Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam
69% firm na świecie, które zapłaciły w ciągu ostatniego roku okup cyberprzestępcom, zostało zaatakowanych ponownie – wynika z raportu Veeam 2025 Ransomware Trends and Proactive Strategies Report. Pod presją czasu i z obawy przed konsekwencjami wiele przedsiębiorstw decyduje się ulec szantażystom. To jednak nieskuteczna strategia: niemal co piąta badana przez Veeam firma (17%) mimo zapłaty i tak nie odzyskała swoich danych. Najskuteczniejszą formą ochrony przed skutkami ataku ransomware pozostaje kompleksowa strategia odporności danych oraz jasno zdefiniowana formalną procedurą podejmowania decyzji w sprawie zapłaty okupu. Jednak tylko 26% organizacji deklaruje, że ją posiada.
Atak ransomware jest dla każdej firmy momentem o znaczeniu krytycznym
Infrastruktura przestaje działać, zespół ds. bezpieczeństwa pracuje pod presją, a przestępcy prowadzą w tym czasie grę psychologiczną stosując wyrafinowane metody socjotechniczne. Jak wskazuje raport Veeam, na sile przybierają ataki wykorzystujące tzw. podwójny szantaż.
Cyberprzestępcy nie tylko szyfrują dane, ale je również wykradają, a następnie grożą ich ujawnieniem. Coraz częściej również „dwell time”, czyli czas między włamaniem się do infrastruktury firmowej a rozpoczęciem właściwego ataku, jest skrócony do mniej niż 24 godzin. W warunkach stresu i strachu przed skutkami prawnymi, finansowymi oraz wizerunkowymi cyberataku, wiele firm decyduje się spełnić żądania dotyczące płatności okupu.
Samonapędzająca spirala
Zapłata wcale jednak nie gwarantuje zakończenia problemu. Spośród podmiotów przebadanych przez Veeam, które zdecydowały się przekazać pieniądze, 17% i tak nie było w stanie przywrócić swoich danych. Dodatkowo niemal siedem na dziesięć firm, które uległy szantażystom, padło ofiarą więcej niż jednego cyberincydentu. Zapłata okupu daje przestępcom jasny sygnał: jeśli przedsiębiorstwo zachowało się tak raz, to istnieje duże prawdopodobieństwo, że w razie kolejnego ataku również to zrobi. W dłuższej perspektywie działa to jak zaproszenie do powrotu, zarówno dla pierwotnych napastników, jak i ich naśladowców.
Każdy przelew wykonany na rzecz cyberprzestępców przyczynia się do rozwoju tego sektora i staje się źródłem dochodu pozwalającym finansować kolejne kampanie. Dlatego coraz więcej międzynarodowych instytucji wzywa do przerwania tej spirali. Działająca od 2021 roku organizacja Counter Ransomware Initiative (CRI) zrzesza 68 krajów i koordynuje działania ograniczające skutki ataków ransomware oraz zniechęcające firmy do płacenia okupu. W niektórych krajach – m.in. Wielkiej Brytanii, a także w części stanów USA – wprowadzono regulacje prawne zabraniające płacenia okupu przez agencje sektora publicznego. Coraz częściej więc taka decyzja może oznaczać nie tylko konsekwencje biznesowe, ale także ryzyko naruszenia przepisów prawa.
Jeśli nie zapłata, to co pozostaje?
W obecnych realiach prowadzenia biznesu, gdy zagrożenie cyberatakiem to już nie kwestia „czy”, ani nawet „kiedy”, a „ile razy”, firmy muszą pamiętać, że najlepszą formą ochrony przez skutkami incydentu bezpieczeństwa jest być na niego przygotowanym. Co to oznacza w praktyce?
Po pierwsze posiadanie kompleksowej strategii odporności danych oraz wyszczególnienie w niej dobrych praktyk zarządzania nimi, takich jak ich odpowiednie oznaczanie, lokalizacja i bezpieczne przechowywanie, a także regularne tworzenie i aktualizowanie kopii zapasowych. Czysty i bezpieczny backup wraz ze sprawdzonym i przez to szybkim procesem odzyskiwania danych to niezawodny sposób zwiększania poziomu ich odporności i ochrony całej firmy przed cyberatakami.
Istotne jest również aktywne działanie na rzecz wzmocnienia współpracy między działami IT i bezpieczeństwa w firmie. Ponad połowa podmiotów (52%) przebadanych przez Veeam wskazuje, że obszar ten w ich przedsiębiorstwach wymaga gruntownej przebudowy. Kluczowa jest również edukacja nie tylko zespołów technicznych, ale wszystkich pracowników na temat ewoluujących zagrożeń.
To nie jest czas na panikę
Podstawowym elementem przygotowania na cyberatak powinien być playbook, czyli zestaw procedur i scenariuszy działania przed, w trakcie i po incydencie. W chwili największego stresu to właśnie ten dokument posłuży za narzędzie przemyślanej reakcji na zagrożenie. Dobra wiadomość jest taka, że jak wskazuje raport Veeam, 98% firm posiada playbook. Jednocześnie mniej niż połowa z nich uwzględnia w nim kluczowe elementy techniczne, jak weryfikacja kopii zapasowych i określenie częstotliwości ich wykonywania, alternatywna infrastruktura IT, gotowa do wykorzystania w razie awarii środowiska produkcyjnego czy plan izolowania lub odcięcia zagrożonych systemów, który pozwala ograniczyć rozprzestrzenianie się ataku.
Co więcej, tylko 26% firm posiada opracowaną formalną procedurę decyzyjną dotyczącą zapłaty okupu, a 30% firm ma ustalony „chain of command”, czyli łańcuch dowodzenia określający, kto i w jakiej kolejności podejmuje decyzje w sytuacji kryzysowej. To rozwiązanie zaczerpnięte z praktyki wojskowej – kiedy trwa atak, nie ma czasu na dyskusje. Każdy członek zespołu musi wiedzieć, komu raportować, kto podejmuje decyzję i kto ponosi za nią odpowiedzialność. Bez jasno określonych ról, nawet najlepszy plan może zawieść.
Test, którego nie można oblać
Zapłata okupu nie daje gwarancji ani odzyskania danych, ani bezpieczeństwa w przyszłości. Skuteczna reakcja na incydent zaczyna się na długo przed pierwszym kliknięciem przestępcy. Kluczowe są: jasna strategia, przetestowany plan działania i współpraca zespołów IT oraz bezpieczeństwa. Dziś ransomware to nie jednorazowy incydent, ale sprawdzian odporności całej firmy; od technologii, przez procesy, po ludzi. Przedsiębiorstwa, które przechodzą go z sukcesem, łączy jedno: wiedzą, co zrobić, zanim będzie za późno.