Воздействие программ-вымогателей может включать сердечные приступы, инсульты и посттравматическое стрессовое расстройство

Инциденты с программами-вымогателями наносят значительный вред на многих уровнях, в том числе физическому и психическому здоровью; Новое исследование британского аналитического центра по безопасности Royal United Services Institute классифицировало это воздействие на три категории (рис. A):

Вред первого порядка: вред организациям и их сотрудникам. Примеры включают потерю данных, репутационный ущерб и сердечные приступы. Вред второго порядка: Косвенный вред организациям и отдельным лицам. Примеры включают в себя то, что клиенты и заказчики в цепочках поставок могут стать мишенью, а лечение рака у пациентов будет нарушено. Вред третьего порядка: вред обществу, экономике и национальной безопасности в целом. Примером может служить граждане, теряющие веру в способность государства предоставлять базовые услуги.

Рисунок А

Исследование RUSI основано на интервью с жертвами и лицами, реагирующими на инциденты в результате атак программ-вымогателей, и отражает «новые и существующие виды ущерба, нанесенного Великобритании и другим странам».

Ущерб первого порядка: прямые цели атак программ-вымогателей

Прямыми целями являются организации и сотрудники, непосредственно подвергшиеся воздействию программ-вымогателей.

Ущерб инфраструктуре

Организации, пострадавшие от атаки программ-вымогателей, могут понести физический или цифровой ущерб данным и системам. Потеря данных в результате шифрования данных программой-вымогателем может иметь разрушительные последствия, особенно если злоумышленнику удается также получить доступ к системам резервного копирования и сделать их бесполезными. Тысячи компьютеров также могут стать непригодными для использования их пользователями, что вынудит организации внезапно вернуться к работе «ручкой и бумагой».

Операционные технологии также могут быть затронуты. Растущая конвергенция ИТ и ОТ делает физическую инфраструктуру более уязвимой для программ-вымогателей, хотя у большинства операторов программ-вымогателей нет возможности напрямую скомпрометировать ОТ или системы промышленного управления; Одним из примеров является ситуация, когда воздействие программ-вымогателей на ИТ препятствует правильной работе других систем (например, систем пожаротушения, дверей, ворот или систем видеонаблюдения).

Реакция организации на инциденты с программами-вымогателями может повлиять на бизнес, поскольку обработчикам инцидентов часто приходится изолировать части ИТ-инфраструктуры для проведения операций по исправлению и восстановлению — иногда на несколько недель.

SEE: Исследование NCSC: Генеративный искусственный интеллект может увеличить глобальную угрозу программ-вымогателей (TechRepublic)

Финансовый ущерб

Финансовый ущерб, связанный с атаками программ-вымогателей, хотя и очень важен для организаций, может быть сложно оценить. Хотя стоимость выкупа можно легко измерить, труднее оценить финансовые потери, возникшие в результате инцидента, и время, необходимое для восстановления систем, например, упущенные возможности и снижение производительности. Согласно исследованию, «многие организации обычно имеют ограниченное понимание общего финансового воздействия атаки с использованием программы-вымогателя на организацию, особенно в отношении финансового ущерба, который не покрывается страховым полисом или который проявляется в долгосрочной перспективе».

Дополнительные расходы, такие как найм внешних сторон для помощи в реагировании на инцидент, часто намного превышают сумму выкупа. Группы реагирования на инциденты, если их привлечь к работе (например, юристы и специалисты по связям с общественностью), становятся очень дорогостоящими, когда инциденты сложные.

Репутационный вред

Репутационный ущерб — еще одна главная проблема для организаций, ставших жертвами программ-вымогателей. Жертвы опасаются плохих репортажей в СМИ и клиентов или клиентов, которые могут счесть организацию неспособной предоставить конкретную услугу. Тем не менее, RUSI сообщил, что некоторые опрошенные, в том числе эксперты по кризисным коммуникациям и юристы, указали, что «репутационный вред может быть не таким серьезным, как предполагается в литературе», однако риск репутационного вреда гораздо выше в случае кражи данных или если обслуживание клиентов прерывается.

Психологический и физический вред

Психологический вред, наносимый атаками программ-вымогателей персоналу, огромен, и его часто упускают из виду. Значительный стресс для людей, участвующих в реагировании на атаки программ-вымогателей, может заставить компании нанять команду поддержки посттравматических стрессовых расстройств. Сотрудники более высокого уровня страдают от стресса из-за финансовых проблем, в то время как руководство среднего звена страдает от стресса, вызванного чрезвычайно длинными рабочими днями, включая особенно напряженное общение с злоумышленником. ИТ-команды являются основными жертвами, поскольку они страдают от экстремальных условий труда и чувствуют прямую ответственность за защиту систем организации. ИТ-команды также очень детально понимают серьезность ситуации с технической точки зрения.

У других сотрудников может ощущаться растерянность и потеря ориентации, поскольку они не знакомы с техническими деталями или не имеют достаточно информации, чтобы составить полное представление о ситуации.

Гнев по отношению к злоумышленнику или тревога/ужас также могут ощущаться со стороны ИТ-персонала или других сотрудников.

Кроме того, сотрудники могут получить физический вред в результате атак программ-вымогателей; возможными последствиями являются изменение веса, лишение сна, умственное истощение, физическое выгорание, сердечные приступы или инсульт. Один из опрошенных сообщил, что знает о сотруднике ИТ-отдела, который покончил с собой после инцидента с программой-вымогателем.

Вред второго порядка: косвенные последствия атак программ-вымогателей

В эту категорию входят организации и отдельные лица, которым косвенно причинен вред от программ-вымогателей, например, клиенты или заказчики или участники цепочки поставок организации-жертвы.

Ущерб инфраструктуре

Во-первых, атаки программ-вымогателей на сторонние ИТ-источники могут быть вредными; Поставщики облачных услуг могут подвергнуться атакам, а их клиенты могут потерять свои данные. Производство и логистика также являются частью цепочек поставок, которые могут стать объектом нападения. В этих случаях клиенты, которые не могут вовремя получить свои продукты или услуги от пострадавшего поставщика, могут потерять бизнес или пострадать от задержек.

Репутационный вред

Участники цепочки поставок, пострадавшие от программ-вымогателей, также часто теряют доверие своих клиентов; эти клиенты могут решить выбрать других поставщиков.

Атаки программ-вымогателей могут похитить данные у компаний косвенно через их поставщиков, что может привести к тому, что данные будут опубликованы или проданы другим киберпреступникам на подпольных торговых площадках. Все это приводит к репутационному ущербу, когда об этом становится известно публично.

Физический вред

Атаки программ-вымогателей могут нанести вред здоровью людей. Например, атаки программ-вымогателей в некоторых случаях вынуждают больницы откладывать операции или прерывать лечение пациентов от рака, что помимо задержек также вызывает много стресса и беспокойства. Службы экстренной помощи также могут быть перенаправлены в другие больницы, что повлияет на выживаемость и выздоровление пациентов.

Финансовый ущерб

Отдельные лица могут пострадать финансово; например, в Великобритании атаки программ-вымогателей на местные власти лишили жителей возможности получить доступ к жилищным льготам. Злоумышленники могут попытаться вымогать у них деньги, используя данные, полученные в результате атаки. Злоумышленники могут, например, шантажировать отдельных лиц и угрожать раскрыть медицинскую информацию или другую личную информацию о них.

Стоимость товаров и услуг для отдельных лиц может увеличиться в ответ на стоимость реагирования на инцидент и его устранения для пострадавшей организации.

Вред третьего порядка: влияние программ-вымогателей на страны и общество

Последняя категория описывает влияние деятельности программ-вымогателей на экономику, общество и национальную безопасность страны.

Ущерб национальной безопасности

Программы-вымогатели широко считаются угрозой национальной безопасности, главным образом по этим двум причинам:

Разрушение критически важной национальной инфраструктуры и стратегических секторов. Стратегическое преимущество, которое программы-вымогатели могут создать для враждебных государств.

Два примера таких угроз:

Операции с программами-вымогателями, связанные с северокорейским режимом, имеют финансовую мотивацию и направлены на получение дохода для режима. Согласно исследованию, русскоязычные злоумышленники-вымогатели, чьи операции получают выгоду от безопасной гавани в России, государства поддерживают тесные связи с киберпреступниками или группами и используют их или их возможности для своих собственных нужд.

Социальный вред

Реакция на атаки программ-вымогателей может нанести обществу вред. Например, граждане могут потерять доверие к государствам, которые, похоже, не смогут защитить их или предоставить базовые услуги в любое время, особенно когда это связано со здравоохранением.

Разрушение конкретных организаций, которые являются обязательными для стран, может нанести огромный экономический ущерб, который может повлиять на все общество.

Почему мало отзывов о вреде программ-вымогателей?

Жертвы атак программ-вымогателей редко делятся своим опытом. В лучшем случае компании публикуют отчет о реагировании на инциденты публично, чтобы помочь другим организациям улучшить свою защиту, но также часто и для того, чтобы показать своим клиентам, что они справились с угрозой оперативно, однако многие организации хранят молчание по разным причинам: проблемы с репутацией. , страх или юридические причины.

Общие отчеты о реагировании на инциденты часто носят очень технический характер, но в них отсутствуют важные подробности о причиненном вреде, кроме финансовых подробностей: кто стал косвенными жертвами, в число которых могут входить другие организации, сообщества и отдельные лица, а также общество в целом, и как они пострадали. Как говорится в отчете RUSI, «атаки программ-вымогателей оказывают реальное влияние на человека, которое еще предстоит полностью осознать и измерить».

Как ограничить вред после атаки программы-вымогателя

Что касается инфраструктуры, четкие отзывы о реагировании на инциденты должны быть переданы всем сотрудникам, участвующим в реагировании на инциденты, чтобы помочь повысить эффективность, если позже компания подвергнется еще одной атаке с помощью программы-вымогателя. Обратная связь должна включать подробную информацию о реагировании на технический инцидент, а также описывать, что не удалось, а что сработало.

Организации должны помочь сотрудникам, которые активно участвуют в реагировании на инциденты, связанные с программами-вымогателями, и могут страдать от посттравматического стрессового расстройства, предлагая им возможность проконсультироваться с медицинскими или психологическими экспертами.

Учения по реагированию на инциденты следует проводить на регулярной основе, чтобы научить специалистов по реагированию на инциденты эффективно противостоять этой угрозе и уменьшить стресс, который они могут испытывать, когда в компании происходит инцидент с программами-вымогателями.

Как предотвратить атаки программ-вымогателей

Организациям следует всегда создавать резервные копии своих важных данных на внешних устройствах или в защищенных облачных сервисах и обеспечивать доступ к данным только авторизованному персоналу.

Решения безопасности, основанные на поведении конечных точек, должны использоваться для обнаружения ранних признаков активности программ-вымогателей, таких как внезапное массовое изменение имен файлов.

Все операционные системы, программное обеспечение и встроенное ПО необходимо постоянно обновлять и устанавливать исправления, чтобы избежать риска возникновения общих уязвимостей.

Сегментацию сети следует использовать, когда это возможно, чтобы снизить вероятность воздействия программ-вымогателей на всю сеть.

Заключение

Атаки программ-вымогателей и их последствия хорошо изучены с технической точки зрения, однако трудно оценить затраты на восстановление после этих атак и еще труднее оценить все влияние, которое они оказывают на страны, организации, персонал и отдельных лиц. Психологическое воздействие атак программ-вымогателей, в частности, в значительной степени игнорируется, и его следует принимать во внимание.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.