Mi is századszor írjuk le azt a közhelyet, hogy a zsarolóprogramok mára az egyik legfontosabb kiberbiztonsági problémává váltak. Ez mások mellett magával hozta a ransomware-támadások esetére köthető biztosítások felfutását is, azonban az incidensek szaporodásával és a biztosítók működésének alakulásával ez a terület is változások előtt áll – állítja a Royal United Services Institute for Defense and Security Studies (RUSI) brit védelmi-biztonsági agytröszt hétfőn közzétett tanulmánya.

A kiberbiztosítások kézenfekvő célja, hogy megvédjék a szerződőket a kibertámadásoktól, gondolva elsősorban a biztonsági események kezelésének pénzügyi vonatkozásaira. A kritikusok szerint azonban éppen ezek hatnak ösztönzőleg a ransomware-támadások áldozataira, hogy fizessék meg a váltságdíjat, amelyet aztán a biztosítók úgyis fedeznek majd, miközben a bűnözők egyre összetettebb módszereket vetnek be, és egyre magasabb összegeket követelnek a célpontoktól.

Ha a bűnözőknek megy, akkor a biztosítóknak nem megy

A biztosítók szerint a váltságdíj megfizetéséről nem ők döntenek, hanem az ügyfelek, ami formailag igaz is, hiszen nem jogellenes, ha valaki teljesíti az internetes bűnözők követeléseit. A bűnüldöző szervek viszont arra figyelmeztetnek, hogy ezzel a bandák tevékenysége sikeres marad, és eszközöket szereznek további akcióikhoz, sőt az USA pénzügyminisztériumának nyomozó szerve (OFAC) azt is világossá tette, hogy a fizető is megütheti a bokáját, ha akár tudtán kívül valamilyen szankció alá vont országba vagy szervezethez utalja a pénzét. A lényeg minden esetben az, hogy a végén nem a kalózok, hanem a biztosítók üzelti modellje válik fenntarthatatlanná.

Az RUSI szerint mára nyilvánvalóvá vált, hogy a kiberbiztosítás a jelenlegi formájában nem váltja be azokat a reményeket, amelyek alapján eszközként szolgálhatna a szervezetek kiberbiztonsági gyakorlatainak javításához. A váltságdíjak megfizetése sokszor a leggyorsabb és legolcsóbb módja a hálózatok helyreállításának – még akkor is, ha az adataikat váltságdíjért visszavásároló szervezetek 80 százalékát újból támadás éri, sőt előfordul, hogy még a támadók is ugyanazok lesznek.

Egyes bandák például kifejezetten az olyan szervezetekre utaznak, amelyeknek aktív és erre is kiterjedő kiberbiztonsági házirendje van, mert ezeknél a leginkább kiszámítható, hogy tényleg fizetni fognak a sikeres támadások nyomán. Az RUSI szerint azonban a kiberbiztosításnak szerepet kellene játszania a ransomware üzleti logika megzavarásában, arra ösztönözve a kötvényeseket, hogy javítsák védekezésüket, és többet tegyenek azért, hogy ne váljanak áldozattá.

Sárgarépára és botra lesz szükség lesz az ösztönzéshez

A tanulmányban olvasható javaslatok alapján a biztosításoknak meg kellene követelniük a "minimális ransomware felkészültséget", ha a szarolóprogramok okozta károkra is kiterjednek, arra sarkallva az ügyfeleket, hogy ők maguk is törekedjenek az elfogadható biztonsági szint elérésére a hekkerek elrettentéséhez. Ezek magában foglalhatja a kritikus sebezhetőségek időben történő javítását, a többfaktoros hitelesítési eljárások bevezetését, a hálózatok szegmentációját vagy a biztonsági másolatok rendszeres létrehozását is.

A jó hír, hogy bizonyos jelei már most is tapasztalhatók a változásnak. A biztosítók egyre növelik a díjakat, csökkentik a fedezetek összegét, és egyre szigorúbb követelményeket támasztanak az elvárt kiberbiztonsági stratégiák tekintetében. A cél mindenképpen az lenne, hogy a váltságdíjak megfizetése az utolsó utáni megoldás legyen, és eleve megakadályozzák a sikeres támadásokat, vagy ha ez nem megy, akkor előre minimalizálják a várható károkat.

Az viszont a RUSI szerint nyilvánvaló, hogy a kiberbiztosítások az aktuális formájukban nem sokat tesznek hozzá az általános biztonsági szint fejlesztéséhez. A kutatásban megkérdezett ágazati szereplők a kormányzati, ipar és üzleti élet minden területén úgy látták, hogy a biztosításoknak még nincs egyértelműen pozitív hatása a kiberbiztonságra, a biztosítási piac pedig jellemzően nem használ sem sárgarépát (pénzügyi ösztönzőket), sem botokat (biztonsági kötelezettségeket) a kötvénytulajdonosok biztonsági gyakorlatainak megváltoztatására.