Неплатёжеспособность или уплата выкупа: как правильно реагировать на атаки программ-вымогателей?

По мере того, как атаки программ-вымогателей становятся всё более распространёнными и изощренными, принятие решения о том, платить или не платить выкуп, становится всё более сложным.

Трудно сказать наверняка, какая доля жертв программ-вымогателей во всём мире переводит хакерам деньги. В некоторых отчётах за 2021 год эта цифра оценивается примерно в две трети случаев.

Выплата выкупа зачастую может показаться наиболее разумным способом решения проблемы. Однако крайне важно учитывать потенциальные последствия и долгосрочные последствия для бизнеса. Например, нет никакой гарантии, что выплата выкупа компенсирует нанесённый ущерб. Также выплата может стимулировать злоумышленников на новые атаки, если они видят готовность удовлетворить их требования.

Во многих случаях стоимость выкупа составляет лишь часть расходов, понесенных компанией. При этом, согласно разным исследованиям, общая стоимость смягчения последствий атаки в среднем в семь раз превышает сумму запрошенного выкупа.

Если злоумышленник намеренно запугивает компанию-жертву и хочет подорвать её экономику, выплата выкупа, вероятно, не станет лучшим решением. Особенно актуально это правило для инцидентов, затрагивающих геополитические риски. Кроме того, государственные организации чаще придерживаются именно политики неуплаты выкупа, какими бы ни были угрозы хакеров.

Общий ущерб атаки обычно зависит сразу от нескольких аспектов — стоимости выкупа, репутационных убытков и штрафов регулирующего органа. Когда дело доходит до потери данных, риск во многом зависит от конфиденциальности этих самых данных. Например, простые адреса электронной почты и имена клиентов или сотрудников компании гораздо менее ценны для злоумышленников, чем удостоверения личности, копии паспортов или медицинские записи.

А если злоумышленники понимают важность хранящихся у них данных, они, вероятно, потребуют более высокий выкуп. Например, в одном из отчётов IBM указывается, что утечка данных в сфере здравоохранения оценивается хакерами примерно в два раза дороже, чем утечки в других отраслях.

Независимо от того, решит ли компания платить или не платить выкуп, компании-жертве придётся вести переговоры со злоумышленниками. Эксперты советуют нанимать профессионального переговорщика, который знает, что говорить можно, чего точно не следует. Профессионал также лучше понимает, какую тактику стоит использовать. Правильные переговоры могут помочь выиграть время и понять, кто совершил атаку, какая информация похищена и какую цель преследуют преступники.

Решение не платить выкуп может показаться правильным поначалу, но всё может измениться по мере того, как жертва узнаёт больше об обстоятельствах нападения. Некорректная форма общения с хакерами может спровоцировать их прервать переговоры и поставить жертву в неловкое репутационное положение путём публичных высказываний.

На протяжении многих лет разные страны рассматривали возможность запрета выплаты выкупа. Например, после недавних кибератак на Medibank и Optus министр внутренних дел Австралии Клэр О’Нил заявила, что правительство Австралии рассмотрит вопрос о признании незаконным выплаты выкупа злоумышленникам. Но что, если стоимость выплаты выкупа меньше, чем ущерб, который причиняет бездействие? Тогда подобный закон может только сделать хуже.

Несмотря на постоянно меняющийся характер атак программ-вымогателей и различные мотивы злоумышленников, человеческий фактор, позволяющий эффективно вести переговоры, остаётся ключом к выходу из положения. Успешные переговоры со злоумышленниками имеют решающее значение для возможного ущерба компании-жертвы.

Компании всегда должны оценивать все преимущества и недостатки выплаты выкупа, а также изучать возможные альтернативные варианты. На кону, в конечном счёте, финансы и репутация компании, поэтому любое решение должно быть взвешенным. И принимать его стоит только после тщательного анализа всех возможных рисков.

А чтобы не пришлось решать столь сложные вопросы, подготовиться можно «ещё на берегу». Например, проводить с сотрудниками компании регулярные экскурсы по безопасности и рассказывать о трюках, которые обычно используют мошенники. Это сильно повысит шансы избежать компрометации сетей компании даже если злоумышленники прибегнут к социальной инженерии и прочим видам обмана.