Predstavte si, že jedného dňa prídete do práce, zapnete počítač a namiesto prístupu k firemným dokumentom uvidíte správu: "Vaše súbory boli zašifrované. Ak ich chcete späť, zaplaťte výkupné." Práca stojí, zákazníci čakajú, nervozita v tíme rastie. To nie je scenár z filmu, ale realita, ktorú zažívajú tisíce firiem po celom svete.

Čo je ransomvér?

Ransomvér je typ škodlivého softvéru, ktorý napadne firemné počítače, zašifruje dáta a požaduje výkupné za ich obnovenie. Kyberzločinci často žiadajú platbu v kryptomene, aby sa nedali vystopovať. Ak firma nezaplatí, riskuje stratu všetkých svojich údajov. Ak zaplatí, stále nie je isté, že dáta dostane späť – niektorí útočníci po zaplatení jednoducho zmiznú.

Ako často sa to deje?

Ak si myslíte, že takéto útoky sa týkajú len veľkých korporácií, ste na omyle. Ransomvér útočí na malé aj stredné podniky rovnako ako na veľké firmy. Prečo? Pretože menšie firmy majú často slabšie zabezpečenie a menej zdrojov na riešenie kybernetických hrozieb.

• Každých 11 sekúnd sa niekde na svete odohrá ransomvérový útok.
• 60 % malých a stredných firiem po závažnom kybernetickom útoku skrachuje do šiestich mesiacov.
• Priemerná výška výkupného sa pohybuje od desiatok tisíc do miliónov eur.

Aké sú dôsledky ransomvéru?

Kyberzločinci útočia na slabé miesta firiem a následky môžu byť katastrofálne:

• Strata dát – Firemná dokumentácia, zmluvy, zákaznícke údaje, faktúry – všetko môže byť zašifrované a neprístupné.
• Finančné straty – Okrem výkupného firma prichádza o príjmy, keďže zamestnanci nemôžu pracovať. Náklady na obnovu IT infraštruktúry môžu byť obrovské.
• Poškodenie reputácie – Ak uniknú citlivé údaje zákazníkov, dôvera klientov môže byť nenávratne poškodená. Nikto nechce obchodovať s firmou, ktorá nedokáže ochrániť svoje dáta.

Reálne prípady, ktoré ukazujú dopad na podnikanie

Ransomvér sa stal natoľko rozšíreným, že už neohrozuje len IT gigantov, ale aj nemocnice, právnické kancelárie či logistické firmy, pričom jeho dopady môžu byť katastrofálne. V roku 2021 útok na Colonial Pipeline v USA vyradil jednu z najväčších ropných infraštruktúr, čo spôsobilo masívny nedostatok paliva a prinútilo spoločnosť zaplatiť hackerom výkupné vo výške 4,4 milióna dolárov. O rok skôr sa obeťou ransomvéru stala britská finančná spoločnosť Travelex, ktorá po niekoľkotýždňovom výpadku stratila milióny libier a nakoniec vyhlásila bankrot. V Nemecku v roku 2020 ransomvérový útok ochromil nemocničné systémy, zablokoval prístup k zdravotným záznamom pacientov a znemožnil vykonanie urgentných operácií, čo viedlo k tragickému úmrtiu pacientky, ktorú museli previezť do iného zariadenia.

Ako funguje ransomvér a aké sú jeho varianty?

Ransomvér nie je len jeden typ škodlivého softvéru – kyberzločinci neustále vyvíjajú nové spôsoby, ako zašifrovať firemné dáta, paralyzovať chod spoločnosti a donútiť obete zaplatiť výkupné. Niektoré varianty sú jednoduché, iné vysoko sofistikované. Tu sú štyri najčastejšie druhy ransomvéru, s ktorými sa firmy môžu stretnúť.

Šifrovací ransomvér (Crypto ransomware)

Toto je najbežnejší a najnebezpečnejší typ ransomvéru. Po infikovaní systému zašifruje súbory tak, že ich bez dešifrovacieho kľúča nie je možné obnoviť. Obete uvidia výstražnú správu s požiadavkou na výkupné – zvyčajne v kryptomene, aby útočníci zostali anonymní.

Ako sa dostane do firmy?

Najčastejšie cez falošné e-maily, infikované prílohy, alebo škodlivé webové stránky. Zamestnanec si napríklad stiahne dokument s názvom "Faktúra_urgent.pdf", ktorý však spustí ransomvér a okamžite zašifruje firemné dáta.

Ako môže uškodiť?

V roku 2017 sa ransomvér WannaCry rozšíril po celom svete a infikoval viac ako 200 000 počítačov v 150 krajinách. Spôsobil výpadky v nemocniciach, továrňach a bankách – všetko kvôli jednej bezpečnostnej chybe v systémoch Windows.

Locker ransomvér

Na rozdiel od šifrovacieho ransomvéru neblokuje jednotlivé súbory, ale celý systém. Počítač sa stane nepoužiteľným, zamestnanci sa nemôžu prihlásiť a pracovať. Obvykle sa zobrazí správa typu:

"Váš počítač bol zablokovaný. Kontaktujte nás a zaplaťte poplatok, aby ste ho mohli znova použiť."

Ako sa dostane do firmy?
Najčastejšie cez infikované softvérové balíky alebo webové stránky. Stačí, ak si niekto v tíme stiahne nespoľahlivý program alebo pirátske kópie softvéru, ktorý obsahuje škodlivý kód.

Ako môže uškodiť?
V roku 2016 ransomvér Petya napadol veľké korporácie. Útočníci tvrdili, že ide o klasický šifrovací ransomvér, no v skutočnosti jednoducho zničili dáta – aj obete, ktoré zaplatili výkupné, už nikdy nedostali svoje súbory späť.

Dvojité vydieranie (Double extortion ransomware)

Niektorí útočníci idú ešte ďalej – okrem toho, že dáta zašifrujú, hrozia aj ich zverejnením. To znamená, že aj keď firma má zálohy a odmietne zaplatiť, stále riskuje, že citlivé údaje uniknú na internet.

Prečo je to nebezpečné?
Aj keby firma mala dobré zálohovanie a dokázala svoje systémy obnoviť, únik citlivých údajov môže viesť k:

• Právnym problémom – strata osobných údajov klientov môže porušiť GDPR a spôsobiť pokuty.
• Poškodeniu reputácie – ak sa obchodné tajomstvá alebo zákaznícke dáta objavia online, firma môže stratiť dôveru klientov.

Ako môže uškodiť?
Ransomvér Maze bol jedným z prvých, ktorý začal kombinovať šifrovanie dát a hrozbu ich zverejnenia. V roku 2020 napadol niekoľko veľkých firiem vrátane právnických kancelárií a technologických spoločností. Útočníci zverejnili časti ukradnutých údajov ako dôkaz, že svoje hrozby myslia vážne.

Ransomvér ako služba (RaaS – Ransomware-as-a-Service)

Podobne ako si firmy prenajímajú cloudové služby, aj kyberzločinci ponúkajú ransomvér „na prenájom“. RaaS umožňuje aj menej skúseným hackerom vykonávať útoky bez toho, aby museli sami programovať škodlivý softvér.

Ako funguje?
Profesionálni kyberzločinci vytvoria ransomvér a ponúkajú ho na predaj alebo prenájom na dark webe. Záujemcovia ho môžu použiť na vlastné útoky a výnosy z výkupného sa delia medzi autorov a útočníkov.

Prečo je to hrozba?
Tento model znamená, že ransomvér sa môže rozšíriť rýchlejšie a agresívnejšie. Kedysi boli ransomvérové útoky doménou špecializovaných hackerov, dnes môže ransomvér používať ktokoľvek, kto má dostatok peňazí na jeho nákup.

Ako môže uškodiť?
Ransomvér REvil bol ponúkaný ako RaaS a spôsobil masívne škody po celom svete. Útočníci ho prenajímali a používali na útoky proti IT firmám, právnikom či poskytovateľom zdravotnej starostlivosti.

 

Ako sa firmy môžu chrániť pred ransomvérom?

Ransomvér je vážnou hrozbou pre firmy všetkých veľkostí, ale existujú konkrétne opatrenia, ktoré môžu výrazne znížiť riziko útoku. Prevencia je vždy lacnejšia a menej bolestivá ako riešenie následkov ransomvérového útoku. Ochrana pred týmto typom kybernetického útoku spočíva v kombinácii technických opatrení, dobrej organizácie IT infraštruktúry a školenia zamestnancov, ktorej súčasťou by mal byť vypracovaný tzv. disaster recovery plán, teda plán obnovy činnosti.

Zálohovanie dát: Prvá línia obrany

Najefektívnejšia ochrana pred ransomvérom je mať aktuálne a bezpečné zálohy dát. Ak sú dáta pravidelne zálohované a bezpečne uložené, firma sa dokáže zotaviť aj v prípade útoku bez nutnosti platenia výkupného.

Ako často robiť zálohy?

• Minimálne raz denne, ideálne automatizovane, aby sa predišlo ľudským chybám.
• V prípade kritických dát môže byť vhodné zálohovať v kratších intervaloch.

Kde uchovávať zálohy?

• Offline zálohy (tzv. air-gapped storage) – uchovávanie záloh na fyzických nosičoch, ktoré nie sú pripojené k internetu alebo firemnej sieti. To zabraňuje ich napadnutiu pri ransomvérovom útoku.
• Cloudové riešenia – zálohy v cloude poskytujú flexibilitu a ochranu pred fyzickým poškodením (napríklad požiar alebo krádež serverov). Je dôležité, aby cloudové úložisko podporovalo verzovanie súborov, aby sa dalo obnoviť dáta z bodu pred útokom.
• 3-2-1 pravidlo zálohovania – odporúčaný štandard, ktorý znamená mať tri kópie dát, uložené na dvoch rôznych typoch úložísk, pričom aspoň jedna záloha je offline.

Segmentácia siete a riadenie prístupu

Mnoho firiem uchováva všetky dáta a systémy na jednom centrálnom úložisku, čo predstavuje veľké bezpečnostné riziko. Ak ransomvér infikuje sieť, môže sa nekontrolovateľne šíriť a ochromiť celý podnik.

Prečo nestačí mať všetky firemné dáta na jednom mieste?

• Ak útočník získa prístup do siete, bez segmentácie môže ransomvér zašifrovať všetky súbory naraz.
• Rozdelenie dát do rôznych oddelených segmentov znižuje riziko ich úplnej straty pri napadnutí.

Ako správne obmedziť prístup zamestnancov len na potrebné dáta?

• Princíp minimálnych oprávnení (Least Privilege Access) – zamestnanci by mali mať prístup iba k tým dátam a systémom, ktoré potrebujú na svoju prácu.
• Viacúrovňová autentifikácia (Multi-Factor Authentication, MFA) – citlivé údaje by mali byť chránené viac ako len heslom, ideálne kombináciou hesla a biometrie alebo jednorazových kódov.
• Monitorovanie a logovanie prístupov – IT oddelenie by malo pravidelne kontrolovať prístupy k dôležitým systémom a identifikovať podozrivé správanie.

Školenia zamestnancov: Prevencia začína pri ľuďoch

Jedným z najčastejších spôsobov, ako sa ransomvér dostane do firmy, je ľudská chyba. Neopatrné kliknutie na škodlivý e-mail alebo stiahnutie infikovaného súboru môže viesť k napadnutiu celej firemnej siete.

Ako rozoznať podvodné e-maily (phishing) a neotvárať podozrivé prílohy?

• Skontrolovať e-mailovú adresu odosielateľa – podvodníci často napodobňujú dôveryhodné kontakty, no ich e-maily môžu obsahovať drobné preklepy alebo nezvyčajné domény.
• Neotvárať nečakané prílohy – najmä ak obsahujú súbory s príponami .exe, .zip, .rar, .js, .docm.
• Pozor na naliehavé správy – podvodníci často používajú taktiku psychologického nátlaku, napríklad „Vaša faktúra je nesprávna, otvorte prílohu okamžite“.

Ako sa vyhnúť nebezpečným webovým stránkam?

• Zamestnanci by mali vedieť rozpoznať nebezpečné webové stránky – napríklad tie, ktoré nemajú zabezpečené pripojenie (HTTPS), obsahujú veľa gramatických chýb alebo ponúkajú „príliš dobré“ ponuky.
• Používanie firemného VPN a blokovanie podozrivých domén cez firewall môže zabrániť náhodným návštevám škodlivých stránok.

Bezpečnostné opatrenia IT infraštruktúry

Technologické opatrenia sú základom prevencie pred ransomvérovými útokmi. Firmy by mali pravidelne kontrolovať a aktualizovať svoju IT infraštruktúru, aby minimalizovali slabé miesta, ktoré môžu útočníci zneužiť.

Pravidelné aktualizácie softvéru a operačných systémov

• Mnohé ransomvérové útoky využívajú zraniteľnosti v zastaranom softvéri. Ak sa softvér pravidelne aktualizuje, firma minimalizuje riziko útoku.
• Automatické aktualizácie zabezpečujú, že všetky zariadenia používajú najnovšie bezpečnostné záplaty.

Používanie silných hesiel a viacfaktorovej autentifikácie (MFA)

• Zamestnanci by mali používať dlhé, unikátne heslá a nikdy ich nezdieľať.
• Viacfaktorová autentifikácia pridáva ďalšiu vrstvu ochrany, čím znižuje riziko neoprávneného prístupu k systémom.

Antivírusové riešenia a EDR (Endpoint Detection and Response) systémy

• Moderné bezpečnostné riešenia dokážu včas rozpoznať a zastaviť ransomvér ešte predtým, než spôsobí škody.
• EDR systémy monitorujú podozrivú aktivitu na zariadeniach a dokážu identifikovať a izolovať hrozby v reálnom čase.

Čo robiť, ak sa vaša firma stane obeťou ransomvérového útoku?

Aj pri dôkladnej prevencii sa môže stať, že firma sa stane obeťou ransomvérového útoku. Ak systém zablokuje výstražná správa žiadajúca výkupné, je kľúčové zachovať chladnú hlavu a postupovať systematicky. Rýchla a správna reakcia môže minimalizovať škody a pomôcť firme čo najskôr obnoviť prevádzku.

Prvé kroky po infikovaní ransomvérom

Ak firma zistí, že došlo k ransomvérovému útoku, musí okamžite konať. Čím skôr sa podniknú správne kroky, tým väčšia je šanca na zamedzenie ďalšieho šírenia a na obnovu dát.

Odpojenie napadnutého zariadenia od siete

• Ak je ransomvér v počiatočnej fáze šírenia, odpojenie infikovaného zariadenia od siete môže zabrániť tomu, aby sa útok rozšíril na ďalšie systémy.
• Je dôležité odpojiť nielen internet, ale aj firemné Wi-Fi, Bluetooth a všetky externé disky či USB zariadenia, ktoré môžu obsahovať zálohy alebo citlivé dáta.

Zistenie rozsahu škôd

• IT oddelenie alebo externí odborníci by mali rýchlo identifikovať, ktoré zariadenia a súbory boli zašifrované a či ransomvér zasiahol len lokálny počítač, alebo aj servery a cloudové úložiská.
• Dôležité je určiť, či došlo k úniku dát, pretože niektoré typy ransomvéru (napr. pri dvojitom vydieraní) nielen šifrujú dáta, ale aj hrozia ich zverejnením.

Informovanie IT tímu alebo externých odborníkov

• Ak firma nemá vlastný kyberbezpečnostný tím, je nevyhnutné okamžite kontaktovať odborníkov, ktorí majú skúsenosti s riešením ransomvérových útokov.
• V niektorých prípadoch môže byť možné identifikovať konkrétny typ ransomvéru a nájsť dešifrovacie nástroje, ktoré pomôžu obnoviť dáta bez platenia výkupného.

Platiť alebo neplatiť výkupné?

Útočníci požadujú výkupné s prísľubom, že po jeho zaplatení poskytnú dešifrovací kľúč. Mnohí podnikatelia v zúfalstve uvažujú o zaplatení, aby čo najskôr obnovili chod firmy. Je to však riskantné rozhodnutie s viacerými negatívnymi dôsledkami.

Riziká platenia výkupného

• Žiadna garancia obnovy dát – Útočníci môžu po zaplatení zmiznúť bez poskytnutia kľúča. Štatistiky ukazujú, že v niektorých prípadoch firmy zaplatili, no dáta nikdy neboli dešifrované.
• Podpora kyberzločinu – Každé zaplatené výkupné motivuje útočníkov pokračovať v ďalších útokoch na iné firmy.
• Riziko ďalšieho útoku – Firmy, ktoré zaplatia, sa často stávajú cieľom opakovaných útokov, pretože útočníci ich vnímajú ako „ochotných platičov“.

Alternatívy platenia výkupného

Ak firma dodržiava bezpečnostné opatrenia, má niekoľko možností, ako obnoviť dáta bez platenia:

• Použitie záloh – Ak má firma pravidelné offline zálohy, môže rýchlo obnoviť systémy bez nutnosti platiť výkupné v prípade, že má správne vypracovaný plán obnovy činnosti.
• Vyhľadanie dešifrovacích nástrojov – Niektoré ransomvérové útoky sú známe a existujú bezplatné dešifrovacie nástroje, ktoré môžu pomôcť obnoviť dáta. Takéto nástroje poskytujú napríklad Europol alebo bezpečnostné firmy.
• Forenzná analýza útoku – IT špecialisti môžu analyzovať útok a pokúsiť sa nájsť zraniteľnosti, cez ktoré útočník prenikol do systému, aby zabránili ďalším útokom.

Kontaktovanie odborníkov a právnikov

Nie všetky prípady ransomvérových útokov je potrebné riešiť interne. V niektorých situáciách je dôležité kontaktovať orgány činné v trestnom konaní a právnych odborníkov.

Kedy sa obrátiť na políciu alebo CERT-UK?

• Ak útočníci hrozia zverejnením citlivých firemných alebo zákazníckych údajov.
• Ak ide o veľký útok, ktorý môže mať vplyv na kritickú infraštruktúru (napríklad zdravotníctvo, energetiku, finančné inštitúcie).
• Ak firma podozrieva, že útočníci už napadli viacero spoločností v rovnakom odvetví.

Špecializované kyberbezpečnostné jednotky (napr. CERT-UK alebo národné tímy pre riešenie kybernetických incidentov) môžu poskytnúť užitočné rady a v niektorých prípadoch aj technickú pomoc.

Právne dôsledky a nahlasovanie incidentu

• Ak došlo k úniku osobných údajov zákazníkov alebo zamestnancov, firma môže mať povinnosť incident nahlásiť úradom na ochranu osobných údajov podľa nariadenia GDPR.
• Niektoré firmy majú v zmluvách s partnermi povinnosť informovať obchodných partnerov a klientov o kybernetickom útoku.
• Právne oddelenie by malo posúdiť možné riziká a pomôcť s komunikáciou s dotknutými stranami.

Zamestnanci sú prvou líniou obrany

Ani najlepší bezpečnostný softvér nepomôže, ak zamestnanci kliknú na podvodný e-mail alebo si stiahnu škodlivý súbor. Preto je školenie personálu jedným z najdôležitejších prvkov kybernetickej bezpečnosti.

Firmy by mali zaviesť:

• Pravidelné školenia na rozpoznanie phishingových útokov: Zamestnanci by mali vedieť identifikovať podozrivé e-maily, falošné odkazy a škodlivé prílohy.
• Simulované kybernetické útoky: Testovanie zamestnancov cez falošné phishingové kampane pomáha odhaliť slabé miesta v organizácii.
• Bezpečnostné politiky pre prácu s dátami: Jasné pravidlá, ako narábať s citlivými informáciami a aké kroky podniknúť v prípade podozrenia na útok a mať v rámci informačnej bezpečnosti aj kompletný prehľad o dátach (napríklad cez DLP).

Zamestnanci sú často prvým cieľom útočníkov, a preto ich vzdelávanie môže zásadne znížiť riziko útoku.

Pravidelné zálohovanie a bezpečnostné politiky môžu firme zachrániť nielen peniaze, ale aj existenciu

Žiadna firma nie je úplne imúnna voči ransomvérovému útoku. Kľúčovým rozdielom medzi firmami, ktoré útok prežijú bez veľkých strát, a tými, ktoré sa dostanú do existenčných problémov, je správne nastavené zálohovanie, bezpečnostné opatrenia a správne navrhnutý plán obnovy činnosti (disaster recovery).

Každý podnik by mal mať zavedené:

1. Automatizované zálohovanie – Dáta by sa mali pravidelne zálohovať na viacero nezávislých úložísk, vrátane offline záloh, ktoré nie sú pripojené k sieti.
2. Pravidelné testovanie obnovy dát – Nestačí len mať zálohy, je nutné pravidelne overovať, či sú použiteľné na obnovu systémov.
3. Bezpečnostnú stratégiu pre prístup k dátam – Prísne pravidlá, ktoré obmedzujú prístup k citlivým súborom len na nevyhnutné osoby.
4. Disaster recovery a Business continuity plán – Podrobný postup, ktorý určuje, čo robiť v prípade kybernetického útoku, kto má aké zodpovednosti a ako minimalizovať škody.

Firmy, ktoré si tieto zásady osvoja, majú omnoho vyššiu šancu zvládnuť prípadný útok bez katastrofálnych následkov.

Na záver treba dodať, že aj tie najlepšie stratégie a technológie sa nezaobídu bez ľudí, ktorí ich spravujú. Tímy zodpovedné za infraštruktúru a bezpečnosť sú vo firmách často poddimenzované, a to práve preto, že keď všetko funguje, ich prácu nie je vidno.

Kybernetická bezpečnosť však nie je „neviditeľná služba“, ale kľúčová investícia do správneho fungovania firmy. Posilnenie a adekvátne personálne zabezpečenie týchto tímov môže byť rozhodujúcim faktorom, ktorý odlíši podnik, ktorý útok prežije a s akou finančnou, dátovou alebo prevádzkovou ujmou.