Før de betaler en løsesum, bør hackede virksomheder overveje deres etik og værdier

De seneste cyberangreb i august på Bombardier Recreational Products og Ontario Cannabis Store fremhæver den fortsatte svøbe af cyberkriminelle og løsepenge.

Ransomware er et stykke malware – ondsindet software – kode, der kommer ind i et informationssystem og blokerer adgangen til computeren eller dens filer, indtil offeret betaler for at få en nøgle eller adgangskode. Ransomware var et begreb, der først kom ind i det populære leksikon for omkring 10 år siden (og det blev tilføjet til Oxford English Dictionary i 2018).

Det har nu udviklet sig, og i 2021 var der registreret 3.729 ransomware-klager, med tab på 49,2 millioner USD alene i udpegede kritiske infrastrukturer. Den gennemsnitlige ransomware-betaling steg 82 procent for at nå en rekord på 570.000 USD i første halvdel af 2021.

Og det bliver kun værre. FBI's Internet Crime Complaint Center rapporterede 2.084 ransomware-klager fra januar til 31. juli 2021 – en stigning på 62 % fra år til år.

For enhver organisation er cyberangreb ikke et spørgsmål om "hvis", men "hvornår":Et cyberangreb er uundgåeligt. Dette tvinger ledere til at spørge:Betaler vi løsesummen eller ej?

Omtrent halvdelen af ​​alle organisationer vælger at betale løsesum. Men det betyder også, at omkring halvdelen ikke gør det. Det, der gør dette til et særligt grimt problem, er, at der ikke er noget korrekt svar eller en klar struktur. Så spørgsmålet bliver:Under hvilke betingelser skal en løsesum betales? Og hvilke faktorer kan hjælpe ledere med at træffe denne beslutning?

Blokerer adgang

Der er fire kernehandlinger, som ransomware kan udføre, indeholdt i akronymet LEDS:Lås, Krypter, Slet eller Stjæl. Ransomware kan låse eller forhindre adgang til data eller et informationssystem, hvilket kræver en nøgle for at låse op. På samme måde kan det tillade adgang, men dataene er vrøvl, da de er blevet krypteret på plads, hvilket igen kræver en dekrypteringsnøgle for at gøre dem læselige. Data kan slettes på plads (slettes) eller sælges til højestbydende.

Det, der gør nutidens ransomware-angreb særligt skadelige og lumske, er, at de ofte implementerer mere end én af disse effekter.

Når først malware er indlejret i en organisations system, kontakter de kriminelle offeret, normalt via en anonym e-mail, eller gennem selve malwaren (pop-up-vindue) og kræver øjeblikkelig betaling af en løsesum i kryptovaluta og truer typisk med yderligere skade.

At betale løsesummen kan føre til, at der leveres en dekrypteringsnøgle, som, når den indtastes i pop-up-vinduet, straks låser systemet op og alt, hvad der er blevet krypteret.

Overvejelser før betaling

Der er to dimensioner, der skal tages i betragtning, når man beslutter sig for at betale en løsesum:den forretningsmæssige beslutning og den etiske.

Retshåndhævende myndigheder, inklusive FBI og RCMP, fraråder på det kraftigste at betale løsesum nogensinde. De gør det af to gode grunde:For det første belønner og opmuntrer det til kriminel aktivitet. For det andet kan det bringe organisationen yderligere i fare, når det bliver kendt i hackerkredse, at dette er en organisation, der er villig til at betale.

Med andre ord får det måske ikke forbrydelsen til at forsvinde og kan gøre dig endnu mere til et mål.

Hvis forbryderne ikke er en kendt terrororganisation, så er betaling af løsesum ikke en forbrydelse. Dette kan ændre sig, da nogle lande, især USA, foreslår vedtagelse af love om overholdelse af sanktioner, der kriminaliserer alle betalinger med cyber-løsepenge. Det kan være svært at tilskrive angrebet, hvorfor hackerne ofte identificerer sig selv over for deres ofre.

En ærlig forbrydelse

Der er et overbevisende forretningsgrundlag for at betale et krav om løsesum. Forbrydelsen virker, fordi den, hvis du vil, er en ærlig en. Det vil sige, at 70 procent af tiden vil betale en løsesum resultere i, at der leveres en gyldig dekrypteringsnøgle.

Dette giver mening. For at kriminelle kan drage fordel af denne bestræbelse, skal de vise god tro og holde deres løfte.

Det ved kriminelle også. Målrettede kampagner ser, at angribere i gennemsnit bruger næsten seks måneder inde i en virksomheds netværk, før de indfører løsesum for malware. De gør det for at sikre, at deres malware har inficeret så mange systemer som muligt, inklusive sikkerhedskopier; at identificere og udtrække de genstande af størst værdi; for at sikre, at de ikke efterlader spor; og for at indhente enhver virksomhedsintelligence (såsom hændelsesplaner eller forsikringspolicer). Dette giver dem mulighed for at bestemme den maksimale løsesum, der skal kræves.

Dette er essensen af ​​business case-beslutningen. Antag for eksempel, at omkostningerne ved en løsesum hændelse er estimeret til at være $500.000 (baseret på størrelsen af ​​databasen, tid til gendannelse, datavalidering ved inddrivelse og andre udgifter). Et krav om løsesum på $250.000 er klart et bedre alternativ, fordi det ikke kun er billigere, men hurtigere end alternativet.

Organisationer kan beregne omkostningerne ved forskellige hændelser og i princippet bestemme deres villighed til at betale for hvert muligt løsesumscenario. Dette fører til udviklingen af ​​det, der omtales som en ransomware-betalingsmatrix for organisationen.

Moralske dimensioner

Der er dog også en moralsk eller etisk dimension i denne beslutning. Betalinger til kriminelle er muligvis ikke i overensstemmelse med organisationens kerneværdier, kultur eller etiske kodeks. Selvom de er det, vil det måske ikke falde i god jord hos virksomhedens medarbejdere, kunder og andre interessenter.

Der er mange rammer og teorier, der omhandler etik på arbejdspladsen, og ledere skal benytte sig af en eller flere. Dette vil hjælpe dem med at træffe en beslutning om at betale en løsesum, fordi selvom det kan give god forretningsmæssig mening at betale en løsesum, er det måske ikke den rigtige ting at gøre for organisationen.

I stedet kan organisationen vælge at investere midler, der ellers ville gå til løsepengebetalinger, i uddannelse, cyberbeskyttelse og opgradering og patching-systemer.

Uanset beslutningen er det afgørende at undersøge alle muligheder i god tid, før der opstår cyberangreb. Dette inkluderer at holde drøftelser med medarbejdere, kunder og andre interessenter. Det omfatter også forsikringsselskaber (som i stigende grad afskyr at forsikre sig mod ransomware-hændelser) og retshåndhævende myndigheder.

At acceptere det uundgåelige af et cyberangreb og grundigt at udforske forskellige scenarier vil have den dobbelte effekt, at det ikke kun forbereder sig på angrebet, men giver mulighed for en mere effektiv reaktion, når det sker. + Udforsk yderligere

Nogle hackere tager løsesummen og løber:forskere

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.