92% af alle de virksomheder, der har betalt hackere for fjernelse af ransomware, får aldrig adgang til alle deres filer igen
Hvorfor beskytte mod ransomware-angreb?
En virksomhed, der ikke har adgang til sine filer, er en virksomhed, der står helt og aldeles stille. Det eneste, der bevæger sig, er lønkontoen for de medarbejdere, der sidder og venter på, at der bliver adgang til deres arbejdsdokumenter igen, eller at deres produktionsapparat igen får adgang til de filer, der styrer f.eks. robotsvejsere eller lignende.
Det ved afpresserne godt, og derfor satser de på at sætte afpresningsbeløbet på en sådan måde, at det er billigere for virksomheden at betale løsepengene, end at lade lønkontoen og kontoen for tabt arbejdsfortjeneste blive ved med at vokse, uden at der sker nogen produktion. Det er derfor, ransomware-angreb er så effektive – virksomheden løber relativt hurtigt tør for penge, så man har et begrænset tidsrum at agere i.
Ransomware kan være et dyrt bekendtskab
Når det er sagt, så er “billigere” en meget relativ term i den sammenhæng: NetDilligence opgjorde i en rapport fra 2021 det gennemsnitlige krav fra afpresserne til at være USD 175.000, med en median på USD 28.000. Generelt ses der sjældent krav under USD 10.000, så det er bestemt ikke småpenge, vi snakker om – og for en mindre virksomhed kan en “dummebøde” på 65.000 kr. og mindst et par dages tabt produktion nemt være en trussel mod virksomhedens eksistens.
Det helt store problem i forbindelse med et ransomware-angreb er imidlertid ikke, at virksomheden risikerer at skulle til lommerne. Problemet er, at selv efter at man har betalt afpresserne, er der en vis risiko for, at man ikke får adgang til virksomhedens filer igen, eller kun til nogen af dem. Forbes rapporterede i maj 2021, at en undersøgelse havde vist, at op mod 92% af alle de virksomheder, der havde betalt afpresserne, ikke havde fået adgang til alle deres filer igen. Problemet var typisk at noget var gået galt under krypteringen af nogle filer, så deres indhold var ødelagt ud over, hvad en dekryptering kunne reparere. Det var forskelligt fra virksomhed til virksomhed, hvor stor en andel af de oprindelige filer, der kunne genskabes, men en tommelfingerregel var omkring 60%. En anden undersøgelse i marts 2021 viste, at omkring 7% af de betalende ofre for ransomware-angreb aldrig fik adgang til deres filer igen, enten fordi en forfejlet kryptering ikke kunne låses op igen, eller fordi afpresserne aldrig sendte den softwarenøgle, som kunne låse op for de krypterede filer. Dette er selvsagt skrækscenariet hvor ingen form for betaling vil kunne redde virksomhedens data – de er smadret til ugenkendelighed, og kommer aldrig tilbage.
Vil du høre hvordan vi kan hjælpe dig med at undgå ransomware?
- Indtast navn og nummer - klik på send
Nye former for afpresning med ransomware
Ud over risikoen for tab af data, er der en ny type afpresning, der er hastigt stigende. Afpresserne har hentet en kopi af alle filer før krypteringen, og medmindre der betales yderligere løsepenge, truer de med at offentliggøre dem.
Det siger sig selv, at det vil være jævnt katastrofalt for forholdet til medarbejdere, samarbejdspartnere, leverandører og kunder, hvis alle aftaler og kontrakter med deres navn på, pludselig er til offentligt skue, for slet ikke at tale om konsekvenserne i forhold til GDPR-lovgivningen.
Hvad er ransomware?
Ransomware er et lille stykke ondsindet software, som brugeren lokkes til at hente og aktivere, og på få sekunder programmet starter en kryptering af alle de harddiske og netværksdrev, som er tilkoblet den inficerede computer. På en arbejdsplads vil det i praksis sige alle de filer, som en medarbejder har adgang til, både på sin egen computer, på de netværksdrev, hvor alle delte filer ligger, samt alle de filer, der synkroniseres med et lager i skyen (f.eks. OneDrive, Google Drev, Dropbox eller lignende).
Krypteringen betyder, at indholdet i filerne (dokumenter, regneark, præsentationer, PDF-fier mv.) ikke længere kan læses, hvilket selvsagt er katastrofalt for virksomhedens drift – ofte ligger både kontrakter, samarbejdsaftaler og kommunikation med kunder og leverandører i stor udstrækning gemt i elektronisk form på delte drev.
Når krypteringen er sket, viser softwaren en besked om, hvordan man kan indbetale et beløb i krypto-valuta for at få en software-nøgle, der – i hvert fald i teorien – kan dekryptere alle filer og gøre dem brugbare igen. Betalingen i krypto-valuta kan ikke spores, så der er stort set ingen risiko forbundet med denne afpresning for de kriminelle, som udfører angrebet.
Hvordan beskytte mod ransomware?
Der er flere lag i beskyttelsen mod ransomware, og det er vigtigt at fastslå, at ingen af dem kan stå alene, da ingen af dem i praksis er 100% effektive. Fælles for dem er også, at man kontinuerligt skal afveje prisen på løsningerne mod, hvor store mængder data, man kan tåle at miste – det kommer vi tilbage til om lidt.
De forskellige strategier er:
Stop ransomware før det overhovedet kommer ind i virksomheden.
Dette vil typisk ske med en kombination af undervisning af virksomhedens medarbejdere og anti-virus på alle enheder med adgang til firmaets netværk. Mange medarbejdere bliver meget bedre til at gennemskue forsøgene på at narre dem til at klikke på et program med ransomware, når først de har fået den nødvendige undervisning i at spotte dem.
Nogle medarbejdere vil imidlertid stadig klikke på downloadet software uden at vide, hvor den kommer fra, og der vil stadig komme nye former for ransomware, som anti-virus programmet ikke kender, så ingen af disse strategier kan beskytte virksomhedens data 100%.
Begræns adgangen til følsomme data, så ransomware-angreb ikke kan komme til dem.
Dette er ofte en overset strategi, specielt i mindre virksomheder, da den kræver en vis viden om, hvordan man sætter brugerrettigheder op for adgangen til netværksdrev, og hvordan man løbende tilpasser disse, så den enkelte medarbejders produktivitet ikke begrænses af restriktive regler og stive adgangspolitikker. Det kan selvfølgelig læres, men ofte vil det være mere effektivt at hyre en ekstern konsulent til at hjælpe med opgaven.
Uanset hvad, er det en ekstremt dårlig idé at give alle medarbejdere adgang til alle filer og data – i så fald skal der bare være én medarbejder, der falder i fælden, hvorefter alt og alle filer er krypteret og låst. Som minimum bør man være opmærksom på adgangen til software og styringsfiler til produktionsmaskiner, filer med aftaler og kontrakter, samt alle filer med virksomhedens økonomiske oplysninger. Igen gælder det, at vi ikke kan forhindre ransomware i at slippe ind til vores data i alle tilfælde, men vi kan begrænse skaden, så vi kun skal genskabe en del af virksomhedens data, mens resten af virksomheden kører uhindret videre.
3-2-1 Backup!
Et gammelt princip, som stadig er uhyre aktuelt i dag. Der skal være tre kopier af alle filer, de skal være på minimum to forskellige medier, og mindst én af dem skal være fysisk adskilt fra de originale data.
Den del er sådan set den nemmeste: Vi har en lokal kopi af vores filer på brugerens computer eller på et netværksdrev, en ekstra kopi i skyen og en lokal backup, som også kopieres til skyen eller en off-site lokation. Dette giver os i praksis en 4-2-2 løsning med 4 kopier af alle filer (lokalt, i skyen, lokal backup og backup i skyen), på mindst to medier (lokalt og skyen) og to af dem er fysisk adskilt fra de originale filer (skyen og backup i skyen).
Hvordan er din virksomhed forberedt på Ransomware - Tag testen - KLIK HER
Vil du høre hvordan vi kan hjælpe dig?
- Indtast navn og nummer - klik på send
Når 1 backup ikke er nok!
Et ransomware-angreb kan stadig kryptere vores data på den lokale computer og på netværksdrev – det konstaterede vi ovenfor. Vi kan begrænse risikoen, men ikke fjerne den helt.
Så har vi kopien af vores data i skyen, som i princippet giver os en vis beskyttelse, men igen – ikke helt. Hvis en lokal fil krypteres af ransomware, vil den krypterede, lokale fil jo erstatte den originale fil i skyen, ligesom hvis vi havde lavet en rettelse eller tilføjelse i filen som normalt.
Systemer som OneDrive laver en række versioner af den ændrede fil, så vi kan vende tilbage til en tidligere udgave, hvis vi ved en fejl er kommet til at slette vigtigt indhold i filen – men det ved udviklerne af ransomware godt, så de krypterer ikke filen én gang, men mange, og overskriver dermed alle tidligere gemte versioner.
OneDrive og andre systemer modgår dette ved at stoppe synkroniseringen, hvis der detekteres et stort antal ændrede filer på meget kort tid, men det er stadig ikke nogen 100% sikker metode – ransomware-udviklerne prøver selvsagt hele tiden at lave nye versioner af deres ransomware, som sniger sig under radaren.
Endelig er der vores backup, som kun bør være tilgængelig fra ganske få computere i virksomheden (typisk systemadministratoren) eller via et webinterface, og som ikke deler lager med nogen anden form for data. Dette er vores sidste bastion, og her må ransomware aldrig kunne nå ind. Vi laver godt nok en kopi til skyen, men det er mere for at forhindre tab af data, hvis den originale backup stjæles eller bliver ødelagt af f.eks. lynnedslag, oversvømmelse eller brand.
I princippet kan man skære helt til benet og kun have filer til at ligge på et netværksdrev og i en backup i skyen, men i praksis giver det nogle udfordringer, når der er behov for at tilgå filer udenfor kontoret, eller når der skal reetableres store mængder data fra backup, så det er en dårlig idé – ikke bare i forhold til ransomware, men i det hele taget.
Som nævnt ovenfor, er selve den fysiske opdeling af data og deres sikkerhedskopier den nemmeste del – den kan klares med lidt planlægning og en pose penge. Den svære del er at få overblik over, hvor ofte data skal sikkerhedskopieres, og hvor de skal gemmes. Kort sagt skal vi beslutte os for, hvor mange data, vi kan tåle at miste fuldstændig, og hvor lang tid, der må gå, før vi har fået adgang til de data, vi ikke mistede.
Det er ikke unormalt at møde en løsning, hvor man har en øjeblikkelig synkronisering af alle filer på den lokale computer til skyen i løbet af dagen, og så en natlig sikkerhedskopiering af alle netværksdrev til en lokal server. Umiddelbart ligner det en solid løsning – brugerens filer ligger trygt og godt i en kopi i skyen, og alle fælles filer sikkerhedskopieres hver nat.
I praksis er løsningen hullet som en schweizerost, og det er ikke kun fordi ransomware kan overskrive alle gemte versioner af en fil i skyen.
Synkroniseringen fra den lokale computer foregår kun for den mappe, den pågældende sky anvender (f.eks. “OneDrive”, “Google Drev”, Dropbox” eller lignende), mens alle andre mapper på computeren ikke kopieres. Medmindre alle virksomhedens medarbejdere har en nærmest millitær datadisciplin, vil der næsten altid ligge filer på skrivebordet eller i mappen med overførsler, og dem laves der ikke en kopi af. E-mail sikkerhedskopieres heller ikke, så alt, der ikke er gemt på en mailserver et sted, er også tabt for evigt.
Den natlige sikkerhedskopiering af alle netværksdrev er sådan set meget god, men hvad sker der, hvis en medarbejder lige skal klare et par e-mails fra den bærbare en fredag aften kl. 22:17, og kommer til at klikke på et stykke ransomware, som på sekunder begynder at kryptere alle netværksdrev via VPN-forbindelsen til kontoret? Den sidste backup blev lavet kl. 02:48 om morgenen, så kan vi holde til, at alt, der er lavet siden da, er tabt?
Hvor mange mandetimer er vi klar til at ofre på at genskabe de aftaler, vi har lavet med kunder og leverandører, og kan det overhovedet lade sig gøre i praksis? Noget er måske aftalt i e-mails, men hvad med det, der er aftalt i telefonen? Kan vi huske det i hovedet, og er vi klar til at ringe til kunden eller leverandøren og indrømme, at vi er nødt til at have en ny kopi af den underskrevne kontrakt, fordi vi er nogle klovner til at holde vores data sikre? Hvor mange penge risikerer vi at miste, hvis en eller flere kunder vælger os fra på grund af vores manglende datasikkerhed?
“Jamen vores netværksdrev bliver horribelt langsomt, hvis vi laver backup midt på dagen, og det samme gælder brugernes computere” er et ret almindeligt argument for kun at lave natlige sikkerhedskopier.
Så har I den forkerte løsning”, vil svaret herfra være
Lad os hjælpe jer med den rigtige løsning der sikrer jeres virksomhed
Vi kan hjælpe jer med sikkerhedskopiering helt ned på timebasis gennem dagen (for nogle datatyper helt ned til 5 minutters intervaller), og hvis en realistisk, økonomisk funderet evaluering finder, at det er det interval, der er nødvendigt for jeres virksomheds overlevelse i tilfælde af en katastrofe (som et gennemført ransomware-angreb må siges at være), kan det ikke nytte noget at I kører videre med en halv løsning – så ryger nattesøvnen.
Lad os hjælpe jer med at gennemgå jeres data, jeres sikkerhedssystemer, jeres netværk, jeres lagringssystemer og alt det andet, der er den absolutte rygrad i jeres virksomheds drift, og skabe en praktisk og overskuelig plan for, hvordan I undgår at miste flere data og have længere driftsstop, end I har råd til at opleve. Det er når hovedet er koldt og pulsen er normal, at den type beslutninger skal tages – ikke når hele virksomhedens IT-struktur ligger hen som rygende ruiner, og medarbejderne stirrer tomt ud i luften ved den slukkede computer.
Lad os hjælpe jer med den rigtige løsning der sikrer jeres virksomhed
Vi kan hjælpe jer med sikkerhedskopiering helt ned på timebasis gennem dagen (for nogle datatyper helt ned til 5 minutters intervaller), og hvis en realistisk, økonomisk funderet evaluering finder, at det er det interval, der er nødvendigt for jeres virksomheds overlevelse i tilfælde af en katastrofe (som et gennemført ransomware-angreb må siges at være), kan det ikke nytte noget at I kører videre med en halv løsning – så ryger nattesøvnen.
Lad os hjælpe jer med at gennemgå jeres data, jeres sikkerhedssystemer, jeres netværk, jeres lagringssystemer og alt det andet, der er den absolutte rygrad i jeres virksomheds drift, og skabe en praktisk og overskuelig plan for, hvordan I undgår at miste flere data og have længere driftsstop, end I har råd til at opleve. Det er når hovedet er koldt og pulsen er normal, at den type beslutninger skal tages – ikke når hele virksomhedens IT-struktur ligger hen som rygende ruiner, og medarbejderne stirrer tomt ud i luften ved den slukkede computer.
Som ekstern IT-konsulent fokuserer vi på den bedste løsning og går langt for tilpasse den helt rigtige IT-løsning.
Få en driftsikker serverløsning og lad os stå for IT-driften. Professionel etablering, drift og support.
Hvad gør I, hvis uheldet er ude? Med systematisk tilpasset backup og recovery, kan I hurtigt være kørende igen.