Dan Mihai
Aceasta a fost tema unei prezentări conduse de Jerry Bessette și Jake Norwood la congresul anual de cybersecurity ONE Conference 2021 desfășurat pe 28 și 29 septembrie în Haga, Olanda – unul dintre cele mai mari de acest gen din Europa. Motivul principal al afirmației din titlu constă în faptul că organizațiilor le este din ce în ce mai greu să țină pasul cu multitudinea de atacuri ransomware care devin mai complexe pe zi ce trece din pricina faptului că atacatorii adună din ce în ce mai multe resurse și experiență pentru a le derula. În cadrul prezentării, dl. Bessette relatează lecții învățate din experiența sa din sectorul public și privat lucrând ca agent FBI și ca specialist în cybersecurity.
În prezent, Jerry Bessette ocupă funcția de vice-președinte senior la compania Booz Alan Hamilton și conduce departamentul CIRP (Cyber Incident Response Program) din cadrul acesteia. El se ocupă de ciclul complet al unui incident, anume pregătirea (măsuri de protecție pentru a evita atacurile cyber), răspunul (acționarea directă în cazul unui atac)și remedierea (încercarea de a minimiza daunele și a readuce totul la normal). Înainte de a lucra la BAH, Dl. Bessette a lucrat ca CISO (chief information security officer) la mai multe corporații mari, acesta ajutându-le să răspundă la atacuri asupra cyber securității. În plus, acesta mai are o carieră de admirat de 24 de ani în cadrul FBI, unde a lucrat ca agent special și ulterior ca manager executiv. În cadrul FBI, Dl. Bessette a condus echipa națională de răspuns la incidente de cybersecuritate, unde acesta a dezvoltat unelte de combatere a adversarilor din spațiul cyber.
Dl. Bessette, asistat de dl. Norwood, expert în livrarea produselor de cybersecurity din cadrul aceleiași companii, a explicat că atacatorii din spatele incidentelor de tip ransomware adună din ce în ce mai multă experiență, rezultând astfel în extinderea metodelor și a complexității cu care ei acționează. Din acest motiv, diviziile de cybersecurity ale organizațiilor întâmpină o dificulate din ce în ce mai sporită în combaterea acestor incidente, resursele de care acestea dispun fiind depășite de resursele atacatorilor care cresc exponențial. Un atac ransomware începe prin infiltrarea hackerilor în sistemele companiei țintă, urmând să fure cantități mari de date pe care le criptează prin intermediul programelor de ransomware. Astfel, compania țintă poate rămâne indisponibilizată, neavând acces la datele sau sistemele necesare desfășurării activității. Mai departe, hackerii pornesc negocierile prin șantaj cu compania compromisă , deobicei cerând o recompensă monetară (plătită în bitcoin) în schimbul deblocării datelor și, eventual, în schimbul promisiunii că nu vor divulga sau vinde datele furate publicului sau altor companii. Astfel, procesul conducerii unui atac este unul complex care implică mai multe etape, iar diferiții adversari pot avea metode diverse pentru fiecare dintre ele. De aceea, dezvoltarea unui plan standard de răspuns la un ransomware este aproape imposibilă, deoarece toate atacurile sunt diferite și trebuie tratate după caz.
În continuare, Jerry Bessette a împărtășit din experiențele sale lucrând în domeniul de cybersecurity atât în sectorul public, pentru FBI, cât și în cel privat, pentru diferite corporații. Acesta a povestit cum un caz anume l-a făcut să realizeze că atacatorii nu erau un grup de adolescenți dornici să facă un ban de pe spatele corporațiilor, așa cum crezuse inițial, ci companii întregi care operează ilegal și al căror obiect de activitate constă exclusiv în ransomwareuri sau alte atacuri. În acel caz particular, compania țintită a decis să trimită recompensa cerută în urma ransomware-ului, dar din cauza unei greșeli a făcut două transferuri în bitcoin în loc de unul, platind-o astfel de două ori. Deși puteau să plece cu dublul sumei cerute fără nicio problemă, atacatorii au trimis, politicos, banii aflați în plus înapoi, urmând să întrebe compania dacă dorește să achiziționeze de la ei soluții de cybersecurity pentru a se proteja în viitor de astfel de atacuri. Astfel, dl. Bessete a mai precizat că aceste companii ilegale care conduc atacurile ransomware sunt foarte profesionale și bine organizate, având până și call centers pentru șantajarea companiilor compromise și proceduri bine gândite pentru modul în care să conducă negocierile și transferurile.
Spre sfârșitul prezentării, dl. Bessete a sugerat niște metode de pregătire eficiente învățate de-a lungul carierei sale pentru companii în scopul prevenirii atacurilor ransomware. În schimb, acesta a subliniat faptul că aceste atacuri nu vor dispărea din cauza ritmului rapid cu care atacatorii își îmbunătățesc tacticile, iar cea mai bună variantă ar fi ca organizațiile să învețe să se protejeze mai bine pentru a nu intra în astfel de situații.
