Tylko jedna na sześć firm na świecie testuje możliwość odzyskiwania danych w razie awarii – wynika z raportu “Veeam Ransomware Trends Report 2022”. Brakuje właściwych procedur na wypadek ataku, wiele przedsiębiorstw zaniedbuje też kwestię sprawdzania kopii zapasowych i powiązanych procesów.

Cyberprzestępcom udaje się zaszyfrować średnio niemal połowę danych biznesowych, a ofiary są w stanie odzyskać tylko 72 proc. z nich, pokazały wyniki badania zebrane w raporcie Veeam. W Polsce sytuacji nie ułatwia fakt, że firmy wciąż w niskim stopniu korzystają z chmury do zabezpieczania swoich danych, zwraca uwagę Andrzej Niziołek, dyrektor regionalny na Europę Wschodnią w firmie Veeam.

W skali globalnej jedna na pięć firm, które posiadały kopię zapasową, mogła zacząć odzyskiwanie danych w mniej niż godzinę po ataku. W przypadku połowy firm było to od 2 do 4 godzin. 11 proc. firm nie mogło skorzystać ze swoich kopii zapasowych w ogóle. Proces przywracania wszystkich zasobów w przypadku 7 proc. firm trwał mniej niż tydzień. Co trzecia firma potrzebowała na to od jednego do dwóch tygodni, a 22 proc. nawet miesiąc. Tak długi czas związany jest ze skalą zasobów, które trzeba przywracać, ale też z koniecznością upewnienia się, że przywrócone zasoby są „czyste” a zagrożenie zostało całkowicie zniwelowane, zaznacza ekspert Veeam.

Badanie Veeam wykazało też, że wiele firm zaniedbuje kwestię sprawdzania kopii zapasowych przed ich przywróceniem. Mniej niż połowa przedsiębiorstw po ataku ransomware przywraca dane do wyizolowanego środowiska (ang. sandbox) i testuje na obecność złośliwego oprogramowania przed ich wprowadzeniem do systemu. Co czwarta firma przywraca dane od razu i dopiero wtedy skanuje je pod kątem bezpieczeństwa. Kolejnych 7 proc. po przywróceniu danych jedynie monitoruje zasoby.

Procedury reagowania na wypadek incydentów związanych z cyberbezpieczeństwem, nie są stosowane na szeroką skalę. Jedynie 37 proc. przedsiębiorstw deklaruje, że posiada dodatkowe egzemplarze kopii zapasowych, a 35 proc. regularnie sprawdza backup. Tylko 27 proc. ma przygotowaną ścieżkę decyzyjną na wypadek ataku. Co czwarta firma dysponuje też planem komunikacji z pracownikami, klientami i interesariuszami. Podobny odsetek dba o plan izolacji i alternatywną infrastrukturę jak np. serwery czy pamięć masowa. Dla 20 proc. firm częścią strategii reagowania na atak jest wciąż zapłata okupu.Trzeba jednak wyraźnie zaznaczyć, że taka taktyka napędza kolejne ataki i nie daje żadnej gwarancji, że zasoby zostaną odzyskane. Cyberprzestępcy, nawet jeśli otrzymają zapłatę, nie są zobowiązani do odszyfrowania danych i jest duża szansa, że zdecydują się tego nie robić”, przestrzega Andrzej Niziołek.

Wciąż widoczne są też spore braki w łączeniu działań zespołów odpowiedzialnych za cyberbezpieczeństwo i tych, które odpowiadają za kopie zapasowe. 21 proc.  szefów ds. bezpieczeństwa informacji i dyrektorów IT zauważa, że strategia cyberbezpieczeństwa ich firmy nie jest połączona ze strategią przywracania działalności po awarii. Tylko jedna na cztery firmy przyznaje, że ma w pełni zintegrowaną strategię przygotowania na cyberatak i przywracania działalności po awarii. U 17 proc. przedsiębiorstw integracja tych obszarów jest na niskim poziomie.

Jak firmy mogą się chronić? Kluczowe jest przygotowanie i regularne testowanie przez firmę planu przywracania działalności na wypadek ataku. Podstawową zasadą zawsze powinno być nie płacenie okupu, gdyż nie gwarantuje to odzyskania dostępu do zasobów. Jedyny scenariusz, jaki powinny zakładać firmy, to przywrócenie danych i działalności z pomocą backupu. Trzeba przy tym pamiętać, że cyberprzestępcy na celownik biorą nie tylko firmowe dane, ale też ich kopie zapasowe – czasem to ich główny obiekt zainteresowania. Kluczowe jest zrozumienie, że nawet najbardziej dopracowany proces tworzenia backupu nie pomoże, jeśli firma nie będzie mogła przywrócić zasobów z kopii zapasowej.

Dlatego, radzi ekspert Veeam, należy konsekwentnie stosować zasadę 3-2-1-1-0: powinny istnieć co najmniej trzy kopie ważnych danych na dwóch różnych rodzajach nośników. Przynajmniej jedna z nich powinna się znajdować poza siedzibą firmy, w trybie offline, być odizolowana od sieci lub niezmienialna. Ważne jest też upewnienie się, że kopie zapasowe zostały wykonane bezbłędnie (stąd „0” w zasadzie). Jeśli firma ma kopię, której nie można zmodyfikować – np. na niezmiennym nośniku lub odizolowaną od sieci (air-gapped), w razie ataku zespół IT może szybko odzyskać dane, nawet jeśli przestępcy za cel obrali też backup.

Badanie ankietowe będące podstawą raportu zostało przeprowadzone w styczniu 2022 r. na zlecenie firmy Veeam wśród 1 tys. specjalistów IT (CISO, specjaliści ds. zabezpieczeń, administratorzy kopii zapasowych i specjaliści ds. operacji IT).

(grafika tytułowa – źr. Pixabay)

Napisane przez Stefan Kaczmarek