Ransomware: Pay & Plan

Businessman is unlocking a virtual lock via touch on his mobile to send ransom payment to a black hat hacker in the cloud, thus obtaining a decryption key. Security concept for encrypting ransomware.

Kontroversielt og udiskutabelt: Er organisasjonen blitt gissel for ransomware, er betaling første punkt. Deretter planlegging. Det kan ikke skje igjen. Og øverst på agendaen står ikke bedre cyberforsvar, men større robusthet …

Betaling virker - som regel. Ransomware er big business. Å ta i mot penger uten å levere, ødelegger markedet. Det ønsker ingen.

Klart det smaker vondt. Idealistenes argumenter mot å ‘gi etter’ for utpressing er gode. Men avstanden mellom det ideelle og virkeligheten er enorm. Industri, helse, offentlig sektor - bølgen av ransomware-angrep fortsetter (se referanselisten nedenfor) og de fleste betaler. Og overlever. Noen av dem som ikke betaler, klarer seg, men sliter lenge og har enorme kostnader. [1]

Likevel - og heldigvis - fortsetter debatten om betaling er riktig vei 'ut'. Å 'gi etter' føles som en fallitt. Men når krisen er et faktum, står idealisme langt nede på agendaen for de fleste, og spesielt for virksomheter der liv og helse står på spill hvert eneste minutt. Og rådet fra ekspertisen er om ikke unisont, så i alle fall dominant i retning av betaling. Knapt noen kan gjenopprette normal drift etter et vellykket malware-angrep på noen dager. Normalen er 'mange uker', ofte måneder. [2]

Ransomware avslører en smertefull underfokusering på robusthet i IT-systemer gjennom flere tiår [3][5]. Svært få organisasjoner har tilstrekkelig gode DR/BC regimer til å gi seg i kast med en full-stopp-full-restart situasjon. Og få organisasjoner har godt nok forsvar til å hindre ransomware-angrep. 

En lite lystelig situasjon som forverres av akutt mangel på kompetanse. Hva gjør vi? Den naturlige 'mage-'reaksjonen er å sende mer penger til sikkerhets-ansvarlige. Den effektive reaksjonen er å starte med robusthet og Business Continuity. Ikke et enten/eller-valg, men en tydelig og bevisst prioritering: Å styrke sikkerhet/forsvar betyr redusert sjanse for (bl.a.) ransomware-angrep, men ingen garanti. Solid Business Continuity som testes og utvikles løpende [4] og tar hensyn til situasjoner som kan oppstå ifm. ransomware-angrep, gir ikke beskyttelse, men motstandskraft og gjør det mulig å si 'nei, vi fikser det selv' når katastrofen er et faktum.

Det skal høy selvtillit til for å ha en slik holdning, og proff BC gir akkurat det.

Bedre cyberforsvar følger hakk i hel mht. prioritering [6]. Begge krever større ressurser, men mest av alt krever de en oppdatert holdning til virkeligheten: Vennligsinnede omgivelser finnes ikke. Sannsynligheten for (bl.a.) ransomware-angrep er større enn null for alle. Vi ruster for virkeligheten, ikke historien. Og sist, men ikke minst: Robusthet er ikke en teknisk mulighet, men et lederansvar.