На очередном мероприятии, где я выступал с рассказом о стратегии борьбы с шифровальщиками, и поднял тему об оплате выкупа вымогателям, завязалась дискуссия, в которой я отстаивал точку зрения, что оплата выкупа - это бизнес-решение, а мои оппоненты, сплошь одни безопасники, защищали противоположную точку зрения, что платить вымогателям нельзя, тем самым мы стимулируем их на совершение еще больших преступлений. И поскольку такие дискуссии завязываются достаточно часто, я попробую сформулировать свои тезисы в виде заметки, чтобы потом просто давать всем ссылку :-)
- Уверены ли мы, что нам пришлют ключи для расшифрования? Бывает так, что не присылают. Да, неприятно. Но это как вы инвестировали в запуск нового продукта, а он провалился в продаже и не окупился. Это бизнес - деятельность на свой страх и риск. Правда, в случае с шифровальщиками лучше все-таки проконсультироваться со специалистами по ИБ, которые могут иметь статистику по случаям отказа от отправки ключей шифрования для тех или иных шифровальщиков.
- Уверены ли мы, что ключи шифрования помогут и в реализации шифрования нет ошибок? Для этого надо побепокоиться о пробниках, которые многие группы присылают для демонстрации своих "добрых намерений".
- Какие из пострадавших систем требуют скорейшего восстановления и за какие из них нам надо заплатить выкуп (да-да, в процессе переговоров, вы можете поторговаться и определиться не только с суммой выплаты, но и с набором возвращенных данных)? Например, если атака накрыла финансовые системы за неделю до сдачи финансовой отчетности, то сможет ли финансовый департамент выполнять свои обязанности? У вас вообще есть альтернативные процедуры и процессы на случай простоя/остановки ваших вычислительных систем?
- Как быстро вам нужно восстановить доступ? В истории с Colonial Pipeline жертва заплатила выкуп не потому, что у нее не было резервной копии, а потому что процесс восстановления из нее шел очень медленно. И это, кстати, ставит перед нами другой вопрос - а мы вообще тестируем систему восстановление из резервных копий или делаем это только после успешной атаки шифровальщика? Да, тестирование восстановления - это процесс недешевый, но все равно он обойдется дешевле выкупа. Хорошей метрикой для оценки состояния в этой области будет "% систем, для которых за прошедший год было проведено тестирование восстановления из резервной копии".
- Есть ли что-то в зашифрованных и утекших данных (а шифровальщики часто выкачивают все данные для последующего шантажа жертв), чтобы мы не хотели делать достоянием гласности? Может быть у нас есть все бэкапы, но мы не хотим, чтобы кто-то узнал о наших секретах - двойной бухгалтерии, "грязном белье", ноу-хау, списках клиентов и условиях работы с ними и т.п.
- Не будет ли данная оплата рассматриваться как финансирование терроризма или экстремизма, а для госорганов - как нецелевое расходование средства? В России скорее всего нет (я надеюсь), но лучше уточнить у юристов и финансистов этот вопрос.
- Кто будет договариваться и как платить? Есть ли у вас криптовалютный кошелек (если вы будете платить сами) или за вас будет платить специально нанятая компания или даже страховая? Ответ на вторую часть вопроса зависит от того, насколько для вас критична публичность? Не надо ли вам вносить это в публичную отчетность? Не находится ли получатель денежных средств под санкциями (актуально для дочек американских компаний)?
ЗЫ. "А я буду настаивать, что платить выкуп ни в коем случае нельзя", - продолжаете стоять на своем вы. Но, стоя на своем, помните, что бизнес может задать встречный и вполне закономерный вопрос: "А как ИБ допустила, что шифровальщик натворил таких дел?". Поэтому стоять на своем может быть больно :-)