Ransomware w polskich firmach - wyniki badania przeprowadzonego przez QNAP

Firma QNAP przeprowadziła badanie dotyczące opinii polskich menedżerów IT na temat zagrożeń typu ransomware, sprawdzając m.in. skalę tego zjawiska w małych i średnich przedsiębiorstwach oraz to, czy firmowa polityka bezpieczeństwa IT uwzględnia zabezpieczenia przed tego typu atakami.

Według szacunków Cybersecurity Ventures, spowodowane przez ransomware w 2017 roku szkody kosztowały firmy 5 mld USD. Dla porównania, w roku 2015 wartość ta zamknęła się w kwocie 325 mln USD. Według raportu Ponemon Institute, w 2016 roku średnia liczba ataków wykorzystujących ransomware wzrosła o ponad 300% r/r (do 4000 dziennie). Natomiast według szacunków Trend Micro tylko w pierwszej połowie 2017 roku liczba tego typu ataków na całym świecie sięgnęła 82 mln. Prognozy na przyszłość, zdaniem wielu ekspertów, także nie są optymistyczne.

Jak przedstawiają się nastroje w Polsce? Ile firm było już ofiarą ataków mających na celu usunięcie lub zablokowanie dostępu do danych? W jaki sposób organizacje działające na naszym rynku starają się przeciwdziałać ewentualnym incydentom?

Polskie firmy rozwijają polityki bezpieczeństwa IT

Bezpieczeństwo informatyczne firmy nie może być skuteczne bez spójnej i w pełni wdrożonej polityki bezpieczeństwa. Prawie połowa (47,62%) uczestników badania „PC World” i QNAP potwierdziła, że ich organizacja posiada kompletną i spójną politykę dotyczącą zabezpieczania oraz przetwarzania danych. Niewiele mniej, bo 31,43% ankietowanych zadeklarowało natomiast, że w firmie istnieje sformalizowany dokument dotyczący bezpieczeństwa i przetwarzania danych, ale dotyczy on jedynie wybranych i najważniejszych obszarów.

Uczestnicy badania PC World i QNAP

Badanie dotyczące wpływu zagrożeń ransomware na efektywność pracy oraz ochronę danych w polskich organizacjach zostało przeprowadzone na przełomie stycznia i lutego 2018 roku. Wzięło w nim udział 105 respondentów reprezentujących firmy działające na rynku polskim. Ankietowani zatrudnieni byli na stanowiskach dyrektorskich lub wyższych.

Najliczniejszą grupę stanowili przedstawiciele firm średnich, zatrudniających od 51 do 250 osób (53,33%) oraz małych (do 50 pracowników) - 41,91%. Jedynie 4,76% ankietowanych reprezentowało przedsiębiorstwa największe, z załogą liczącą sobie ponad 250 zatrudnionych.

Pod względem branżowym najliczniejszą grupę stanowiły firmy IT (31,43%). Kolejne miejsca przypadły organizacjom działającym w branży przemysłu i produkcji (13,33%), administracji publicznej (11,43%) oraz handlu (włączając w to FMCG) – 9,52%.

W sumie blisko 8 na 10 zbadanych firm (79%) może pochwalić się sformalizowanymi politykami bezpieczeństwa, można więc założyć, że decydenci odpowiedzialni za zapewnienie optymalnej ochrony zasobów IT w polskich organizacjach są co do zasady świadomi zagrożeń i starają się im aktywnie przeciwdziałać.

Jedynie co dziesiąty badany (10,48%) przyznał, że jego firma nie posiada sformalizowanych procedur bezpieczeństwa, a jedynie wykorzystuje wybrane narzędzia zabezpieczające (takie jak oprogramowanie antywirusowe czy narzędzia do tworzenia kopii zapasowych), mające za zadanie przeciwdziałać atakom oraz ograniczać ich skutki poprzez lepsze zabezpieczenie przechowywanych danych. Tylko 2,86% firm deklaruje, że nie posiada sformalizowanej polityki bezpieczeństwa, ani nie wykorzystuje żadnych dedykowanych rozwiązań bezpieczeństwa.

Najskuteczniejsze metody zabezpieczania danych

Spójność polityk bezpieczeństwa IT w polskich firmach sugerują także wskazania dotyczące konkretnych tych spośród różnych metod zabezpieczania firmowych danych, które są zdaniem ankietowanych najbardziej skuteczne. Jak wynika z badania, oprócz podstawowych narzędzi informatycznych, sporą rolę w zagwarantowaniu bezpieczeństwa odgrywają także kwestie ściśle związane z edukacją pracowników.

Jako najbardziej skuteczne narzędzie ankietowani uznali posiadanie aktualnego oprogramowania antywirusowego lub pakietu zabezpieczeń (73,33%), jednak drugą w kolejności najchętniej wymienianą metodą zapewniania bezpieczeństwa okazało się stosowanie dobrych praktyk (63,81%), czyli działań bazujących na wiedzy użytkowników i wzmacnianiu ich czujności np. ostrożności wobec plików nieznanego pochodzenia czy wyrobienia nawyku pobierania danych tylko z zaufanych źródeł.

Ransomware w polskich firmach i organizacjach Kolejne miejsca na liście najskuteczniejszych metod zabezpieczania danych zajęły: wykonywanie pełnego lub różnicowego backupu, natychmiastowe instalowanie aktualizacji systemu oraz oprogramowania (obydwa po 35,24%), szyfrowanie informacji o krytycznej wartości (14,29%) oraz wykonywanie migawkowego backupu danych (9,52%).

Co ciekawe, chociaż niemal połowa (49,52%) badanych wykorzystuje serwery NAS jako jedną z form backupu danych, wysoką skuteczność tego typu rozwiązań w roli jednej z lokalizacji dedykowanych kopiom bezpieczeństwa przypisał mniej niż co dziesiąty (7,62%) z respondentów.

Najskuteczniejsze metody ochrony przed ransomware

Bardzo podobnie prezentuje się rozkład odpowiedzi w przypadku oceny skuteczności poszczególnych metod i narzędzi w kontekście zabezpieczenia firmowych danych przed zagrożeniami typu ransomware. Za najbardziej skuteczne respondenci uznali posiadanie aktualnego oprogramowania antywirusowego lub pakietu zabezpieczeń (72,38%), stosowanie w/w dobrych praktyk (63,81%), natychmiastowe instalowanie aktualizacji (36,19%) oraz pełny lub różnicowy backup danych (33,33%). W kontekście złośliwego oprogramowania typu ransomware dziwić może tak niska pozycja narzędzi związanych z backupem - migawkowy backup danych wskazało jedynie 10,48% respondentów. Podobnie nisko sklasyfikowane zostało także szyfrowanie kluczowych danych (15,24%). Tylko nieliczni ankietowani za skuteczną metodę ochrony danych przed oprogramowaniem typu ransomware wskazali wykorzystanie serwerów NAS jako jednej z lokalizacji dla kopii bezpieczeństwa (4,76%).

Bezpieczeństwo widziane przez różowe okulary

Praktycznie wszyscy (99,05%) uczestnicy badania „PC World” i QNAP pozytywnie ocenili poziom zabezpieczeń swojej firmy: 30,48% ankietowanych bardzo dobrze, 50,48% dobrze i 18,10% raczej dobrze. Co ciekawe, w grupie tej znalazły się także wszystkie osoby, które zadeklarowały brak istnienia w swoich organizacjach jakiejkolwiek sformalizowanych polityk bezpieczeństwa, a nawet te, które wprost przyznają, że w ich przedsiębiorstwie nie są wykorzystywane żadne dedykowane narzędzia, których celem jest zwiększenie poziomu bezpieczeństwa danych.

Rozkład odpowiedzi prezentuje się bardzo podobnie w przypadku oceny poziomu zabezpieczeń przeciwko atakom typu ransomware. Aż 96,19% ankietowanych ocenia go pozytywnie, w tym: 24,76% bardzo dobrze, 42,86% dobrze i 28,57% raczej dobrze.

Tak dobre oceny własnych organizacji wydają się przesadzone. Być może tak duży odsetek ocen pozytywnych wynika z braku osobistych doświadczeń związanych z efektami skutecznych ataków. Co prawda, na pytanie „Czy w okresie ostatnich 3 lat w Państwa firmie wystąpiły incydenty związane z utratą danych?” 59,05% ankietowanych zadeklarowało, że ich firma nie miała do czynienia z tego typu incydentami. Ale już blisko co trzeci (30,48%) spośród badanych przyznał, że organizacja, w której pracuje, była ofiarą ataku zakończonego utratą danych, przy czym 7,62% respondentów zaznaczyło, iż zanotowane incydenty były poważne. Co istotne, utrata danych była zdaniem ankietowa często związana z działaniem złośliwego oprogramowania szyfrującego typu ransomware (56,25%). Ewentualność taką zdecydowanie wykluczyło 31,25% badanych organizacji.

Co ciekawe, w większości przypadków skuteczne ataki nie spowodowały żadnych znaczących problemów związanych z funkcjonowaniem firmy (68,75%). Jedynie co piąty (18,75%) z respondentów przyznał, że utrata danych miała pewien negatywny wpływ na proces bieżącej realizacji zleceń. Co dziesiąty (9,38%) zadeklarował, że włamania spowodowały istotne straty finansowe (np. związane z odzyskaniem danych czy naprawą skutków ataku), a tylko 3,15% przypisało konsekwencjom rangę kłopotów związanych z długofalowym funkcjonowaniem firmy.

Doświadczenie uczy pokory

Przeprowadzone badanie wskazuje, że polskie organizacje doświadczone atakami na swoje środowiska IT rzetelnie podeszły do przeciwdziałania kolejnym naruszeniom. Aż 71,88% ankietowanych przyznało, że wystąpienie incydentów spowodowało udoskonalenie istniejących mechanizmów zabezpieczania danych. Kolejne 12,5% respondentów zadeklarowało natomiast, że ataki wpłynęły na podjęcie decyzji o zmianach, które obecnie są na etapie wdrażania. Tylko 3,13% osób udzieliło odpowiedzi przeciwnej stwierdzając, że zarejestrowane incydenty nie wpłynęły w jakikolwiek sposób na zmianę polityki bezpieczeństwa firmy.

Niezależnie od bezpośredniej reakcji na zidentyfikowane ataki, ciekawie prezentują się prognozy respondentów dotyczące przyszłych inwestycji w narzędzia związane z bezpieczeństwem danych. Co piąty uczestnik badania (20,95%) zadeklarował, że w ciągu najbliższych 12 miesięcy jego firma zwiększy nakłady na tego typu rozwiązania. Kolejne 40,95% ankietowanych stwierdziło, że wydatki te będą takie same, a jedynie 3,81% zapowiedziało uszczuplenie budżetu przeznaczonego na tego typu inwestycje. Zauważalna grupa firm (14,29%) nie planuje w tym okresie przeznaczać na bezpieczeństwo kluczowych danych jakichkolwiek środków finansowych.

Rozkład deklaracji dotyczących inwestycji w narzędzia zwiększające bezpieczeństwo przedstawia się podobnie także w odniesieniu do zagrożeń typu ransomware. 18,10% badanych zadeklarowało zwiększenie dedykowanego takim celom budżetu przeznaczonego na okres kolejnych 12 miesięcy, 37,14% stwierdziło, że kwota ta nie ulegnie zmianie, a tylko 4,76% zapowiedziała jej spadek. Aż 20% respondentów przyznała, że ich organizacje nie zamierzają przeznaczać we wspomnianym wcześniej okresie żadnych środków na tego typu zabezpieczenia.

Raport realizowany przy współpracy z firmą: