¿Deberías pagar cuando te ataca un ransomware? Hay varias cosas a considerar primero


El hecho de que tenga sentido pagar un rescate por los datos retenidos como rehenes depende de muchas variables. Los expertos definen las variables y por qué son importantes.

istock-684726904.jpg

Imagen: vchal, Getty Pictures / iStockphoto

Ya sea para pagar un rescate para desbloquear datos secuestrados o detener un ataque de denegación de servicio distribuido es un tema candente en este momento. Como muchas otras cuestiones, en la superficie parece ser una straightforward decisión de sí o no. Sin embargo, si observa la imagen completa, tomar esa decisión no es nada simple.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

«Por un lado, simpatizo con los llamamientos para prohibir estos pagos por completo», dijo Richard Hummel, líder de inteligencia de amenazas en Netscout. «La naturaleza transnacional de la extorsión cibernética hace que sea muy difícil utilizar las técnicas tradicionales de aplicación de la ley. Por otro lado, el daño de no pagar a veces puede ser demasiado perjudicial para los sectores sensibles. Estoy pensando en la atención médica en specific. Si un clinic no puede acceder a los registros, lo que a su vez pone en peligro la vida de los pacientes, es difícil justificar que no pague «.

Qué considerar al decidir si pagar una demanda de ransomware

Como se mencionó anteriormente, se debe considerar el panorama common. «La decisión de pagar una demanda de ransomware debe tomarse con cuidado, con el reconocimiento y la aceptación de los riesgos y en conjunto con varias partes interesadas: asesores legales, fuerzas del orden, proveedores de ciberseguros y expertos en seguridad», escribió Kris Lovejoy, líder worldwide de asesoría en ciberseguridad de Ernst. & Younger World wide Limited, en su artículo de EY.com Ransomware: pagar o no pagar. «Además, el pago de un rescate por parte de la organización o de la aseguradora podría generar dudas sobre si el pago constituye el financiamiento de grupos criminales, terrorismo, estados rebeldes y / o una violación de las leyes contra el lavado de dinero».

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

Lovejoy cree firmemente en estar preparado más allá de las protecciones habituales de la infraestructura de TI. Aquí está su lista de lo que debería estar en su lugar para minimizar el daño de un ataque de ransomware:

  • Considere la posibilidad de obtener un seguro de ciberseguridad e interrupción del negocio.
  • Retenga un equipo de respuesta de ciberseguridad con experiencia en responder a eventos de ransomware.
  • Cree políticas corporativas para pagar el rescate. Lovejoy sugirió que se consulte a asesores internos y / o externos y a las compañías de seguros cibernéticos.
  • Decide a quién debe notificarse en caso de un ataque de ransomware, incluidas las fuerzas del orden, los abogados externos, la compañía de seguros y los reguladores. Lovejoy agregó: «Esto debería ser parte de su libro de estrategias de respuesta a incidentes, que debería ejercitarse, revisarse y actualizarse con frecuencia». Nota: En su artículo, Lovejoy discutió los requisitos de divulgación relacionados con el pago del rescate. Desafortunadamente, los gobiernos, las agencias reguladoras y los estados no marchan al mismo paso sobre la divulgación. Sin embargo, hay ayuda por ejemplo, recursos compilados como el informe Leyes de seguridad de datos y ransomware: una guía para cumplir con las reglas de notificación de incumplimiento de EE. UU. Y la UE ofrecido por Varonis Devices y el sitio web de gobierno de TI, que enumera leyes de notificación de violación de datos por estado. (Visite sitios específicos de cada estado para obtener los datos más recientes).
  • Decidir cuándo, cómo y bajo qué condiciones se tomará la decisión de pagar o no pagar. Lovejoy sugirió usar ejercicios que simulen posibles incidentes de ransomware y probar si las decisiones tomadas durante el ejercicio funcionarían si ocurre un evento de ransomware actual.
  • Obtenga conocimientos sobre cómo funcionan las criptomonedas, ya que los pagos de rescate normalmente se realizan con Bitcoin. En su artículo, Lovejoy advirtió: «Esta (transacción de Bitcoin) generalmente la realiza un tercero. El IR externo y los abogados tendrán sus preferencias, al igual que las aseguradoras que pueden requerir el uso de una parte en distinct». Nota: Hummel insta a ser cauteloso cuando se trata de transferir los fondos: «Debido a que la extorsión cibernética ha sido tremendamente lucrativa para los delincuentes en los últimos años, ha surgido una industria artesanal de empresas para facilitar el proceso de realizar pagos de extorsión, y esto ha hecho que extorsiones mucho más fáciles «.
  • Pruebe la capacidad de recuperarse de una copia de seguridad a escala. Lovejoy dijo: «Es mejor asumir que sus últimas copias de seguridad buenas conocidas también están comprometidas».

El proceso no es instantáneo. Ya sea que decida pagar o no, llevará tiempo volver a las operaciones comerciales normales. Lovejoy señaló la importancia de mantener las funciones esenciales de la compañía de acuerdo con la parte de continuidad comercial del guide de estrategias de respuesta a incidentes.

Por qué es importante estar preparado para el ransomware

No hay una respuesta correcta a la hora de decidir si pagar a los ciber-extorsionadores. Lovejoy y Hummel instan a tener precaución al tomar la decisión en particular, ¿qué cantidad de riesgo es aceptable?

«El momento de determinar la política hacia el pago de ransomware no es durante el evento», dijo Lovejoy. «Esto es aún más crítico ya que parece que los atacantes de ransomware reconocen las limitaciones de su modelo de negocio y están empezando no simplemente a cifrar los datos, sino a exfiltrarlos».

Para obtener más información sobre el ransomware, lea estos artículos de TechRepublic: 5 cosas más que debe saber sobre el ransomware, Los cinco sectores comerciales principales a los que se dirige el ransomware, La encuesta revela que los departamentos de TI víctimas del ransomware cambiaron para siempre y Cómo proteger los puntos finales remotos de su organización contra el ransomware.

Ver también



Enlace a la noticia primary