstwa muszą również zaplanować swoją reakcję w sytuacji wykrycia zagrożenia.

Przy każdego rodzaju ataku jednym z pierwszych wyzwań jest komunikacja. Dlatego należy mieć plan przewidujący sposób komunikacji z odpowiednimi osobami w sytuacji awaryjnej. Powinien on obejmować listy wiadomości dla grup, numery telefonów lub inne mechanizmy wykorzystywane do zapewnienia komunikacji w obrębie rozszerzonego zespołu. W książce adresowej potrzebne są także dane ekspertów ds. bezpieczeństwa, reagowania na incydenty i zarządzania tożsamością — wewnętrznych lub zewnętrznych.

Trzeba również ustalić, kto w takiej sytuacji będzie uprawniony do podejmowania decyzji. Przedsiębiorstwa muszą jeszcze przed wystąpieniem incydentu określić, kto zadecyduje o odtwarzaniu danych lub przełączaniu awaryjnym. A po podjęciu decyzji o odtworzeniu trzeba przeprowadzić dodatkowe kontrole bezpieczeństwa przed ostatecznym przywróceniem działania systemów. Należy też określić, czy najlepszym rozwiązaniem jest odtworzenie całej maszyny wirtualnej, czy poszczególnych plików. Ponadto proces odtwarzania musi przebiegać w sposób bezpieczny — wszystkie systemy muszą być skanowane pod kątem wirusów i szkodliwego oprogramowania, a po ich odtworzeniu użytkownicy powinni zmienić swoje hasła.

Mimo że ataki ransomware stają się dominującym zagrożeniem w całym sektorze usług finansowych, istnieją określone kroki, które można wykonać, aby ograniczyć ryzyko i przygotować się na najgorszy scenariusz. Dysponowanie odpowiednim planem awaryjnym ma obecnie ogromne znaczenie dla skutecznego odpierania ataków cyberprzestępców przez przedsiębiorstwa.

Autorzy: Rick Vanover, dyrektor ds. strategii produktów, i Gary Mitchell, wiceprezes na region ANZ