Dan Popa, Senior Territory Manager Romania, Bulgaria & Albania at Veeam Software, a răspuns la câteva întrebări legate de unele dintre cele mai fierbinți subiecte ale ultimilor ani – ransomware și modalitățile de prevenire a acestei metode de criminalitate cibernetică.

Ce sunt, de fapt, atacurile de tip ransomware si cum funcționează?

Dan Popa: Ransomware-ul criptează fișierele, iar atacatorii cibernetici cer o răscumpărare pentru a restabili accesul. Ransomware-ul poate obține acces prin diverse puncte de intrare, cum ar fi e-mailurile de phishing, iar utilizatorii pot permite neintenționat acest atac în cadrul organizației.

Aceste atacuri devin din ce în ce mai profitabile pentru infractorii cibernetici și mulți extorc cu succes sume uriașe de bani de la organizații mari. Cu toate acestea, multe atacuri ransomware caută, de asemenea, toate fișierele și documentele de producție și cele din zona de back-up. Prin urmare, un atac nu lasă organizației de ales decât să îndeplinească cerințele atacatorilor, și anume să le plătească răscumpărarea.

Potrivit Cybersecurity Ventures, un atac ransomware are loc la fiecare 11 secunde la nivel global, provocând daune de peste 20 de miliarde de dolari, cu un cost mediu per atac de 80.000 de dolari.

Care este situația în țările din Europa de Est, comparativ cu alte regiuni ale lumii?

Dan Popa: Europa de Est a avut propriile probleme cu privire la atacurile cibernetice la scară largă, asupra persoanelor fizice, instituțiilor publice și organizațiilor private. Pe fondul pandemiei de COVID-19, cel mai vizat segment a fost cel de sănătate publică, cu o serie de atacuri ransomware la mai multe spitale din România, de exemplu, cel mai recent având loc în iulie 2021.

În urma acestui incident, Serviciul Român de Informații (SRI) a emis o declarație publică în care spune că aceste atacuri ransomware au vizat sisteme informatice prin transmiterea de mesaje create prin tehnici de inginerie socială și exploatarea unei serii de vulnerabilități asociate sistemelor de securitate cibernetică. Astfel, au fost identificate mai multe atacuri de tip ransomware precum COVIDLOCK, NETWALKER și MAZE, precum și așa-numitul atac NEMTY, care se răspândește prin mesaje de tip spear-phishing, inclusiv cele care uzurpă identitatea profesioniștilor din domeniul medical, care sunt direct asociați cu lupta împotriva COVID-19.

Situația este similară în statele balcanice, și aici mă refer în primul rând la furnizorii de asistență medicală, care au fost din ce în ce mai vizați de atacuri ransomware, inclusiv organizațiile care dezvoltă vaccinuri COVID-19.

Ce ar trebui să facă o firmă sau instituție, pentru a se proteja de atacuri ransomware sau de alte tipuri de atacuri?

Războiul împotriva ransomware-ului este real, iar companiile trebuie să fie pregătite pentru un atac asupra datelor lor. În primul rând, trebuie să vă întrebați cum au acces infractorii cibernetici la datele dumneavoastră. Aceste date reprezintă sângele vital al oricărei organizații moderne. Pentru majoritatea companiilor, dacă ceva intervine și corupe datele critice, acestea sunt instantaneu paralizate. Deci, datele sunt prețioase, ceea ce înseamnă că ele reprezintă o amuniție excelentă pentru infractorii cibernetici. Ei folosesc atacurile ransomware pentru a vă ține ostatice cele mai importante și valoroase bunuri și pentru a vă bloca simultan. Dar, prin pregătirea în avans și alinierea la un sistem de protecție bine pus la punct, companiile au vor avea o strategie pentru recuperarea datelor, atunci când se întâmplă un incident. Rețineți că majoritatea infractorilor cibernetici vizează toate tipurile de date. Aceștia au acces atacând conturile angajaților obișnuiți, nu neapărat contul CEO-ului sau al altor directori seniori. Ransomware-ul poate intra în afacerea dumneavoastră de la un angajat care face clic pe un e-mail de phishing. Acesta conține un atașament cu malware, care, atunci când este deschis, va instala ransomware-ul în întregul sistem al companiei. Astfel se pot bloca datele sensibile și permite hackerilor să ceară bani pentru a elibera informațiile companiei.

Variantele actuale de ransomware operează în mai multe moduri diferite și este de așteptat ca acestea să continue să evolueze. De exemplu, amenințările pot cripta datele și pot cere o sumă de bani sau, tot mai des, pot acționa prin ștergerea datelor sau extorcarea de informații în vederea vânzării datelor. Au existat, de asemenea, atacuri la nivel de infrastructură sau aplicație, cum ar fi bazele de date și sistemele de fișiere. La Veeam, am adoptat o mentalitate care abordează momentul în care este necesar un răspuns ransomware. În ciuda tuturor tehnicilor de educare și implementare utilizate pentru combaterea ransomware-ului, organizațiile ar trebui să fie pregătite să remedieze o amenințare, atunci când aceasta apare.

Pentru a asigura o protecție completă împotriva atacurilor, Veeam recomandă NIST CSF și cele cinci funcții ale sale: identificare, protecție, detectare, răspuns și recuperare, care sunt considerate standardele implicite pentru construirea unui program robust de securitate cibernetică.

Faza de identificare include etichetarea datelor, localizarea, viziunea de ansamblu asupra businessului și asupra VM-urilor, dar și monitorizare/raportare.

Etapa de protecție este esențială, deoarece ajută la dezvoltarea și implementarea măsurilor de protecție pentru a asigura furnizarea de servicii de infrastructură critică. Oportunitățile de protecție Veeam oferă soluții într-un spectru larg de platforme virtuale, fizice, de fișiere, software că serviciu (SaaS), container și cloud. Orice întreprindere trebuie să aibă date protejate prin back-up pe diferite tipuri de echipamente de stocare ultra-rezistente. Acest lucru presupune să aveți una sau mai multe copii ale datelor protejate prin back-up pe următoarele medii: back-up-uri imuabile în sistemele de stocare compatibile AWS Amazon S3 și S3; back-up-uri imuabile în Linux cu depozitul consolidat; suportul de bandă eliminat dintr-o bibliotecă sau marcat că WORM (Write Once Read Many); Veeam Cloud Connect cu protecție integrată; suporturi amovibile offline sau rotating drive.

Pentru a fi rezistent la ransomware, Veeam pledează pentru respectarea regulii de rezervă 3-2-1-1-0. Înseamnă stocarea a trei copii diferite de date pe două tipuri diferite de suporturi, dintre care una offsite. O copie ar trebui să fie imuabilă, deoarece nu apar erori după testarea automată a back-up-ului și verificarea posibilității de recuperare.

Detectarea și răspunsul sunt următoarele două faze, prima permițând descoperirea în timp util a evenimentelor de securitate cibernetică. În același timp, cel de al doilea presupune acțiunile rapide necesare pentru a opri amenințarea sau atenua daunele, astfel încât o companie să poată reduce orice impact financiar. Faza finală este funcția de recuperare, care sprijină revenirea unei afaceri la operațiunile normale și reduce daunele unui eveniment de securitate cibernetică. La fel că toate celelalte, această fază necesită o planificare adecvată și o strategie solidă, pe care Veeam o poate implementa.

Care sunt provocările și beneficiile asociate cu protecția modernă a datelor și de ce este aceasta esențială pentru companii?

Dan Popa: Unele dintre cele mai presante provocări astăzi includ lipsa personalului care să lucreze la noi inițiative, lipsa bugetului, lipsa vizibilității asupra performanței operaționale, lipsa disponibilității pentru a sprijini DevOps sau AppDev, folosind infrastructura existentă. Putem adăuga, de asemenea, lipsa asigurării conformității sau a altor mandate executive și back-up inadecvat sau nerespectarea SLA-urilor. Potrivit Raportului Veeam Data Protection 2021, două treimi (68%) dintre organizațiile din Europa de Est au un „decalaj de disponibilitate” între cât de repede pot recupera aplicațiile și cât de repede au nevoie pentru a le recupera. De asemenea, două din trei (68%) organizații din Europa de Est au un „decalaj de protecție” între frecvența cu care se fac copii de rezervă ale datelor și cât de multe date își pot permite să piardă după o întrerupere. În cele din urmă, principala provocare care se anticipează că va afecta transformarea digitală a organizațiilor din Europa de Est în următoarele 12 luni este incertitudinea economică (46%), urmată de perturbarea industriei (31%) și amenințările cibernetice (28%).

Datorită schimbării rapide a strategiilor IT, protecția datelor trebuie să fie simplă, flexibilă și de încredere, pentru a sprijini și a dezvolta orice afacere. În zilele noastre, clienții au nevoi din ce în ce mai complexe bazate pe mediile lor de lucru, așa că back-up-urile, deși sunt încă valabile, trebuie să fie însoțite de soluții suplimentare. Cele mai frecvente cerințe ale acestora includ costuri mai mici, automatizare mai mare, inteligență și reutilizare a datelor. Odată cu adoptarea accelerată a serviciilor bazate pe cloud, în principal din cauza impactului COVID-19, protecția datelor de tip legacy dăunează capacității organizațiilor de a păstra datele critice disponibile. Pe măsură ce organizațiile caută să își modernizeze practicile de afaceri, protecția modernă a datelor trebuie să rămână o componentă vitală a acestui plan.

Care estimați că va fi evoluția soluțiilor de protecție modernă a datelor?

Dan Popa: Accentul sporit pe serviciile moderne și bazate pe cloud are un impact semnificativ asupra tendințelor de protecție a datelor, pentru practicile de livrare IT. De exemplu, conform Raportului Veeam Data Protection 2021, back-up-ul inadecvat sau nerespectarea SLA-urilor au depășit provocările de protecție a datelor pentru 2021 cu 40% (în creștere de la 31% în 2019), surclasând toate celelalte valori. În plus, pe măsură ce sistemele se îndreaptă în mod agresiv către cloud și servicii moderne, ratele de eșec al back-up-ului din cauza sistemelor legacy cresc presiunea IT pentru soluții noi.

Potrivit Raportului Veeam privind protecția datelor 2021, nevoia de protecție modernă a datelor este mai presantă că niciodată. Potrivit celor 3.000 de organizații globale care au participat la cercetare, în topul nevoilor se află protecția și securitatea integrată a datelor (35%), portabilitatea sarcinii de lucru în cloud (36%) și capacitatea de a face recuperare în caz de dezastru prin intermediul unui serviciu cloud (DRaaS) (38%). Protecția modernă a datelor trebuie să susțină marea diversitate a platformelor IT ale organizațiilor (cloud, SaaS, virtuale, fizice), să facă datele sigure, accesibile și utilizabile în scopuri precum DevOps și analize și, în cele din urmă, să permită protecția datelor într-un mod consecvent și unificat.