Платить вымогателям или нет?

Платить вымогателям или нет?

На очередном мероприятии, где я выступал с рассказом о стратегии борьбы с шифровальщиками, и поднял тему об оплате выкупа вымогателям, завязалась дискуссия, в которой я отстаивал точку зрения, что оплата выкупа - это бизнес-решение, а мои оппоненты, сплошь одни безопасники, защищали противоположную точку зрения, что платить вымогателям нельзя, тем самым мы стимулируем их на совершение еще больших преступлений. И поскольку такие дискуссии завязываются достаточно часто, я попробую сформулировать свои тезисы в виде заметки, чтобы потом просто давать всем ссылку :-)


Для начала стоит определится с простым тезисом - хорошо выстроенная система резервного копирования обойдется дешевле выкупа в большинстве случаев. Как-то несколько лет назад, на Ramsomware Summit в Сан-Франциско, почти все эксперты по ИБ, не сговариваясь, утверждали, что единственным эффективным способом борьбы с шифровальщиками является резервное копирование (вопрос шифрования или уничтожения резервных копий оставим в стороне). Но сейчас не об этом. Допустим такой системы нет и мы все-таки столкнулись с шифровальщиком и распространяющая его группировка требует выкуп. Платить или нет? Кстати, на том же саммите представитель ФБР допускал возможность оплаты выкупа, что уже говорит о многом. В своих бюллетенях ФБР повторяет эту мысль.

Если следовать набившей оскомину идее, что ИБ должна говорить с бизнесом на его языке и быть вообще бизнес-ориентированной, то и проблему выплаты выкупа надо рассматривать как проблему бизнеса и приравнивать ее к "платить за переход к облакам или нет", "платить за кофе или нет", "поднять зарплату или нет", "открыть новый офис или нет". Я не призываю всегда платить вымогателям, но прекрасно осознаю, что это вполне реальная опция. Особенно если отбросить банальности и эмоции. Если бы шифровальшик зашифровал фотографии моих детей с самого их рождения и у меня не было бы резервной копии, то мой ответ на вопрос "Заплачу ли я?" вполне мог бы быть положительным. Если такой ответ рассматриваете как возможный и вы (наряду с другими опциями), то при ответе на стоящий в заголовке заметки вопрос нам надо будет ответить на ряд сопутствующих вопросов, а именно:
  1. Уверены ли мы, что нам пришлют ключи для расшифрования? Бывает так, что не присылают. Да, неприятно. Но это как вы инвестировали в запуск нового продукта, а он провалился в продаже и не окупился. Это бизнес - деятельность на свой страх и риск. Правда, в случае с шифровальщиками лучше все-таки проконсультироваться со специалистами по ИБ, которые могут иметь статистику по случаям отказа от отправки ключей шифрования для тех или иных шифровальщиков.
  2. Уверены ли мы, что ключи шифрования помогут и в реализации шифрования нет ошибок? Для этого надо побепокоиться о пробниках, которые многие группы присылают для демонстрации своих "добрых намерений".
  3. Какие из пострадавших систем требуют скорейшего восстановления и за какие из них нам надо заплатить выкуп (да-да, в процессе переговоров, вы можете поторговаться и определиться не только с суммой выплаты, но и с набором возвращенных данных)? Например, если атака накрыла финансовые системы за неделю до сдачи финансовой отчетности, то сможет ли финансовый департамент выполнять свои обязанности? У вас вообще есть альтернативные процедуры и процессы на случай простоя/остановки ваших вычислительных систем? 
  4. Как быстро вам нужно восстановить доступ? В истории с Colonial Pipeline жертва заплатила выкуп не потому, что у нее не было резервной копии, а потому что процесс восстановления из нее шел очень медленно. И это, кстати, ставит перед нами другой вопрос - а мы вообще тестируем систему восстановление из резервных копий или делаем это только после успешной атаки шифровальщика? Да, тестирование восстановления - это процесс недешевый, но все равно он обойдется дешевле выкупа. Хорошей метрикой для оценки состояния в этой области будет "% систем, для которых за прошедший год было проведено тестирование восстановления из резервной копии".
  5. Есть ли что-то в зашифрованных и утекших данных (а шифровальщики часто выкачивают все данные для последующего шантажа жертв), чтобы мы не хотели делать достоянием гласности? Может быть у нас есть все бэкапы, но мы не хотим, чтобы кто-то узнал о наших секретах - двойной бухгалтерии, "грязном белье", ноу-хау, списках клиентов и условиях работы с ними и т.п.
  6. Не будет ли данная оплата рассматриваться как финансирование терроризма или экстремизма, а для госорганов - как нецелевое расходование средства? В России скорее всего нет (я надеюсь), но лучше уточнить у юристов и финансистов этот вопрос.
  7. Кто будет договариваться и как платить? Есть ли у вас криптовалютный кошелек (если вы будете платить сами) или за вас будет платить специально нанятая компания или даже страховая? Ответ на вторую часть вопроса зависит от того, насколько для вас критична публичность? Не надо ли вам вносить это в публичную отчетность? Не находится ли получатель денежных средств под санкциями (актуально для дочек американских компаний)?
На картинке выше EY преставил свое видение процесса, позволяющего вам лучше подготовиться к выплате выкупа. Хотя мне кажется он не полным и я бы добавил в него несколько дополнительных элементов/вопросов из блок-схемы Cisco Talos.


В любом случае я хочу вновь повторить свой тезис. Выплата выкупа - это вопрос, который решает бизнес в конкретной ситуации и опираясь на всю полноту имеющейся информации. Решит бороться с последствиями и вручную восстанавливать данные, как мэр Балтимора в мае 2019-го года, который отказался заплатить 76 тысяч долларов вымогателям и в итоге восстановление всех городских систем обошлось бюджету в 18,2 миллиона долларов, так тому и быть. Решит обратиться к страховой компании (если раньше был застрахован), отлично. Решит заплатить? Ну что ж. Это тоже возможная опция, которую нельзя сбрасывать со счетов. И она может оказаться наименее затратной из всех. Американская Атланта  в марте 2018-го года столкнулась с SamSam и, отказавшись заплатить 51 тысячу выкупа, потратила на восстановление своей инфраструктуры 17 миллионов. Взвешивать все "за" и "против" бизнесу, а безопасность должна беспристрастно подготовить все необходимые данные для принятия решения. 

ЗЫ. "А я буду настаивать, что платить выкуп ни в коем случае нельзя", - продолжаете стоять на своем вы. Но, стоя на своем, помните, что бизнес может задать встречный и вполне закономерный вопрос: "А как ИБ допустила, что шифровальщик натворил таких дел?". Поэтому стоять на своем может быть больно :-) 

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь