Платить выкуп или нет – вот в чем вопрос?
Об ответственности компаний за утечки данных, о шантаже и последствиях невыплаты выкупа злоумышленникам, а также о том, как избежать вымогательства в современных реалияхСегодня количество атак с последующим требованием выкупа растет в геометрической прогрессии. Еще год назад злоумышленники просто сливали данные и продавали украденные базы в даркнете.
Теперь за неразмещение информации злоумышленники все чаще требуют выкуп, который может исчисляться миллионами долларов.
И этот тот тонкий момент, когда руководство компании должно решиться на ответственный шаг – заплатить преступникам и сохранить хотя бы часть своей и клиентской репутации или проявить принципиальность и расхлебывать ситуацию до конца. Издержки той и другой стороны обычно просчитать весьма трудно.
В финансовом плане последствиями утечек в России чаще всего становятся восстановление инфраструктуры компании и уплата штрафа. На сегодня наказание за утечку персональных данных пока минимальное, но все может измениться. Закон об оборотных штрафах уже на финишной прямой.
В США ответственность для компаний, допустивших утечку ПДн, более суровая. Это не только большие штрафы, траты на расследование произошедшего инцидента, но и выплаты по искам от пострадавших лиц.
Вообще, платить выкуп или нет – сложный вопрос. Ведь на кону чувствительная информация, размещение которой в общественном доступе может привести к непоправимым последствиям для репутации компании.
Какие это могут быть последствия?
Слив клиентских данных и продолжение шантажа
Буквально месяц назад, 2 октября, сеть медучреждений McLaren Health Care из Мичигана подверглась мощной кибератаке, в результате которой в руках злоумышленников оказались данные 2,5 млн клиентов клиники.
За свою халатность клиника поплатилась своей репутацией и репутацией клиентов. Но этого мало. На этом злоумышленники не остановились и начали шантажировать руководство тем, что продолжат преступную деятельность с помощью вредоноса, зашитого внутрь сети. Правда это или нет, покажет время. А пока в ближайшем будущем руководство компании может ждать новая порция слитых данных, нарушение работы систем, удаление важной информации или ее изменение. Кроме того, зараженные устройства могут стать стартовой площадкой для новых кибератак уже на другие объекты.
Потеря репутации и иски от клиентов
И вновь в эпицентре скандала медицинская компания – клиника пластической хирургии Hankins & Sohn Plastic Surgery Associates из Лос-Анджелеса.
На клинику были массово поданы иски от пострадавших клиентов в связи с размещением в сети их данных, в том числе обнаженных фотографий до и после операции с привязкой к конкретным именам и фамилиям.
Сразу после кражи дампов с персональными данными клиентов клиники, их историей болезни и откровенными снимками злоумышленники приступили к шантажу и вымогательству. Однако в данной схеме вымогать деньги они стали не у руководства клиники, а непосредственно у клиентов.
Некоторые клиенты отказались платить выкуп и их данные стали доступны в сети. Теперь отмывать лицо пострадавших придется самой компании. Кажется, такой поворот еще хуже, нежели единоразовый выкуп злоумышленникам.
ФБР спешно начало расследование взлома, в результате чего стало известно, что хакеры смогли проникнуть в инфраструктуру клиники еще в феврале 2023 года, однако тогда клиника заверила своих пациентов в том, что предприняла все необходимые шаги и что пользовательская информация в полной безопасности. Также до сих пор неясно, выполнялись ли клиникой требования по хранению персональных данных. При этом доподлинно известно, что ни один из опубликованных документов не был зашифрован.
Вскрытие «внутренней кухни» компании
В конце октября стало известно о взломе внутренней инфраструктуры Росгосстраха и краже порядка 400 ГБ данных.
Злоумышленники сообщили, что использовали вредоносное ПО, в результате чего им удалось получить доступ к очень большому массиву данных.
Преступники пытались торговаться с компанией, но руководство Росгосстраха не пошло у хакеров на поводу. Ожидаемо весь массив данных появился в открытом доступе.
Злоумышленники на этом не остановились и вскрыли всю «внутреннюю кухню» компании, выложив в сеть скриншоты интерфейса специализированного программного обеспечения, которым пользуются в компании для ведения коммерческой деятельности.
Признание инцидента и своей ответственности
В конце прошлой недели стало известно о еще одном инциденте. AlphV сообщили о взломе MeridianLink – поставщика системы выдачи кредитов и платформы цифрового кредитования для финансовых учреждений США.
Злоумышленники заявили, что проникли во внутреннюю инфраструктуру компании еще 7 ноября, однако руководством не было предпринято абсолютно никаких действий – ни обновлений безопасности, ни заявлений относительно произошедшего взлома, ни соответствующего уведомления об инциденте.
И это, возможно, первый случай, когда преступная группировка уведомила об инциденте, который произошел с их жертвой, – сообщила в Комиссию по ценным бумагам США (SEC).
Не совсем понятно, какие именно цели преследовали хакеры, но договориться руководству компании-жертвы с преступниками не удалось, а по факту поданного заявления признать инцидент-таки пришлось.
Итак, главный вопрос – платить ли выкуп злоумышленникам?
В начале ноября на ежегодном саммите более 40 стран договорились не платить выкуп злоумышленникам. Такая международная инициатива возникла на фоне роста числа атак программ-вымогателей во всем мире.
Это уже третья по счету подобная инициатива, которая пока ощутимых результатов не дает. Злоумышленники продолжают требовать выкупы за расшифровку данных и шантажировать владельцев украденной информации, а жертвы атак – платить откупные или расплачиваться своей репутацией с соответствующими финансовыми издержками на рынке.
Как избежать шантажа со стороны злоумышленников?
Шантаж – конечный этап длинной цепочки, которая начинается с ошибок в процессе обеспечения защиты инфраструктуры компании и заканчивается кражей важных данных и вымогательством за их неразглашение.
Поэтому с точки зрения информационной безопасности бороться с шантажом в некотором роде бессмысленно. Злоумышленники требовать выкуп от этого не перестанут.
Гораздо эффективнее своевременно заниматься своей безопасностью – вовремя выявлять слабости и уязвимости в информационных системах, закрывать выявленные уязвимости, тестировать свою инфраструктуру на готовность противодействовать современным кибератакам, а также выявлять активность злоумышленников на раннем этапе и тем самым предотвращать кибератаки.