KOLIK STOJÍ ÚTOK RANSOMWAREM?

 

Chceme-li se správně rozhodnout, zda a jak investovat do bezpečnosti, je vždy důležité posuzovat rizika a jejich možné dopady na naši činnost. Proto si popišme jeden útok z praxe na fiktivní firmě – údaje jsou pozměněny – není v zájmu dotčené firmy, aby byly tyto informace zveřejněny.

Firma, činnost: VIS, s.r.o.,
Oblast podnikání: Vývoj informačních systémů
Počet lidí: 50
Počet IP adres: 75
Útok ransomware: 1.11.2019
Trvání obnovy: 10 dní
Náklady: Ušlé mzdy za 10 dní, zvýšené nároky na práci za ztracený čas, ztracené zakázky, nájem, energie apod.

Firma neprovedla žádné forenzní aktivity, které by odhalily vektor útoku. Názorem jejich správce je, že došlo k útoku na otevřený RDP. Zaměstnanci často uživatelské účty s administrátorskými právy. Neexistuje dohled nad jejich správou (eskalací a deeskalací), což vede ke zvýšené zranitelnosti celku. Nelze ale ani vyloučit, že došlo k napadení přes phishingový e-mail nebo napadenou webovou stránku, na které mohl někdo z neopatrnosti kliknout.

Kalkulace nákladů:
Pro jednoduchost počítejme 50 vývojářů s průměrným platem 50 000 Kč.
Firma je složena převážně z IT odborníků, kteří pracovali 10 dní na obnově systému. Pokud by šlo o firmu z jiného oboru, byly by náklady vyšší, protože by nedisponovala patřičnými odborníky, takže by je musela hledat externě. Zaměstnanci by nemohli pracovat a správce (firma spravující systém) by účtoval vyšší náklady než jen mzdové. Pravděpodobně by to trvalo déle a bylo by to dražší.

Náklady za 10 dní

Mzdy1 250 000 Kč
Sociální a zdravotní pojištění425 000 Kč
Nájmy a služby55 000 Kč
Následné přesčasy pro eliminaci a penále ze zakázek270 000 Kč
Ušlé zakázky% Kč (nepočítáme)
CELKEM2 000 000 Kč

Tedy:
Přestože když nepočítáme některé ztráty, které na firmu pravděpodobně dopadnou, dostaneme se v modelovém případě na hodnotu 2 mil. Kč. Při vyčíslení dalších dopadů ji snadno přesáhneme.

Po 10 dnech byl obnoven systém a firma začala fungovat. Jakou ale mají jistotu, že se zálohou také neobnovili ransomware? Bez provedené forenzní analýzy nemáme jistotu žádnou! Podle expertů přebývá ransomware a podobný malware v systému třeba půl roku, než se projeví! Pokud neprovedeme podstatnou změnu v úrovni informační bezpečnosti firmy, budeme muset do budoucna počítat se zvyšujícím se rizikem takových útoků.

Je dobré si uvědomit, že šlo o firmu, která je plná IT odborníků. Přestože měl jejich systém bezpečnostní mezery, nebyl postaven špatně. Zálohy fungovaly a obnova se z větší části podařila. Šlo v podstatě o výjimečný případ: v praxi často vidíme, že zálohy jsou vystaveny stejnému riziku napadení, jako ostatní síťové prostředky, není stanoven havarijní plán a zálohy se netestují. Při jejich ztrátě by trvala obnova mnohem déle a výsledné náklady by mohly být snadno dvoj – i vícenásobné. Existují i případy, kdy jsou nenahraditelné.

Když se nad tím zamyslí odpovědná osoba, není to vůbec příjemná úvaha.

  1. Kolik by třeba stálo zastavení výrobní firmy, při použití nepřerušitelných technologií, nebo třeba komplikovanější logistiky, dodávek just-in-time?
  2. Na kolik přijde případné penále za nesplnění termínů? V dnešní době, kdy jsou i běžné stroje ve výrobě ovládané IT prostředky a připojeny do sítě!