Negocjuje z cyberprzestepcami. Oto kulisy waman hakerow do polskich firm

To zależy od regionu. Najwyższe stawki dominują w USA i Europie Zachodniej – tam przeciętny okup w sektorze przedsiębiorstw wynosi kilka milionów złotych. W Polsce jest to przeciętnie około pół miliona złotych. Na przestrzeni tylko trzech lat średnia wartość okupu wzrosła około dwukrotnie. Zarówno oczekiwanego, jak i płaconego. Rozmawiamy o uśrednionych kwotach, ale warto zwrócić uwagę również na najwyższe kwoty. Podczas gdy w 2021 r. rekordowa wartość zapłaconego pojedynczego okupu wyniosła 40 mln dolarów, to w 2024 r. było to już 75 mln dolarów. Zapłaciła ją amerykańska firma farmaceutyczna Cencora, uzyskując 50 proc. rabatu. Przestępcy pierwotnie oczekiwali 150 mln dolarów. To zależy od sektora i ekspozycji na ryzyko. Statystycznie najbardziej skłonne do płacenia ofiary pochodzą z sektorów produkcji, energetyki, finansów, ochrony zdrowia. Nierzadko również usługi body-leasing czy kancelarie prawne. Najczęstsze powody, dla których ofiary negocjują z przestępcami to przywrócenie działalności, brak kopii zapasowych, obawa przed upublicznieniem danych. Średnio kilka dni. Najkrótsze negocjacje, które realizowałem to kilkadziesiąt minut, najdłuższe 14 dni. Przeważnie im niższa kwota, tym szybszy czas negocjacji. Jednak zdarzają się wyjątki. Prawie zawsze są prowadzone w języku angielskim, na komunikatorze, np. Telegram, Signal lub dedykowana strona internetowa w anonimowej sieci TOR. Nie wiadomo, kim jest osoba po drugiej stronie. Wystarczy, że na początek udostępni odszyfrowane próbki ukradzionych danych, by potwierdzić swoją wiarygodność. Jeśli jest to profesjonalna grupa, to profesjonalny negocjator może posiadać już bezpośrednie kontakty. Trzeba jednak pamiętać, że po drugiej stronie zdarzają się osoby profesjonalnie przygotowane do analizy sytuacji rynkowej ofiary. Przykładowo, nie jest dla nich problemem sprawdzenie kondycji finansowej ofiary na podstawie analizy jej sprawozdań finansowych dostępnych w KRS. Często profesjonalni atakujący analizują również bieżące dokumenty finansowe pobrane w trakcie ataku. Gdy w toku negocjacji dochodzi do porozumienia, następuje płatność. Najczęściej ofiary płacą bitcoinami Zawsze to są kryptowaluty. Różnego typu, ale najczęściej Bitcoin. Po płatności otrzymanej od ofiary profesjonalne grupy dokonują tak zwanego blendingu. Jest to operacja stosowana przez cyberprzestępców do anonimizacji kryptowaluty, aby utrudnić śledzenie środków przez organy ścigania. Polega na mieszaniu okupów z innymi kryptowalutami, aby zamaskować ich pochodzenie i umożliwić dalsze legalne wykorzystanie. Metaforycznie działa to podobnie do blendera kuchennego, który miesza różne składniki tak, że trudno później ustalić i wyodrębnić pojedyncze elementy. Jeżeli chodzi o mnie, nie dotykam pieniędzy stanowiących okup. Płatności w moim przypadku zawsze dokonuje ofiara lub osoba przez nią wynajęta, nie jest to skomplikowane. Natomiast praktyki na rynku negocjacji są różne. Koszty negocjacji są ustalane indywidualnie, według negocjatora i charakterystyki danej sprawy. Przeważnie ich wysokość stanowi część wynegocjowanego rabatu. Wynagrodzenie wypłacane jest pod warunkiem prawidłowej realizacji całego procesu, czyli włącznie z odszyfrowaniem danych. Odrębną kategorię spraw stanowią sytuacje, w której rolą negocjatora jest dodatkowo zapewnienie, że dane nie zostaną upublicznione. Wtedy wycena jest indywidualna, z niewielkim związkiem lub brakiem związku z wynegocjowanym rabatem. Profesjonalny negocjator to specjalista, który zna sposoby komunikacji i taktyki grup przestępczych, rozumie techniczne aspekty ataków i ma doświadczenie w prowadzeniu rozmów z cyberprzestępcami. W przeciwieństwie do pracowników, zaatakowanej organizacji, potrafi ocenić wiarygodność atakujących, zweryfikować ich możliwości techniczne, dopasować formułę komunikacji, wynegocjować niższy okup i jak już wspomniałem zapewnić, że po zapłacie dane zostaną odszyfrowane i nie zostaną ujawnione publicznie. Doświadczenie z podobnych spraw pozwala również uniknąć ryzykownych błędów, które mogłyby zaszkodzić firmie w przypadku prowadzenia negocjacji przez osobę niedoświadczoną. Takie sytuacje, niestety, również się zdarzają. Podjęcie decyzji przez kierownictwo czy płacić i kto ma koordynować proces negocjacyjny. Pomimo tego, że ta osoba ma koordynować, a nie negocjować, zawsze jest problem z ustaleniem, kto ma być tą osobą. Nie ma znaczenia, czy to jest podmiot prywatny, czy publiczny. Nie ma chętnych do stresu i odpowiedzialności. Najczęściej do negocjatora pada pytanie o to, czy płacić. Jednak to na ofierze spoczywa ta decyzja. Negocjator może wytłumaczyć, co się stało, kim są atakujący, nawiązać kontakt i wynegocjować rabat oraz pozyskać narzędzia deszyfrujące. Jednak decyzja o ewentualnym płaceniu okupu to decyzja biznesowa. Nikt inny niż ofiara nie wie lepiej, czy podjąć kontakt i negocjować, czy wykluczyć taki krok. Cyberbezpieczeństwo to ludzie To romantyczna wizja, która jest w pewnym dystansie od rzeczywistości. Rzadkością jest głębsza refleksja po zapłaceniu okupu, czy też chęć zrozumienia przyczyn i opracowanie działań, by zapobiec podobnym sytuacjom na przyszłość. Dominuje powrót do bieżącej działalności. Analizy powłamaniowe i poważna optymalizacja cyberbezpieczeństwa to rzadkość. Jeżeli już występują inwestycje w cyberbezpieczeństwo spowodowane reakcją na atak, to przeważnie nie są to działania profesjonalne. Ofiary najczęściej działają pod wpływem dwóch kryteriów: cena i czas. Nie zwiększają więc istotnie poziomu swojego bezpieczeństwa i nieszczególnie utrudniają przestępcom ich działania. To złożony problem. Przypominam sobie sytuację, gdy po zapłaceniu okupu administrator IT, jako remedium, zlecił pilny zakup oprogramowania za kilka milionów złotych. Zarząd zgodził się, bez żadnej pisemnej analizy, która wskazywałaby, że to właściwy krok. Po zrealizowanej inwestycji poproszono mnie o potwierdzenie, że taki atak już nie wystąpi. Problem w tym, że pod kątem cyberbezpieczeństwa ta inwestycja nie miała dosłownie żadnego związku z przyczyną i przebiegiem ataku. Takich sytuacji jest więcej. To zależy od skali i charakterystyki organizacji. Dla małych przedsiębiorstw koszty te mogą wynosić co najmniej kilkadziesiąt tysięcy złotych, dla średnich co najmniej kilkaset tysięcy złotych, dla dużych korporacji co najmniej kilka milionów złotych. Koszt wdrożenia dyrektywy NIS2 w dużej mierze zależy od infrastruktury IT. Jednym z głównych zadań jest audyt bezpieczeństwa, który polega na analizie potencjalnych zagrożeń i słabych punktów infrastruktury IT. Jeżeli firma nie posiada własnych kadr zdolnych do wykonania audytu, to koszt takiej usługi dla opisanej firmy wyniesie średnio kilkanaście tysięcy złotych. Wdrażanie dodatkowych wymagań, takich jak ustanowienie procesów zarządzania incydentami oraz opracowanie polityk bezpieczeństwa, to koszt od kilkunastu do kilkudziesięciu tysięcy złotych. Dodatkowo konieczne jest posiadanie narzędzi bezpieczeństwa (np. systemów wykrywania zagrożeń i zapór sieciowych), co może kosztować od kilkudziesięciu do kilkuset tysięcy złotych. Warto również mieć dostęp do specjalisty cyberbezpieczeństwa. Koszt zatrudnienia takiej osoby wynosi średnio kilkanaście tysięcy złotych miesięcznie, w zależności od kwalifikacji i miasta. Nie trzeba zatrudniać takiej osoby. Można obniżyć koszty i kupić zewnętrzną usługę wsparcia w tym zakresie, przykładowo na wybraną liczbę dni w miesiącu. Technologia jest istotna, ale najważniejszy pozostaje świadomy pracownik, który wie, jak rozpoznać zagrożenia, jak im przeciwdziałać i jak na nie reagować. Można je zrealizować formalnie lub faktycznie. Niektórzy kładą większy nacisk na dokumentację poświadczającą odbycie szkolenia niż nabycie świadomości i faktycznych kompetencji. Oprócz szkoleń teoretycznych cenne są warsztaty praktyczne i symulacje ataków, co podnosi poziom cyberodporności organizacji. Symulacje pozwalają na ocenę reakcji organizacji – identyfikują słabe ogniwa oraz sprawdzają, jak personel radzi sobie w sytuacjach kryzysowych. Po każdej symulacji świadomość zagrożeń wzrasta, a efektywność kolejnych symulacji jest coraz wyższa. Coraz więcej osób jest zainteresowanych tym, jak przestępcy przygotowują ataki, dzięki czemu lepiej rozumieją zagrożenia. Technologia, choć kluczowa, nie wystarczy bez świadomych użytkowników. Kluczowe jest dobranie odpowiednich rozwiązań, które skutecznie zmniejszą ryzyka. Należy jednak pamiętać, że cyberbezpieczeństwo to świadomość i zdolność do zarządzania zagrożeniami, a nie brak zagrożeń. Najczęstsze błędy to słabe hasła oraz niezaktualizowane oprogramowanie, które zawiera znane luki bezpieczeństwa. Popularnym sposobem ataku jest phishing, gdzie pracownicy otwierają podejrzane linki lub załączniki, co prowadzi do infekcji systemów. Brak uwierzytelniania wieloskładnikowego również zwiększa ryzyko przejęcia konta. Co więcej, błędy konfiguracyjne, takie jak otwarte porty czy zbyt szerokie uprawnienia, umożliwiają nieautoryzowany dostęp do systemów. Te podstawowe błędy sprawiają, że włamywacze mogą łatwiej uzyskać dostęp do sieci organizacji.