Bezpečnost firem

    Ransomware jako byznys: proč útočníci teď kradou data, nestačí jim je zablokovat

    Zálohy nestačí. Moderní ransomware data nejdřív ukradne, pak zašifruje – a firma čelí GDPR odpovědnosti.

    13. března 202611 min čteníTým digitalnibezpeci.cz

    Zálohy jste měli. Systémy jste obnovili. Výkupné jste nezaplatili. Mysleli jste, že jste vyhráli. Pak přišel e-mail: „Máme vaše zákaznická data. Pokud nezaplatíte do 72 hodin, zveřejníme je." Toto je dvojité vydírání – technika, která v posledních třech letech přepsala pravidla ransomwarového byznysu. A pro firmy v EU přidala nový rozměr: GDPR odpovědnost za únik dat zákazníků.

    Jak se ransomware změnil – od šifrování k exfiltraci

    Původní ransomware byl jednoduchý. Zašifruj soubory. Vyžádej výkupné za dešifrovací klíč. Firma zaplatí nebo obnoví ze zálohy.

    Zálohy tento model rozbily. Firmy přestávaly platit, protože měly čistou kopii dat. Ransomwarové skupiny reagovaly evolucí útoku.

    Od přibližně roku 2020 standardní postup vypadá takto: útočník nejprve data zkopíruje (exfiltrace), pak teprve zašifruje. Výkupné se požaduje dvakrát – jednou za dešifrování, podruhé za nezveřejnění ukradeného. Zálohy přestaly být dostatečnou záchranou.

    Skupiny jako LockBit, BlackCat nebo Cl0p provozují tzv. shame sites – weby, kde zveřejňují ukázky dat obětí, které nezaplatily. Je to veřejný nátlak s přesným termínem.

    Proč dvojité vydírání funguje jinak než klasický ransomware

    Šifrování dat

    Provozní problém. Záloha ho řeší.

    Únik osobních dat

    Právní a reputační problém. Záloha ho neřeší.

    Pod GDPR musí firma nahlásit únik osobních dat do 72 hodin od zjištění Úřadu pro ochranu osobních údajů. Pokud data uniknou a firma to neohlásí včas, přichází pokuta. Pokud data uniknou a firma ohlásí, pořád může přijít pokuta za nedostatečné zabezpečení.

    „Firma čelí odpovědnosti z obou stran zároveň. Regulátor kybernetické bezpečnosti a Úřad pro ochranu osobních dat mohou udělit sankce nezávisle na sobě."

    — Monika Mareková, advokátka (debata iDnes Lounge)

    A k tomu přidejte NIS2. Firmám v dodavatelském řetězci regulovaných sektorů zákon nově přikazuje odpovědnost za bezpečnost dat zákazníků, která zpracovávají. Dvojité vydírání tedy může zasáhnout firmu, která sama regulovaná není – ale data zpracovává pro toho, kdo je.

    Jak moderní ransomwarové skupiny fungují – Ransomware as a Service

    Ransomware přestal být doménou sofistikovaných hackerů. Je to byznys s franchisovým modelem.

    Ransomware as a Service (RaaS) funguje takto: vývojáři skupiny jako LockBit nebo BlackCat poskytují affiliates hotový nástroj – software, infrastrukturu, support. Partneři provedou útok a odvádějí 20 až 30 procent výkupného jako provizi. Zbytek si nechají.

    To znamená, že útok dnes může provést kdokoli s přístupem k dark webu a pár stovkami dolarů na pronájem nástroje. Technická bariéra zmizela.

    Průměrná doba od prvního průniku do sítě po aktivaci šifrování je podle bezpečnostních reportů přibližně 21 dní. Po celou tu dobu útočník tiše sbírá data, mapuje síť a hledá zálohy.

    Co zálohy chrání – a co ne

    Zálohy jsou nezbytné. Chrání před výpadkem provozu. Ale v modelu dvojitého vydírání řeší jen část problému.

    Co zálohy vyřeší

    Obnova systémů a dat po šifrování
    Zkrácení doby výpadku
    Zamezení platbě výkupného za dešifrování

    Co zálohy nevyřeší

    Data zákazníků jsou již u útočníka
    Hrozba jejich zveřejnění
    GDPR povinnost nahlásit únik
    Reputační škoda

    Proto moderní přístup k ochraně před ransomwarem musí zahrnovat prevenci průniku, ne jen obnovu po útoku. Zálohovací strategie pro firmy →

    Kde útočníci nejčastěji vstupují

    70 %+

    Phishingový e-mail

    Přes 70 procent útoků začíná kliknutím zaměstnance na škodlivý odkaz nebo přílohu.

    ~20 %

    Slabá nebo ukradená hesla

    Zaměstnanec používá stejné heslo na firemním VPN i na soukromém e-mailu. Útočník heslo prostě koupí na dark webu.

    ~10 %

    Vzdálený přístup bez 2FA

    RDP otevřený do internetu bez dvoufaktorového ověření.

    Všechny tři vstupy jsou technicky jednoduché na uzavření. Vyžadují disciplínu, ne investici.

    Praktická ochrana – priority v pořadí dopadu

    1

    Segmentace sítě

    Pokud ransomware vstoupí přes jeden počítač, segmentovaná síť zabrání šíření do celé infrastruktury.

    2

    Zálohy 3-2-1 s offline kopií

    Tři kopie, dva různé typy médií, jedna offline nebo v cloudu odděleném od sítě. Záloha připojená k firemní síti bude při útoku zašifrována také.

    3

    Správce hesel a unikátní hesla

    Eliminuje útok přes ukradené přihlašovací údaje. Jeden z nejlevnějších a nejúčinnějších nástrojů.

    Password manager pro firmy →
    4

    Dvoufaktorové ověření na všem

    E-mail, VPN, cloudové služby, firemní aplikace.

    5

    Plán reakce na incident

    Kdo co dělá, když k útoku dojde. Kam se hlásí. Kdo kontaktuje NÚKIB a ÚOOÚ. Bez plánu se 72hodinová GDPR lhůta nestihne.

    Správce hesel a šifrované zálohy: dvě opatření s přímým dopadem

    NordPass Business zajistí unikátní silná hesla pro celý tým a eliminuje útok přes ukradené přihlašovací údaje. Proton Drive nabízí šifrované cloudové úložiště oddělené od vaší sítě – ideální pro offline zálohu citlivých dokumentů.

    Affiliate odkaz – podpoříte tím provoz webu.

    Bezplatné alternativy: Bitwarden (správce hesel), Google Drive / OneDrive (základní cloud záloha).

    Závěr

    Ransomware se profesionalizoval. Není to náhodný útok – je to byznys s kalkulací výnosnosti, zákaznickou podporou a partnerským programem.

    Firma, která dnes nemá základní opatření, není jen zranitelná technicky. Je zranitelná právně. Dvojité vydírání kombinuje provozní výpadek s GDPR odpovědností a výsledek je vždy dražší než prevence.

    Zálohy jsou nutnost. Ale prevence průniku je stejně důležitá – možná důležitější.

    Chcete zabezpečit firmu před ransomwarem?

    Začněte správcem hesel, zálohami a plánem reakce na incident.