Πως αντιμετωπίζεται από ένα ασφαλιστήριο cyber insurance ένα περιστατικό ransomware; του Ν Γεωργόπουλου cyRM MBA
To Ransomware είναι κακόβουλο λογισμικό που “κλειδώνει” τις λειτουργίες υπολογιστών και συστημάτων ενώ παράλληλα μπορεί να κρυπτογραφήσει δεδομένα και αρχεία, ζητώντας “λύτρα”, σε κάποιο κρυπτονόμισμα (πχ Bitcoins) , για να ανακτηθεί ο έλεγχος του υπολογιστή ή των συστημάτων και να χρησιμοποιηθούν ξανά τα μολυσμένα αρχεία.. Όπως έχει αποδειχθεί, είναι μια απάτη η οποία εξελίχθηκε από εγκληματικές οργανώσεις που δραστηριοποίουνται στο χώρο του κυβερνοεγκλήματος και επιδιώκουν παράνομο κέρδος.
Περιστατικά ransomware παρατηρούνται τον τελευταίο καιρό σε ιδιώτες, ελεύθερους επαγγελματίες (λογιστές , δικηγόρους, μηχανικούς, γιατρούς) και επιχειρήσεις (φαρμακευτικές, εταιρίες στοιχημάτων, νοσοκομεία).
Πως αντιμετωπίζεται από ένα ασφαλιστήριο cyber insurance ένα περιστατικό ransomware?
Ας δούμε το παρακάτω σενάριο
Ένας εργαζόμενος μιας βιομηχανίας ανταλλακτικών αυτοκινήτων έκανε κλικ σε ένα μολυσμένο Link που περιείχε ένα email που έλαβε και ένα malware κατέβηκε στον εταιρικό server. To Malware κρυπτογράφησε όλα τα αρχεία που περιείχε ο server.
Ενα μήνυμα εμφανίστηκε στον υπολογιστή του εργαζομένου ζητώντας την πληρωμή 7 Bitcoin (€10.900) στις επόμενες 24 ώρες για να παραλάβει το κλειδί αποκρυπτογράφησης των αρχείων.
Το συμβάν αυτό αποτελεί ένα Περιστατικό Παραβίασης Ασφάλειας Εταιρικού Δικτύου.
Η εταιρία τηλεφώνησε στην ασφαλιστική της εταιρία για να την ενημερώσει για το συμβάν και να ζητήσει βοήθεια για την διαχείρισή του. Ο Incident Response Manager που ανέλαβε την διαχείριση του συμβάντος επικοινώνησε με τους Forensic Investigators της ασφαλιστικής εταιρίας για να διερευνήσουν τις συνθήκες του περιστατικού και να γνωμοδοτήσουν αν η εταιρία μπορεί να αποφύγει την πληρωμή λύτρων.
Πιθανές Οικονομικές Επιπτώσεις - Καλύψεις Ασφαλιστηρίου που ενεργοποιούνται
Πρέπει να ενημερώνεται η Αρχή Προστασίας Προσωπικών Δεδομένων για αυτά τα συμβάντα;
Σε περίπτωση περιστατικών κυβερνοεκβιασμού πρέπει να ενημερώνονται οι αρμόδιες αρχές σύμφωνα με το νέο Κανονισμό Προστασίας Προσωπικών Δεδεμένων (GDPR), γιατί το περιστατικό αυτό αφορά παραβίαση ασφάλειας του εταιρικού δικτύου και δείχνει ανεπάρκεια των υφιστάμενων διαδικασιών της εταιρίας κατι το οποίο μπορεί να οδηγήσει και σε περιστατικά διαρροής προσωπικών δεδομένων.
Τι πρέπει να θυμόμαστε: Αν και το κόστος της πληρωμής λύτρων σε Bitcoin είναι μικρότερο από το κόστος που θα πληρώσει η ασφαλιστική εταιρία σύμφωνα με τους όρους του ασφαλιστηρίου, οι αστυνομικές αρχές (FBI , Europol) συνιστούν να μην πληρώνονται τα λύτρα σε περιπτώσεις κυβερνοεκβιασμού.
Η καταβολή των λύτρων αυξάνει την εγκληματικότητα και δείχνει την ανεπάρκεια διαδικασιών και πολιτικών της εταιρίας και την μη ύπαρξη back up. Επίσης δεν διασφαλίζει ότι μπορεί να γίνει η επαναφορά των αρχείων που έχουν κρυπτογραφηθεί ούτε ότι η εταιρία δεν θα ξαναγίνει στόχος σε σύντομο χρονικό διάστημα. Τα αντίγραφα των δεδομένων θα πρέπει να φυλάσσονται σε ασφάλες μέρος.
Η ασφαλιστική εταιρία αν χρειασθεί θα πληρώσει το ποσό των λύτρων σε Bitcoin θα είναι όμως η τελευταία επιλογή της