Výrobní průmysl jako jeden z hlavních cílů ransomwaru

Výrobní průmysl jako jeden z hlavních cílů ransomwaru

Letos v červnu zacloumal výrobním segmentem útok na belgickou společnost ASCO. Výrobce leteckých komponent musel v důsledku ransomwarového útoku zastavit výrobu na celý týden a přes 1 000 pracovníků poslat na placené volno, dokud nebyl zasažený systém opět obnoven.

Bohužel osud společnosti ASCO dnes sdílí mnoho výrobců, kteří nejsou připraveni na tak rychlý útok. Většina podniků dnes již vše zálohuje, avšak jen málo z nich se dokáže bránit proti ransomwaru, takže obnova počítačových systémů a následně i výroby jsou dlouhé a nákladné. K dalším obětem se v nedávné době zařadil například farmaceutický gigant Merck (ohlášené ztráty 870 milionů dolarů), americká chemická společnost Hexion, globální automobilky Nissan a Renault, americká potravinářská firma Mondelez (188 milionů dolarů), tchajwanský výrobce polovodičů TSMC (250 milionů dolarů), Norsk Hydro (zatím 52 milionů dolarů) či Hayward Tyler, britský výrobce elektrických motorů a čerpadel. 

Proč výrobní odvětví?

Ransomware již několik let zůstává jednou z nejrozšířenějších variant kybernetických útoků, o čemž svědčí i řada průzkumů i případů. Ransomware se do podniku obvykle dostává tehdy, když neopatrný uživatel klikne na podezřelý odkaz či e-mailovou přílohu, poté zašifruje každý soubor v cílovém systému a ohlásí se s požadavkem na výkupné. Po jeho zaplacení slibuje opětovné zpřístupnění dat. Extrémně zranitelné jsou v tomto ohledu výrobní firmy, pro které ztráta klíčových dat znamená přerušení výroby.

Výrobní podniky se staly mezi počítačovými vyděrači velmi populární. Vysoké náklady, které platí společnost v případě stojící výrobní linky (podle nedávné studie firmy Ponemon činí průměrná hodinová ztráta 22 000 dolarů), vytvářejí na oběti ransomwaru obrovský tlak a nutí je k rychlému zaplacení a obnově provozu. K tomu je navíc třeba připočítat sekundární náklady na obnovu dat, nové systémy IT bezpečnosti, školení zaměstnanců atd.

Ransomware je stále rafinovanější

První zásadní ochranou proti následkům zašifrování je pravidelné zálohování, čím častější, tím účinnější, klidně každou hodinu. Čím méně dat firma ztratí, tím lépe. Například česká společnost Armaturka Krnov (dnes Klaus Union) zažila díky pravidelnému zálohování před několika lety ransomwarový „happy end“. Prostřednictvím počítače jednoho z uživatelů se na všechny dostupné disky, tedy i síťové složky, dostal virus Cryptolocker. Ten pak zašifroval veškeré přístupné soubory a tím zničil životně důležitá podniková data. Situace by v případě, že by data nebyla zálohována, mohla mít pro firmu katastrofální až likvidační následky. Díky zálohovacímu systému Acronis Backup Cloud však měla tato hrozivě vypadající událost snadné řešení a za 3,5 hodiny byl celý server (cca 0,5 TB dat) obnoven a veškerý provoz podniku mohl pokračovat.

Avšak útoky ransomwaru jsou stále rafinovanější, dnes jsou schopné zašifrovat i zálohy či paralyzovat zálohovací software. Stále více výrobních společností se proto začíná zabezpečovat aktivní ochranou proti ransomwaru, která je součástí jejich zálohovacích řešení. V České republice se takto chrání například Nová Mosilana či právě Klaus Union, které využívají řešení Acronis Backup. 

Několik pravidel pro účinnou obranu

K minimalizaci následků ransomwarového útoku je třeba dodržovat několik pravidel:

1)      První, co musíte udělat, je nastavit přísnější filtrování pošty. Nejčastějším způsobem nákazy je e-mail a infikovaná příloha nebo odkaz v e-mailu vedoucí na zavirovaný obsah.

2)      Nedávejte administrátorská práva uživatelům, kteří je nemají mít. Největším rizikem jsou uživatelé a není složité přesvědčit nepoučeného uživatele, aby pod nějakou záminkou přílohu otevřel. Takovou přílohou může být například údajně neproplacená faktura zaslaná na fakturační oddělení, údajný životopis zaslaný na personální oddělení, údajná objednávka zaslaná na obchodní oddělení nebo údajné potvrzení o doručování zásilky.

3)      Aktualizujte. Aktuální systém většinou znamená záplatovaný a méně děravý systém (ne vždy samozřejmě). V pravidelně aktualizovaných systémech je vždy nižší riziko, že bude systém ransomwarem napaden a ten se tak bude šířit dále.

4)      Využívejte aktivní ochranu proti ransomwaru, jako jsou antiviry a bezpečnostní software. Nebo využijte aktivní ochranu proti ransomwaru, která je přítomná ve všech zálohovacích řešeních Acronis. Výhodou aktivní ochrany Acronis je to, že je specializovaná přímo na ransomware. Aktivní ochrana může detekovat a zastavit šifrování i šíření ransomwaru nebo alespoň zmírnit napáchané škody.

5)      Využijte pasivní ochranu zálohováním. Žádná aktivní ochrana nezaručí 100% obranu proti ransomwaru. Vždy je to boj mezi vývojáři aktivní ochrany a tvůrci ransomwaru. Aktivní ochrana tak pouze zvyšuje šanci na odolání útoku. Vytvářejte proto zálohy a ukládejte je na bezpečné místo. Pokud bude nejhůř, data i systémy obnovíte ze záloh.

6)      Chraňte zálohy. Pokud se ransomware dostane k zálohám (chytřejší ransomware se o to pokouší nejdříve), bez milosti je zašifruje také. Pokud např. využíváte zálohovací řešení Acronis, pak máte navíc k dispozici aktivní ochranu proti ransomwaru. Ta mimo jiné nedovolí z napadených strojů šifrovat zálohy vytvořené Acronisem (tzv. Acronisself Defense System).

7)      Schovejte zálohy. Zálohy nemusíte aktivně chránit, pokud se k nim ransomware nedostane. Neukládejte proto zálohy do úložišť, kam mají přístup všichni. To nejhorší, co můžete udělat, je ukládat zálohy volně hned vedle dat uživatelů. Je třeba vyčlenit nějaký prostor pro zálohy a oddělit jej. Je též nezbytné přesně určit práva.

8)      Kopie záloh ukládejte na místo, kde jim ransomware nemůže ublížit. Ideálním místem je správně zabezpečené cloudové úložiště. Proč je to tak? Protože komunikace mezi klientskými zařízeními a cloudovým úložištěm je realizována proprietárním mechanismem pomocí ověřování, mj. skrze platné certifikáty, není tedy žádná šance, že by ransomware zálohy v cloudu poškodil či zašifroval. To znamená, že i kdyby byla zrovna organizace pod útokem a do cloudového úložiště by se poslala zavirovaná záloha, ostatní zálohy uložené v cloudu budou v pořádku. Poslední, nakaženou zálohu nebude možné použít pro obnovu, ale bude možné použít jakoukoli jinou, dříve vytvořenou zálohu, jejíž obsah již není zašifrovaný.

Disaster Recovery pro nejnáročnější

Pokud splníte všechny předchozí body, máte takřka jistotu, že o svá data nepřijdete. Nicméně stále existuje nemálo firem, které si nemohou dovolit ani sebemenší přerušení výroby.  Pokud taková organizace není ochotna tolerovat výpadky způsobené ransomwarem nebo jinou příčinou (např. musí garantovat plynulý provoz, provozuje kritické systémy, každá hodina výpadku generuje obrovské ztráty), doporučuje se využít kombinace podnikového zálohovacího řešení a systému Disaster Recovery.

Tento systém dokáže v okamžiku havárie (způsobené například ransomwarem) spustit kritické stroje v cloudu společnosti Acronis a převzít tak veškeré služby, které je nutné provozovat. Po opětovném zprovoznění produkčního prostředí přepne zákazník téměř bez výpadku (1–2 minuty off-line) fungování zpět na produkční stroje v organizaci. Na ty se na pozadí nahrají aktuální data z dočasně běžících cloudových strojů a následně dojde k přepnutí.

Žijeme v době stále větší závislosti na datech, což platí zejména pro segment výrobních podniků. Trendy jako Průmysl 4.0, automatizace, Internet of Things a další způsobují řádový nárůst kritických dat, která je třeba stále silněji chránit před rostoucími riziky. Zálohování je dnes nutnou, nikoli však postačující podmínkou a je třeba jej doplnit také o prvky aktivní ochrany.

www.acronis.cz

Autor: Aleš Hok, Sales Manager, Acronis CZ

Továrna

Původní Továrna periodicky mapovala vždy monotématicky různé segmenty tuzemského i světového průmyslu.

www.itovarna.cz