Koszty ransomware: Dlaczego każda firma musi zapłacić – w taki czy inny sposób

Ransomware jest jednym z najbardziej niszczycielskich cyberzagrożeń, z jakimi obecnie borykają się firmy. Może spowodować nieodwracalne szkody w systemach, danych i reputacji firmy, a straty finansowe mogą być poważne.

Przyjrzyjmy się finansowemu wymiarowi ataków ransomware, który znacznie wykracza poza płacenie okupu. Nawet ofiary, które odmówią zapłacenia okupu, poniosą duże koszty i stracą dochody w trakcie ataku i podczas procesu zabezpieczania i odzyskiwania danych, a prawdopodobne jeszcze przez wiele tygodni i miesięcy po ataku.

W jaki sposób firmy ponoszą straty finansowe

Ataki ransomware mogą mieć katastrofalne skutki finansowe dla firm, zarówno z powodu kosztów bezpośrednich, jak i pośrednich. Koszty bezpośrednie zazwyczaj obejmują koszt każdego zapłaconego okupu (w zamian za klucz odszyfrowywania w celu odblokowania zaszyfrowanych danych, obietnicę niestosowania się do gróźb ujawnienia skradzionych danych lub przeprowadzenia ataku typu „odmowa usługi” na publiczne serwery firmy, itp.), a także koszty zatrudnienia ekspertów w celu usunięcia złośliwego oprogramowania i przywrócenia zaatakowanych systemów. Koszty pośrednie mogą obejmować utratę produktywności i dochodów z powodu przestojów, utratę reputacji, grzywny za nieprzestrzeganie przepisów i wydatki prawne.

Koszty bezpośrednie

Jednym z najwyższych okupów, które ujawniono publicznie, była kwota 70 mln USD zażądana w ataku ransomware REvil na dostawcę oprogramowania Kaseya. Wysokość okupu różni się w zależności od wyrafinowania podmiotu atakującego i ilości zebranych informacji na temat tego, ile ofiara ataku może zapłacić. Kwoty wahają się od tysięcy do dziesiątek milionów dolarów.

Żądanie okupu jest czasami określane jako procent rocznych przychodów atakowanej firmy (zwykle 3%).

Według szacunków ekspertów okup stanowi jedynie niewielką część – często zaledwie 15% – całkowitych kosztów związanych z atakiem ransomware.

Koszty pośrednie

Koszt przestoju i odzyskania utraconych danych zwykle stanowi większą część ogólnych wydatków związanych z atakiem ransomware. Po ataku ransomware w przeciętnej firmie dochodzi do 22-dniowego przestoju, podczas którego przywracane są dane i wznawiana jest działalność. Średni koszt przestoju często może być pięćdziesiąt razy wyższy niż wysokość żądanego okupu.

W następstwie ataku ransomware cała firma musi skupić się na naprawianiu szkód: zespół operacyjny IT przywraca zaszyfrowane lub uszkodzone dane oraz wznawia działalność, a zespół marketingowy, prawny, HR i inne zajmują się komunikatami kryzysowymi. Dodatkowe koszty ataku ransomware mogą obejmować utracone możliwości sprzedaży, zmniejszoną wydajność produktów lub usług, utratę reputacji, opłaty dla zewnętrznych konsultantów i wykonawców w celu przyspieszenia działań naprawczych, utratę kapitału w spółkach notowanych na giełdzie, grzywny nałożone przez agencje regulacyjne za brak ochrony danych klientów lub inne naruszenia zgodności, kary płacone klientom za niewywiązywanie się z umów o gwarantowanym poziomie usług itd.

Ponadto ataki ransomware ujawniają słabe punkty w zabezpieczeniach cyberbezpieczeństwa firmy, co wymaga analizy danych kryminalistycznych w celu zidentyfikowania luki, która umożliwiła atak, utworzenia planu usunięcia tych luk, aby zapobiec ponownemu wystąpieniu podobnego ataku. Następnie niezbędne są dodatkowe inwestycje w technologię cyberbezpieczeństwa, procesy i umiejętności pracowników w celu wykonania planu naprawczego.

Szacuje się, że w 2023 r. średni globalny koszt naruszenia ochrony danych – nie wliczając zapłaty okupu – osiągnie 5 mln USD.

Szacowane koszty ataków ransomware

Koszty destrukcyjnych cyberataków są za każdym razem inne. Straty finansowe ponoszone przez firmy mogą się znacznie różnić w zależności od kilku czynników, w tym od następujących kwestii:

• Typ danych zaszyfrowanych lub naruszonych podczas ataku. Jeśli zaszyfrowane są krytyczne dane, firma może być zmuszona do zapłacenia okupu w celu ich odzyskania lub pokrycia kosztów ich wymiany, jeśli nie można odzyskać danych ze stanu zaszyfrowanego.

• Kary regulacyjne, zwłaszcza w przypadku utraty lub ujawnienia szczególnie wrażliwych danych.

• Utrata produktywności, dochodów i innych kosztów związanych z niezdolnością organizacji do prowadzenia normalnej działalności biznesowej.

• Pogorszenie reputacji. Klienci i partnerzy mogą zdecydować się na ograniczenie lub zakończenie relacji z firmą z powodu obaw o bezpieczeństwo danych; potencjalni partnerzy mogą opóźnić transakcje lub zrezygnować z zaplanowanych transakcji; negatywny rozgłos może osłabić zaufanie inwestorów i cenę akcji.
Poświęcając czas na przejrzenie wszystkich tych czynników, firmy mogą lepiej zrozumieć, ile może kosztować skuteczny atak ransomware w perspektywie krótko- i długoterminowej oraz dlaczego konieczne jest wdrożenie planu reagowania na incydenty.

Firmy płacące okup często wierzą, że w ten sposób w pełni eliminują ryzyko związane z cyberatakiem. Jest to niebezpieczna iluzja z kilku powodów:

• Atakujący mogą nadal mieć aktywny dostęp do systemów i danych firmy.

• Atakujący mogą wydobyć poufne dane, aby udostępnić je publicznie w przypadku braku zapłaty.

• Zapłacenie okupu nie gwarantuje, że atakujący nie przeprowadzą ataków w przyszłości.

• Zapłacenie okupu może zachęcić innych przestępców do zaatakowania firmy.

Przykłady rzeczywistych ataków ransomware

Istnieje wiele przykładów finansowego wpływu ataków ransomware na firmy z każdej branży, w każdym regionie i o każdej wielkości.
Według Departamentu Sprawiedliwości Stanów Zjednoczonych około 75% wszystkich ataków ransomware dotyczy małych firm. Ostatnie badania pokazują, że 60% małych firm, które padły ofiarą cyberataków, zamyka działalność w ciągu sześciu miesięcy.

• We wrześniu 2022 r. gang ransomware o nazwie Hive przyznał się do przeprowadzenia czterech ataków w ciągu jednego tygodnia. Atakujący uzyskali dostęp do systemów Empress EMS (Emergency Medical Services), nowojorskiej firmy zajmującej się reagowaniem kryzysowym i pogotowiem ratunkowym. Zdarzenie to wpłynęło na 320 000 osób.

• Damart, francuska firma odzieżowa posiadająca ponad 130 sklepów na całym świecie, padła ofiarą ataku ransomware w 2022 r., a okup, którego zażądali przestępcy wynosił 2 mln USD. W wyniku ataku ransomware zdolność firmy do przetwarzania nowych zamówień została ograniczona, a obsługa klienta stała się niedostępna.

• Firmia Nvidia poniosła straty w wyniku ataku ransomware w 2022 r., w wyniku którego dane uwierzytelniające pracowników i informacje zastrzeżone zostały ujawnione online. Grupa ransomware Lapsus$ twierdziła, że wyeksfiltrowała jeden terabajt danych z firmy i zażądała okupu w wysokości 1 mln USD plus procent nieokreślonej opłaty.

• W grudniu 2021 r. Lincoln College w Lincoln w stanie Illinois musiał zamknąć działalność po ataku ransomware, który zablokował wszystkie systemy rekrutacji, przechowywania i pozyskiwania funduszy.

Przykłady te przedstawiają różne skutki finansowe i rzeczywiste koszty ataków ransomware dla firm, w zależności od wielkości i rodzaju działalności, zakresu ataku i reakcji na atak.

Podział według sektorów

• Ataki ransomware przeprowadzane są na firmy w każdej branży, chociaż niektóre branże są preferowane ze względu na ich podatność na naciski zewnętrzne, np. służba zdrowia, finanse, rząd, edukacja i technologia.

  Służba zdrowia: Szpitale często przechowują wrażliwe dane pacjentów, które mogą zostać wykorzystane przez atakujących. Wiele szpitali jest gorzej chronionych przed cyberbezagrożeniami niż organizacje z innych branż. Zablokowanie systemów instytucji służby zdrowia może narazić życie pacjentów na niebezpieczeństwo.

  Finanse: Banki i inne instytucje finansowe przechowują poufne dane klientów. Atakujący mogą wykorzystać te dane finansowe do wyłudzenia pieniędzy od ofiar lub kradzieży tożsamości. Branżowe i rządowe organy regulacyjne mogą nakładać surowe kary na firmy, które naruszają zasady zgodności z przepisami w zakresie prywatności danych.

  Agencje rządowe: Instytucje i agencje rządowe często posiadają krytyczne dane dotyczące infrastruktury lub informacje poufne lub zarządzają nimi, a przestępcy mogą wykorzystywać te dane do szantażowania ofiar lub zakłócania operacji. Przywódcy polityczni są wrażliwi na reakcje opinii publicznej, jeśli dochodzi do długoterminowego odłączenia od sieci kluczowych usług.

  Instytucje edukacyjne: Organizacje edukacyjne często przechowują informacje umożliwiające identyfikację osób lub dokumenty naukowe. Atakujący mogą wykorzystać te dane do wyłudzenia pieniędzy od ofiar lub sprzedać je na czarnym rynku. Ograniczenia budżetowe i kadrowe w dziale IT, a także tendencja studentów do nieostrożnego obchodzenia się z odwiedzanymi stronami internetowymi i pobieranymi aplikacjami tworzą środowisko technologiczne o znacznie większej liczbie słabych punktów niż w przypadku organizacji komercyjnych.

  Technologia: Firmy technologiczne borykają się z tymi samymi problemami, co inne przedsiębiorstwa: mogą mieć trudności z punktualną naprawą znanych luk i z przeciwdziałaniem najnowszym zagrożeniom. Ryzyko utraty reputacji przez te firmy jest jednak większe niż w przypadku firm niezwiązanych z technologią: klienci, potencjalni klienci i partnerzy częściej zrywają relację z firmami technologicznymi, które padły ofiarą ataku ransomware lub innego złośliwego oprogramowania.

Wymagania dotyczące ransomware wciąż rosną

Według najnowszego raportu w 2022 r. liczba ataków ransomware drastycznie wzrosła – 25% wszystkich naruszeń dotyczyło ransomware. Ponadto w 2021 r. aż 66% organizacji zostało zaatakowanych przez ransomware, co stanowi wzrost o 78% w stosunku do 2020 r.

Średnie żądanie okupu gwałtownie wzrosło, gdy przestępcy zdali sobie sprawę, że wiele organizacji jest gotowych zapłacić, aby uniknąć poważnych zakłóceń i kosztów związanych z atakiem ransomware. Na przykład The Washington Post poinformował, że w 2021 roku płatności wymuszane w atakach ransomware wzrosły o 70%.

Pojawienie się kryptowalut, takich jak Bitcoin, jest kolejnym ważnym czynnikiem umożliwiającym gangom ransomware wykonywanie skutecznych ataków i prowadzenie działań bez konsekwencji ze strony organów ścigania. Płatności okupu w kryptowalucie są trudne do wyśledzenia i można je łatwo zamienić na gotówkę. Ponadto wiele firm zajmujących się cyberprzestępczością działa w dużej mierze za pośrednictwem dark web.

Rosnąca eksfiltracja danych

Przestępcy stosujący ransomware nie polegają już wyłącznie na atakach szyfrujących, aby uzyskać okup od swoich ofiar. Coraz częściej atakujący potajemnie eksfiltrują dużą ilość poufnych danych jeszcze przed uruchomieniem ataku ransomware. Niezależnie od tego, czy ofiara jest skłonna zapłacić za klucz odszyfrowywania, o wiele bardziej prawdopodobne jest, że dokona wpłaty, aby uniemożliwić atakującemu wyciek poufnych danych online i narażenie firmy na ryzyko prawne, narażenie reputacji na szwank i działanie niezgodnie z przepisami.

Przykładów tego typu ataków było wiele. Na przykład we wrześniu 2022 r. doszło do naruszenia bezpieczeństwa w Optus, spółce zależnej Singtel i drugiego co do wielkości operatora telefonii komórkowej w Australii (z ponad 10,5 milionami abonentów). Atakujący twierdzili, że uzyskali dane 11 milionów klientów i zażądali okupu w wysokości 1 mln USD.

Marriott International ujawnił, że w 2022 r. w wyniku naruszenia danych skradziono prywatne informacje 500 milionów gości. Gdy hakerzy złamali zabezpieczenia Twittera, przejęli dziesiątki popularnych kont, próbując wyłudzić kryptowaluty od użytkowników.

Jaki jest globalny koszt ransomware?

Trudno oszacować średnią kwotę płatności wyłudzaną w ataku ransomware. Nie wszystkie ataki są zgłaszane, a ponoszone koszty mogą się znacznie różnić w zależności od wielkości i charakteru atakowanej organizacji, ilości zaszyfrowanych danych i żądanego okupu. Jednak z niektórych szacunków wynika, że koszt ataków ransomware może sięgać miliardów dolarów rocznie.

Według raportu rocznego Acronis na temat cyberzagrożeń w 2022 r. średni całkowity koszt naruszenia danych w Stanach Zjednoczonych wyniósł prawie 9,5 mln USD. Jak wspomniano wcześniej, szacuje się, że średni koszt ataku ransomware na całym świecie przekroczy 5 milionów USD w 2023 r.

W raporcie Ransomware Market Report z 2022 r. analitycy branżowi Cybersecurity Ventures przewidują, że do 2031 r. ransomware będzie kosztować ofiary łącznie 265 miliardów dolarów rocznie.

Jaki odsetek ofiar ransomware płaci okup?

Według danych zebranych przez Statista w ankiecie przeprowadzonej w 2022 r. wśród globalnych specjalistów IT, około 72% respondentów zapłaciło okup i odzyskało swoje zainfekowane dane.

Jednak w porównaniu z 2021 r. płatności za ransomware spadły o ponad 40% w 2022 r., ponieważ ofiary opierały się płaceniu swoim szantażystom, jak donosi Chainalysis, firma analizująca blockchain. Według „2023 Crypto Crime Report” (raport na temat kryptoprzestępstw w 2023 r.) podmioty prowadzące ataki ransomware wyłudziły od ofiar 456,8 mln USD w 2022 r. Oznacza to znaczny spadek z 765,6 mln USD w 2021 r. i 765 mln USD w 2020 r.

Czy ubezpieczenie obejmuje ataki ransomware?

Polisy ubezpieczenia cybernetycznego mogą obejmować ataki ransomware, ale konkretny zakres i warunki tych polis mogą się różnić w zależności od ubezpieczyciela i zakupionej polisy. Na przykład niektóre polisy mogą obejmować okup, podczas gdy inne mogą pokrywać jedynie koszty przywrócenia danych lub systemów.

Mimo że wiele polis ubezpieczenia cybernetycznego obejmuje ataki ransomware, w ostatnich latach stawki za te polisy dramatycznie wzrosły. Wynika to z rosnącej liczby cyberataków na całym świecie. Firmy ubezpieczeniowe lepiej rozumieją ryzyko związane z prowadzeniem działalności online i w rezultacie naliczają wyższe składki ubezpieczeniowe.

Ile kosztuje odzyskanie danych i powrót do działalności po ataku ransomware?

Koszt odzyskania danych po ataku ransomware może się znacznie różnić w zależności od zakresu i nasilenia ataku, a okup nie stanowi jedynego kosztu ponoszonego przez firmy.

Koszty przywracania zwykłej działalności po ataku ransomware obejmują wydatki związane z odzyskiwaniem danych, przywracaniem systemu, zapewnianiem zgodności z prawem i regulacjami oraz koszty dotyczące utraty reputacji, a nie tylko faktyczną kwotę okupu. Według niektórych raportów średni koszt ataku ransomware wynosi 4,54 mln USD, nie licząc kosztów okupu, które wynoszą średnio 812 360 USD.

Aby przywrócić działalność po ataku ransomware można zastosować wiele różnych metod, ale najważniejszym warunkiem jest posiadanie dobrej strategii tworzenia kopii zapasowych i odzyskiwania po awarii, aby można było przywrócić dane, gdy zostaną zaszyfrowane.

Należy także zainstalować oprogramowanie antywirusowe chroniące przed złośliwym oprogramowaniem i stosować uwierzytelnianie dwuskładnikowe, aby zapobiec początkowej infekcji. Ponadto ważne jest, aby podjąć kroki zapobiegające powtarzającym się atakom, ponieważ koszt zapobiegania jest zwykle znacznie niższy niż koszt odzyskiwania danych i przywracania działalności.

Jak Acronis Cyber Protect może pomóc w zatrzymaniu ataków ransomware

Acronis Cyber Protect to zintegrowane i ekonomiczne rozwiązanie do ochrony cybernetycznej, które wykorzystuje sztuczną inteligencję (AI) do wykrywania złośliwych działań i zapobiegania atakom ransomware. Rozwiązanie to analizuje zachowanie plików i aplikacji w systemie, przerywając złośliwe procesy i automatycznie cofając wszelkie wyrządzone szkody.

Zawiera solidny silnik chroniący przed ransomware, który proaktywnie wykrywa i blokuje próby zaszyfrowania lub usunięcia danych oraz chroni przed innymi rodzajami złośliwego oprogramowania. Ponadto Acronis Cyber Protect może szybko przywrócić dowolne dane zaszyfrowane przez ransomware: zawiera najlepsze w swojej klasie funkcje tworzenia kopii zapasowych danych i odzyskiwania po awarii, co sprawia, że jest cennym narzędziem dla firm.

Chcesz zobaczyć, jak działa Acronis Cyber Protect? Rozpocznij bezpłatny 30-dniowy okres próbny już dziś!

Do innych ważnych sposobów ochrony danych należą:

• Edukowanie pracowników na temat ransomware i jego działania. Pracownicy powinni być świadomi zagrożeń związanych z otwieraniem załączników do wiadomości e-mail i klikaniem w linki pochodzące z nieznanych źródeł.

  • Wdrażanie środków bezpieczeństwa, takich jak zapory sieciowe, systemy wykrywania i zapobiegania włamaniom, uwierzytelnianie wieloskładnikowe i filtrowanie poczty e-mail.
  • Aktualizowanie systemów i oprogramowania za pomocą najnowszych poprawek bezpieczeństwa. Pomoże to zamknąć wszelkie znane luki w zabezpieczeniach, które mogą wykorzystać atakujący.

  Ransomware to zagrożenie, które nieustannie się zmienia, a małe firmy powinny podejmować proaktywne działania w celu ochrony przed stratami finansowymi.

  Dzięki inwestycji w rozwiązania cyberbezpieczeństwa, szkolenia personelu w zakresie wykrywania podejrzanych działań, tworzenie niezawodnych kopii zapasowych do odzyskiwania danych oraz wdrożenie kompleksowego planu przeciwdziałania tym zagrożeniom firmy mogą obniżyć koszty związane z atakami ransomware.

Jak Acronis Cyber Protect może pomóc w zatrzymaniu ataków ransomware

Acronis Cyber Protect to zintegrowane i ekonomiczne rozwiązanie do ochrony cybernetycznej, które wykorzystuje sztuczną inteligencję (AI) do wykrywania złośliwych działań i zapobiegania atakom ransomware. Rozwiązanie to analizuje zachowanie plików i aplikacji w systemie, przerywając złośliwe procesy i automatycznie cofając wszelkie wyrządzone szkody.

Zawiera solidny silnik chroniący przed ransomware, który proaktywnie wykrywa i blokuje próby zaszyfrowania lub usunięcia danych oraz chroni przed innymi rodzajami złośliwego oprogramowania. Ponadto Acronis Cyber Protect może szybko przywrócić dowolne dane zaszyfrowane przez ransomware: zawiera najlepsze w swojej klasie funkcje tworzenia kopii zapasowych danych i odzyskiwania po awarii, co sprawia, że jest cennym narzędziem dla firm.