Sektor finančních služeb je stále zranitelnější vůči ransomwaru

12. 8. 2020

Sdílet

Odvětví finančních služeb je dnes pro kybernetické zločince přitažlivým cílem. Je nasnadě, že informace o finančních, bankovních, obchodních a penzijních fondech spotřebitelů patří mezi nejdůležitější údaje, které dnes organizace vlastní.

V sázce je toho neuvěřitelně hodně, a tak musí sektor financí tato data řádně chránit a zabezpečovat. Neúspěch v této oblasti bude mít za následek neuvěřitelné poškození pověsti společnosti a obrovské finanční náklady.

 

V loňském roce se objevila zpráva, že finanční sektor byl druhým největším zdrojem uniklých dat mezi dubnem a červnem a za tento pouhý čtvrtrok došlo ke 42 závažným únikům z různých služeb.

 

Toto téma je ještě komplexnější pod tlakem globální pandemie a tzv. remote workforce (práce z domova). V únoru letošního roku informovalo australské centrum pro kybernetickou bezpečnost Australian Cyber Security Centre, že australské banky se staly terčem skupiny, která hrozí zahájením DoS útoků, pokud nebude zaplaceno výkupné.

 

Ačkoliv je ransomware pro organizace neuvěřitelně komplexní a obrovskou zodpovědností, lze podniknout následující kroky, které už preventivně dokážou riziko zmírnit:

 

1. Je potřeba porozumět hrozbě
 
Hlavní body vstupu do jakéhokoli podniku pro ransomware jsou následující: prostřednictvím protokolu RDP (Remote Desktop Protocol) nebo jiných mechanismů vzdáleného přístupu, phishingových e-mailů a zranitelnosti softwaru. Vědomí, že se jedná o tyto tři hlavní mechanismy, je obrovskou pomocí při zaměření oblastí, kam investovat co největší úsilí, abyste zajistili svoji odolnost z pohledu vektoru útoku.
 
Většina správců IT používá RDP pro svou každodenní práci, přičemž mnoho serverů RDP je přímo připojeno k internetu. Skutečností je, že s RDP připojenými k internetu je třeba přestat. Správci IT mohou svoji kreativitu vybít na speciálních IP adresách, přesměrování RDP portů, složitých heslech a dalších záležitostech. Data ovšem nelžou: přes RDP přichází více než polovina ransomwaru. To tedy znamená, že vystavování serverů RDP na internet není v souladu se strategií odolnosti vůči ransomwaru, která myslí dopředu.
 
Druhým častým způsobem průniku ransomwaru je phishingový e-mail. Všichni jsme už jistě viděli zprávu, která vypadala podezřele. Takovou položku byste měli odstranit. Nástroje pro vlastní hodnocení (self-assessment tools), mohou být v kombinaci se školením, které zaměstnancům pomohou identifikovat phishingové e-maily nebo odkazy, účinným způsobem obrany v první linii.
 
Třetí oblastí, která přichází do hry, je riziko zneužití zranitelných míst. Udržování aktuálnosti systémů je odpovědností starou jako IT samo, která je nyní důležitější než kdy jindy. I když to není atraktivní úkol, může se rychle stát dobrou investicí, pokud by ransomwarový incident zneužil známou a již „zalátanou“ zranitelnost.
 
2. Zálohujte data
 
S tím, jak je toho v sázce tolik, se organizace v odvětví finančních služeb musí také připravit na nejhorší scénář a nachystat si mimořádně odolné záložní úložiště.
 
Dobrým výchozím bodem pro obecnou strategii správy dat je pravidlo 3-2-1. Pravidlo 3-2-1 doporučuje, aby existovaly alespoň tři kopie důležitých dat, alespoň na dvou různých typech médií, přičemž alespoň jedna z těchto kopií bude tzv. off-site, tedy mimo geografickou polohu podniku. A to nejlepší na tom je, že toto pravidlo nevyžaduje žádný konkrétní typ hardwaru a je dostatečně univerzální k řešení téměř veškerých scénářů selhání.
 
3. Neplaťte výkupné
 
Navzdory těmto technikám musí být podniky stále připraveny čelit hrozbě, pokud bude zrealizována. Náš přístup je jednoduchý. Neplaťte výkupné. Jedinou možností je obnovit data. Organizace musí navíc naplánovat i svou reakci, když se hrozba zhmotní.
 
V případě katastrof jakéhokoli typu se jednou z prvních výzev, které je třeba překonat, stává komunikace. Mít plán, jak komunikovat s těmi správnými osobami mimo klasické on-line formy komunikace. Tento plán by měl zahrnovat skupinové seznamy v textové podobě, telefonní čísla nebo jiné mechanismy spojení, které se běžně používají ke komunikaci v rámci širšího týmu. V tomto kontaktním seznamu potřebujete také odborníky na bezpečnost, reakci na incidenty a správu identit – a to ať už interní či externí.
 
Je třeba ustanovit i rozhodovací autority. Podniky musí určit, kdo bude zodpovědný za rozhodnutí o obnově nebo failoveru, a to ještě předtím, než dojde k incidentu. Jakmile bude učiněno rozhodnutí o obnově, musí organizace před uvedením systémů zpět do provozu provést další bezpečnostní kontroly. Musí být také rozhodnuto, zda je nejlepším postupem obnova celého virtuálního počítače (VM), nebo zda má větší smysl obnova na úrovni souboru. Nakonec musí být samotný proces obnovy bezpečný, musí proběhnout úplné antivirové a antimalwarové kontroly ve všech systémech a je třeba donutit uživatele, aby si po obnově obnovili svoje hesla.
 
Přestože se ransomware stává nesmazatelně dominantní hrozbou napříč celým odvětvím finančních služeb, existují určitě kroky, které lze podniknout ke zmírnění rizika a přípravě na nejhorší scénář. V dnešní době je pro zajištění přežití a prosperity každého podniku nesmírně důležité mít k dispozici předem vyzkoušený zálohovací plán.

ICTS24

_____

Autoři pracují pro společnost Veeam Software - Rick Vanover jako Senior Director of Product Strategy, Gary Mitchell je viceprezidentem pro oblast Austrálie a Nový Zéland.