To, že investovať do kybernetickej bezpečnosti sa oplatí, je holý fakt. Niekedy stačí aj málo, aby bol útok odvrátený. Prax však ukazuje, že firmy to podceňujú. Predpokladajú, že sú pre útočníka nezaujímavé a stávajú sa tak ľahkým cieľom. Tým riskujú, že raz na svojom zariadení uvidia oznam: Boli ste napadnutý, zaplaťte výkupné, inak sa k svojim dátam nedostanete. V panike sa zaplatiť javí ako najjednoduchšia, ak nie jediná cesta. Je to však veľký OMYL!
Prečo nikdy nezaplatiť
Jednoducho povedané: kyberútočník je obyčajný kriminálnik, vaše dáta ho nezaujímajú. Zaujímajú ho iba vaše peniaze. Spoliehať sa na to, že svoje dáta získate späť, je viac ako naivné. „Je potrebné si uvedomiť, že útočný kód nie je produktom žiadnej serióznej softvérovej firmy, ktorý by prechádzal celým vývojovým cyklom od návrhu po testovanie. Je to iba kus kódu, ktorý ako-tak funguje. Prioritou je, aby dáta zašifroval, nikoho nezaujíma či ich dokáže aj dešifrovať,“ vysvetľuje etický hacker a expert na kyberbezpečnosť GAMO Ľubomír Kopáček. Útočníci radi používajú taktiku dešifrovania časti dát tzv. na ukážku. „Táto taktika je však absolútne nedôveryhodná a nevypovedá o ničom. Ďalším argumentom prečo neplatiť je fakt, že ak zaplatíte a neurobíte zároveň perfektné „vyčistenie“ napadnutých systémov, môžete s istotou počítať, že rovnaký incident sa čoskoro zopakuje,“ pokračuje Kopáček.
Toto sú jednoduché a logické vysvetlenia. No sú tu aj oveľa väčšie a závažnejšie riziká, ktorým obete môžu čeliť.
Podpora medzinárodného terorizmu
Pravidlom je, že útočníci požadujú zaplatenie výpalného vo forme kryptomien. Práve tie sú ideálnym platobným prostriedkom pre kybernetických zločincov, keďže identifikovať príjemcu je väčšinou nemožné. Sú známe prípady, kedy sa ich podarilo vypátrať, to však môžeme považovať za raritu.
Praktický problém spojený s platením v akejkoľvek kryptomene je, ako dostať takúto transakciu do účtovníctva. A teda ako legálne použiť firemné peniaze a útočníkovi zaplatiť. Hrozí aj pokuta z daňového úradu, keďže nemožno preukázať, na aké služby ste peniaze použili. Navyše nákup kryptomien nie je práve jednoduchý proces. Limitov je viac ako by sa na prvý pohľad zdalo. Napríklad vtedy ak útočník stanoví výpalné na 110-tisíc eur.
„Najskôr si musíte zabezpečiť peňaženku na kryptomeny, čo je obvykle ten najmenší problém. Stačí vám vo forme aplikácie do mobilného telefónu. Prvý limit, na ktorý narazíte, je limit platobnej karty pri nákupe kryptomien. Oficiálnym spôsobom takúto sumu jednorazovo nemôžete kúpiť,“ približuje Ľubomír Kopáček. Môžete ju jedine postupne nakupovať po menších čiastkach. Zároveň musíte ešte dúfať v dobrý kurz a rátať s transakčnými poplatkami. „Pri sume 110-tisíc by ste na transakčných poplatkoch zaplatili ďalších približne 12 až 20-tisíc eur. Vysoké sumy z hľadiska realizácie a nákladov predstavujú veľmi veľký problém,“ dodáva.
Nahlásiť či nenahlásiť incident
Určite je rozumné incident nahlásiť. Ak je obeť útoku regulovaná zákonom o kybernetickej bezpečnosti a incident je vyhodnotený ako závažný, je to dokonca aj zákonná povinnosť. Odborníci tiež odporúčajú podať aj trestné oznámenie, nakoľko je užitočné mať o celej záležitosti úradný záznam pre prípadné ďalšie problémy s inými úradmi (daňový úrad, sociálna poisťovňa, zdravotná poisťovňa a iné). „Mlčať pri incidente je nielen nerozumné, ale vo väčšine civilizovaných krajín aj protizákonné a môže to spoločnosť stáť ďalšie peniaze. Chápem že firmy vnímajú zdieľanie informácií o incidente ako možné reputačné riziko, avšak nezdieľanie informácií môže naopak firmám priniesť ešte väčšie problémy, ak sa o incidente napríklad verejnosť dozvie takpovediac náhodne,” pripomína IT expert GAMO.
V závislosti od sektora, v ktorom spoločnosť alebo organizácia pôsobia, môže byť regulovaná rôznou legislatívou, ktorá okrem iného nariaďuje ako postupovať v prípade kybernetických bezpečnostných incidentov. V určitých sektoroch dokonca spolupôsobí niekoľko zákonov a vyhlášok súčasne. Konkrétne zákon o kybernetickej bezpečnosti na úseku správnych deliktov môže uložiť pokutu od 300 do 300-tisíc eur pri zanedbaní povinností v súvislosti s bezpečnostným incidentom (nenahlásenie alebo neriešenie). Incident sám o sebe ešte nie je dôvodom na uloženie pokuty, dôvodom je zanedbanie povinností pri jeho riešení.
Tu je dôležité povedať, že zo strany štátu alebo Európskej únie, ktorá môže pokutu udeliť, by výška nemala byť v žiadnom prípade likvidačná, ale primeraná. Kyberútočník sa však otázkou, či vás jeho útok existenčne ohrozí, nezaoberá.
Prečo podať trestné oznámenie
Vo všetkých prípadoch útočník pri útoku upozorní, že nemáte kontaktovať políciu či tretiu stranu. Ak však svoje systémy a pracovné stanice nemôžete používať, môžete očakávať sankcie a pokuty za omeškanie z úradov. Či už zo sociálnej poisťovne alebo z daňového úradu, a pri nich musíte niečím preukázať, že sa skutok stal.
Takisto by ste napríklad postupovali, ak by vám niekto nabúral bránu pred domom. Zavoláte políciu, aby ste svojej poisťovni preukázali záznam z udalosti.
Zaplatiť útočníkovi teda určite nie je dobrá cesta. Všetkým úskaliam sa dá vyhnúť správnou prevenciou a investovaním do ochrany informačných systémov.
