Hogyan vészelhető át egy zsarolóvírus támadás? - Esettanulmány

Az évi 50 milliárd forintos árbevételű, a közép-kelet-európai régió számos országában tevékenykedő ABC Zrt. zsarolóvírus áldozatává válik. A társaság projektmenedzsere azt tapasztalja, hogy valami nincs rendben, amikor leül az íróasztalához és látja, hogy a számítógépe nem működik. A monitoron csupán egy lakatot és egy nyugtalanító üzenetet lát. Fiktív esettanulmányunkban bemutatjuk hogyan játszódhat le egy zsarolóvírus támadás.

Businessman is working on Laptop.

Az évi 50 milliárd forintos árbevételű, a közép-kelet-európai régió számos országában tevékenykedő ABC Zrt. zsarolóvírus áldozatává válik. A társaság projektmenedzsere azt tapasztalja, hogy valami nincs rendben, amikor leül az íróasztalához és látja, hogy a számítógépe nem működik. A monitoron csupán egy lakatot és egy nyugtalanító üzenetet lát. Fiktív esettanulmányunkban bemutatjuk hogyan játszódhat le egy zsarolóvírus támadás.

A cégcsoport IT munkatársai felé az alkalmazottak az egész régióból ugyanezt a problémát jelzik. Ráadásul a napi szinten használt szoftverek hozzáférhetetlenné váltak, a cég gyáraiban leálltak a gépsorok, és ugyanez az üzenet olvasható minden egyes számítógépen.

„Fájljait titkosítottuk. Ha három napon belül nem fizet 5 millió dollárt bitcoinban, fájljai örökre elvesznek.”

Semmi kétség: a vállalat zsarolóvírus áldozata lett. Ez az egyre gyakoribb, súlyosabb és kifinomultabb kibertámadás fajta hetekre megzavarhatja a vállalat működését, üzemszünetet és több százmillió forintos helyreállítási költséget okozhat, de károsíthatja a vállalat hírnevét is. Megfelelő kiberbiztonsági tanácsadóval, valamint hatékony tervezéssel és előkészítéssel egy vállalkozás átvészelheti a vihart és lépéseket tehet működése, rendszerei, bevételei, valamint hírneve védelme érdekében.

Fizetni vagy nem fizetni?

A kritikus adatok blokkolásával és a rendszerek működésképtelenné válásával az ABC Zrt. tarthatatlan helyzetbe kerül. Szerződéses kötelezettségeit nem tudja teljesíteni, és az összeszerelő sorok üzemszünete miatt a vállalat minden percben bevételtől esik el.

A vezetőség kritikus döntés előtt áll: „Fizessünk-e váltságdíjat?”

Ehhez a döntéshez több tényezőt is figyelembe kell venni. Ezek közé tartozik az érintett adatok és rendszerek fontossága, az adatmentések elérhetősége és integritása, a váltságdíj mértéke a helyreállítás becsült költségéhez viszonyítva, a sikeres helyreállítás valószínűsége (függetlenül attól, hogy a váltságdíjat kifizetjük-e vagy sem), valamint a szabályozási vonatkozások. Egy azonban biztos: a jó tanácsadó és a megfelelő cyber biztosítás mindkét esetben elengedhetetlen.

Első szcenárió: Fizetünk a zsarolóknak

Az ABC azután dönt a váltságdíj kifizetéséről, hogy megállapította: rendszereinek, fájljainak és adatainak visszaállítása nem lehetséges, vagy rendkívül időigényes. A kiberincidens kezelésének koordinálására a vezetőség megbízást ad egy ügyvédi irodának, amely speciális szakértelemmel és tapasztalattal rendelkezik a zsarolóvírusok területén.

A specialista informatikusok aktívan vizsgálják az incidenst, és megpróbálják meghatározni annak hatáskörét, miközben azon dolgoznak, hogy korlátozzák a kártevő terjedését. Válságkezelési és PR-csapatok vesznek részt a hírnévkárosodás kezelésében.

Az ABC eközben a szükséges belső folyamatokkal és a harmadik felekkel való együttműködéssel is foglalkozik, hogy felkészüljön a kriptovaluta fizetésre. Eközben egy specialista tárgyalásba kezd a támadókkal az ABC nevében a fizetési követelések csökkentéséről és egy későbbi határidőről, ami sikerrel jár.

A cég készen áll a fizetésre, jogi és IT tanácsadóival együttműködve bitcoin kifizetést teljesít a kibertámadóknak négy nappal a zsarolóprogram-üzenet első megjelenése után. Cserébe informatikai csapata visszafejtő kulcsot kap a hálózathoz való hozzáférés visszaállításához. A munka azonban még korántsem ért véget. Hetekbe telhet, amíg a kulcsokat telepítik az ABC hálózatán, és visszaállítják az összes érintett rendszer teljes működését. Sőt, további vizsgálatokra is szükség lehet.

A biztonsági másolatokat újra kell konfigurálni és tesztelni, és előfordulhat, hogy vissza kell állítani adatokat. Az incidensek megismétlődésének megelőzése érdekében új hardverre vagy szoftverre is szükség lehet az informatikai rendszerek újratervezésének részeként. Az újratervezés célja az általános biztonsági környezet javítása és a jobb kiberbiztonsági védelem támogatása.

Hasznos lehet az ABC Zrt. számára egy Marsh közvetítéssel korábban megkötött kiberbiztosítás. A biztosítót azonnal tájékoztatni kell a zsarolásról, és a kifizetésről is szükséges egyeztetni velük. Az ABC cyber biztosítása visszatéríti a „váltságdíj” összegét és a rendezést segítő külső tanácsadók költségeit. A kötvény fedezi továbbá az incidens elhárítása során felmerülő ügyvédi díjakat, PR-költségeket és az adat-helyreállítási költségeket, csakúgy, mint a leállás során kieső bevételt és a működés fenntartása érdekében felmerülő többletköltségeket.

Ahogy az ABC visszatér a normális állapothoz, a gyártás és a többi funkció ismét működésbe lép.

Második szcenárió: Nem engedünk a zsarolásnak

A vállalat vezetése arra a következtetésre jut, hogy önerőből sikeres lehet a zsarolóvírus eltávolítása, és a cég képes lesz szinte teljesen felépülni az offline biztonsági mentések használatával. Egy külső IT szakértő bevonása után az ABC azt is megtudja, hogy a támadók szinte soha nem szállítanak működő dekódoló kulcsot. Ezen okok miatt az ABC úgy dönt, hogy nem fizeti ki a váltságdíjat.

Ehelyett az ABC külső tanácsadókkal – többek között a Marsh-sal, jogászokkal, igazságügyi szakértőkkel – együttműködve meghatározza a támadók jelenlétének mértékét a hálózatukon, valamint, hogy milyen adatok és rendszerek kerülhetnek veszélybe. Erőfeszítéseket tesznek a rosszindulatú programok visszaszorítására, valamint az érintett rendszerek elkülönítésére és helyreállítására. A hálózat tisztítása után az ABC lépéseket tesz a biztonsági mentések visszaállítására.

Az ABC kiberbiztosítása ugyanúgy hasznos, mintha a vállalat kifizette volna a váltságdíjat, hiszen ebben az esetben is fedezetet biztosíthat az incidensek kezelésére, az adatok visszaállítására, az üzemszünetre és a többletköltségekre.

Egy héttel a zsarolóvírus-üzenet első megjelenése után az ABC sikeresen megkezdi az alapvető rendszereihez és a biztonsági mentési adataihoz való hozzáférés visszaállítását, bár még sok tennivaló van hátra. Az ABC lépésről lépésre, hetek munkájával építi újjá az informatikai infrastruktúráját. Három hét elteltével a gyár működése 100%-os kapacitással folytatódik, és az érintett alkalmazottak teljes mértékben visszatérnek a munkába. Az ABC ismét fő küldetésére koncentrálhat, hogy kiváló minőségű árucikkeket szállítson vásárlóinak.

Biztosítási kárrendezés

Bármelyik szcenárió zajlott is le az eddigiekben, ha az ABC Zrt.-nek volt cyber biztosítása, akkor a következő lépés a kárrendezés. A Marsh az incidens kezelése során folyamatosan kommunikált az érintett biztosítóval. Az ABC csapata nekilát a veszteségbecslések rögzítésének, valamint a zsarolóvírus támadás során felmerült többletköltségek kalkulálásának. A kiberincidenshez köthető tevékenységek, erőforrások és döntések dokumentálása kulcsfontosságú az ABC sikeres kárrendezése szempontjából. A Marsh végig támogatja a folyamatot a biztosítási kártérítés maximalizálása érdekében, majd rajta keresztül az ABC benyújtja a kártérítési igényt a biztosítóhoz, amely megtéríti az incidens ésszerű és szükséges költségeit.

A kibertámadás utáni lépések

A kibervédelem érdekében az végső teendő egy utólagos felülvizsgálat elvégzése, ami egy kritikus lépés annak biztosítására, hogy az ABC tanuljon az incidensből és felkészültebbé váljon egy jövőbeli támadásra. A cég cselekvési tervet dolgoz ki kiberbiztonságának szigorítására: további adathalász teszteket végez, új többtényezős hitelesítést vezet be stb., valamint a kiberbiztosítási limiteket is újraértékeli. A Marsh és a vállalat maga is felülvizsgálja az ABC kiberincidensekre vonatkozó reagálási tervét, és frissíti a zsarolóvírus elleni védelemmel kapcsolatos belső útmutatásait.

Az eredmény

Az ABC felkészültebb és védettebb egy jövőbeli zsarolóvírus-támadással és általánosságban a kiberfenyegetéssel szemben.

A szerzők, Orbán Éva és Németh Csaba, a Marsh Kft. cyber biztosítási szakértői.

Author(s):

Image placeholder

Eva Orban

Vice President

Image placeholder

Csaba Németh

Vice President, Corporate Client Practice