Marks & Spencer i Jaguar Land Rover ove su godine izgubili milijune nakon što su njihovi informacijski sustavi postali meta sofisticiranih kibernetičkih napada. Iako se u javnosti najčešće govori o hakerima i otkupninama, puno rjeđe se spominje druga strana priče, ljudi koje velike kompanije angažiraju kada šteta već nastane. James Ball, novinar The Timesa, razgovarao je s profesionalnim pregovaračima za ransomware, stručnjacima koji pokušavaju spasiti ono što se može spasiti: vratiti podatke, zaustaviti daljnje curenje informacija i zaštititi reputaciju brenda.
Novinar The Timesa donosi još jedan primjer iz listopada 2023. godine: u Britanskoj knjižnici shvatili su da imaju ozbiljan problem kada je u jutarnjim satima jedan od članova tehničke podrške shvatio da se ne može povezati s mrežom. U roku od nekoliko minuta postalo je jasno kolikih je razmjera problem: svi su bili odjavljeni iz svojih sustava. Plaće, kadrovska dokumentacija i interni dokumenti bili su nedostupni i nitko nije mogao pristupiti arhivi knjižnice ni digitaliziranim primjercima knjiga iz njezine zbirke. Napad je pogodio i turiste jer knjižnica, dok je pokušavala otvoriti vrata posjetiteljima, nije imala mogućnost prodaje ni skeniranja ulaznica.
Slučaj hakiranja Britanske knjižnice
U manje od dva sata, shvatili su da se radi o kibernetičkom napadu, a trebali su mjeseci da u potpunosti otkriju razmjere štete. Hakeri su imali pristup sustavima Britanske knjižnice tri dana prije nego što su otkriveni, najvjerojatnije putem alata koje su koristili vanjski IT suradnici za udaljeni pristup i ažuriranje sustava. Uspjeli su ukrasti gotovo 600 gigabajta osjetljivih podataka, uključujući osobne dosjee zaposlenika, kao i sve dokumente koji su sadržavali riječi private ili confidential. Tek nakon toga šifrirali su sve sustave knjižnice i njezine sigurnosne kopije. Sustavi su bili zaključani i nedostupni, a istodobno se prijetilo objavom osjetljivih podataka ako se otkupnina ne plati.
Otkupnina je iznosila 20 bitcoina, što je u tom trenutku vrijedilo oko 600 tisuća funti, piše The Times. U slučaju neplaćanja, računalni sustavi knjižnice ostali bi zaključani i neupotrebljivi, a ukradeni podaci objavljeni. No, kao javna institucija, Britanska knjižnica odbila je platiti otkupninu. 27. studenoga, gotovo mjesec dana nakon početnog napada, hakeri su ispunili prijetnju i objavili podatke na dark webu, gdje su dostupni i danas.
I bez plaćanja otkupnine, financijska šteta bila je velika. Procjenjuje se da je napad Britansku knjižnicu stajao najmanje sedam milijuna funti, što je nešto manje od polovice njezinih financijskih rezervi. Taj se iznos odnosi na potpunu obnovu IT sustava jer se postojeća infrastruktura više nije mogla sigurno koristiti. Knjižnica je morala nabaviti novi softver, angažirati stručnjake za njegovu instalaciju i ponovno učitati podatke. Mjesecima su istraživači imali vrlo ograničen pristup arhivima, a više od dvije godine kasnije, dio digitalnih zapisa još uvijek nije dostupan.
Pregovarači u ransomware napadima
Iskustvo Britanske knjižnice sve je češće među velikim britanskim organizacijama. Protekla godina obilježena je velikim kibernetičkim napadima: u travnju je na meti bio Marks & Spencer, a napad je onemogućio opskrbu trgovina dulje od tjedan dana, dok je internetska trgovina bila izvan funkcije mjesecima. Procjenjuje se da je šteta iznosila oko 200 milijuna funti. Iste je godine napadnut i lanac supermarketa Co-op, koji je zbog poremećaja u sustavima zabilježio gubitak od oko 206 milijuna funti u prodaji.
Još veće posljedice imao je napad na Jaguar Land Rover. Zaustavljena je proizvodnja, dobavljači su dovedeni u ozbiljne probleme, a gubici bi, prema procjenama analitičara, mogli premašiti dvije milijarde funti. The Times piše kako iz JLR-a tvrde da očekuju manji iznos u konačnici, a za takvu tvrtku dio izgubljene prodaje možda se nikad neće nadoknaditi jer se automobili kupuju svakih nekoliko godina, a ne svakih par tjedana, što znači da su se kupci u međuvremenu okrenuli konkurenciji. Velike institucije sve su češće meta organiziranih kriminalnih skupina koje ih ucjenjuju, uz goleme financijske i reputacijske posljedice. Ipak, javnost uglavnom zna vrlo malo o tome što se događa u prvim minutama i satima nakon kibernetičkog napada.
Koga zvati kada tvrtka postane žrtva kibernetičkog kriminala i kako se uopće pregovara s kriminalnom skupinom koja je paralizirala cijelo poslovanje?
Tim Rawlins vjerojatno neće biti osoba s druge strane telefona u prvim trenucima krize, barem ne odmah. No ako je situacija dovoljno ozbiljna, osobe iz hakirane tvrtke vrlo bi se brzo mogle naći na Zoomu s njim. Prije nego što se okrenuo privatnom sektoru, Rawlins je desetljećima radio u državnim službama na poslovima vezanima za protuterorizam i protuobavještajne operacije. Nakon toga obnašao je funkciju direktora sigurnosti u jednoj televizijskoj kući, bio operativni direktor londonske O2 Arene te glavni direktor sigurnosti u Credit Suisseu.
Danas je direktor i viši savjetnik u NCC Group, jednoj od osam tvrtki koje je britanska vlada ovlastila za rješavanje najozbiljnijih kibernetičkih napada, uključujući one koji pogađaju ključnu infrastrukturu. NCC Group angažirana je i nakon napada na Britansku knjižnicu, kao i u mnogim drugim poznatim slučajevima, iako Rawlins vrlo pažljivo izbjegava govoriti o pojedinačnim incidentima. Za njega problemi najčešće počinju petkom navečer.
Pojašnjava kako je poziv petkom poslijepodne nešto na što su osiguravajuće kuće i tvrtke za rješavanje kibernetičkih incidenata itekako navikle. Naime, tvrtke koje postanu meta hakera često dan ili dva pokušavaju same riješiti problem ili se zavaravaju oko razmjera štete. No kako se kraj tjedna približava, a rješenja nema, više ne znaju što učiniti. Ne znaju kome se obratiti ni kako uopće upravljati situacijom pa nakon toga slijedi poziv NCC Group.
Kod većih tvrtki ili onih koje su se dobro pripremile, Rawlins i njegov tim ponekad dolaze ranije jer su već angažirani. No bez obzira na to kada ih se pozove, po dolasku postoje dva hitna zadatka. Tim za digitalnu forenziku počinje analizirati sam napad, pokušavajući utvrditi kolika je šteta, kako su napadači ušli u sustav i jesu li još uvijek prisutni. To je posebno važno jer se ponekad dogodi da hakeri prate i sam odgovor na napad. Rawlins se prisjeća kako je bilo slučajeva u kojima su hakeri bili na pozivu s organizacijom ili pratili Teams razgovore, slušajući što se događa iznutra.
Dok forenzičari procjenjuju razmjere štete i provjeravaju da napadači ne prisluškuju dok uprava reagira, Rawlins ima drukčiju ulogu. Njegov je posao smiriti ne samo uspaničene rukovoditelje, nego i članove uprava, klijente, osiguravatelje i sve ostale uključene. Njegova najveća prednost jest to što je takve situacije već prošao. Jedan od prioriteta jest utvrditi što hakeri zapravo žele. Manji dio napada, često povezan s neprijateljskim državama, usmjeren je na krađu poslovnih tajni ili kompromitiranje internih informacija. No velika većina su takozvani ransomware napadi, a oni dolaze u dva osnovna oblika.
Prvi uključuje zaključavanje svih ključnih sustava organizacije, uz ponudu da će se poslati ključ za dešifriranje ako se otkupnina plati do određenog roka, ili će se podaci u suprotnom trajno izbrisati. Drugi oblik podrazumijeva krađu osjetljivih podataka uz prijetnju njihovom objavom ako se otkupnina ne plati, odnosno obećanje da će se ukradene kopije izbrisati ako se plati. Današnji iskusni hakeri najčešće kombiniraju oba pristupa u jednom napadu, piše The Times.
Ako hakeri traže otkupninu, to obično vrlo jasno daju do znanja. Najčešće ostave nešifriranu datoteku koju IT tim lako pronađe, nazvanu README.txt. U novije vrijeme, “zamrznuta” računala znaju prikazivati i QR kod s uputama kako stupiti u kontakt s napadačima, uključujući detaljan vodič za preuzimanje aplikacije za dopisivanje na dark webu. Ta aplikacija omogućuje šifriranu komunikaciju s napadačima, koju je policiji i drugim tijelima vrlo teško nadzirati.
Tko su hakeri?
Hakiranje je danas ozbiljan i organiziran kriminal, kojim se uglavnom bave iskusne kriminalne skupine, a u ovakvim su slučajevima gotovo uvijek smještene izvan Ujedinjenog Kraljevstva. Prema Hamishu Krebsu, 36-godišnjem izvršnom direktoru za digitalnu forenziku i odgovor na incidente u globalnoj tvrtki za kibernetičku sigurnost CyberCX, vrijeme hakera koji rade iz podruma praktički je završilo. Krebs kaže kako znaju kada se radi o grupi jer postoji nekoliko jasnih pokazatelja. Primjerice, istodobno se odvija više aktivnosti na više računala.
Hakiranje je, nastavlja Krebs, u svojoj biti posao. Onaj ponavljajući dio posla potreban za provalu u korporativne sustave uglavnom je dosadan i radi se isključivo zbog novca. Velik dio hakiranja, čak i kad zvuči “uzbudljivo”, zapravo je običan posao. Poduzetnije skupine već eksperimentiraju s prepuštanjem dijela tog rutinskog posla umjetnoj inteligenciji, što je potaknulo utrku među AI tvrtkama u razvoju alata za otkrivanje i sprječavanje zlouporabe njihovih sustava. Moderne hakerske skupine posao organiziraju poput svake druge tvrtke. Njihov “tehnički tim” provaljuje, vodstvo donosi odluke, a pregovori oko otkupnine prepuštaju se njihovoj verziji korisničke podrške. Kao i u stvarnim korporacijama, taj se dio posla ponekad u potpunosti prepušta vanjskim suradnicima.
Krebs kaže kako često rade po partnerskom modelu, opisujući suradnju između različitih kriminalnih skupina koja podsjeća na outsourcing u legalnom poslovnom svijetu. Primjerice, skupina koja ima dobre govornike engleskog jezika, što nije rijetkost jer su hakeri često smješteni u Rusiji ili istočnoj Aziji i ponekad uopće ne govore engleski, ali nema razvijene tehničke kapacitete, može preuzeti pregovore u zamjenu za postotak otkupnine. Budući da hakeri imaju specijalizirane i iskusne pregovarače, i tvrtke na drugoj strani trebaju svoje.
Platiti otkupninu ili ne?
Pitanje otkupnina neugodno je za sve koji rade u ovom području i razgovor o njoj obično odmah izazove dodatni oprez. U slučaju Velike Britanije, službeni stav vlade jest da ne ohrabruje tvrtke da plaćaju otkupnine hakerima i da ih sama nikada ne plaća. Ipak, država nije otišla toliko daleko da takva plaćanja zabrani ili kriminalizira, prešutno prihvaćajući da u određenim situacijama plaćanje ponekad jest neizbježno. Budući da hakeri žele naplatiti svoj “rad”, nastoje biti lako dostupni. Najčešće ostavljaju jasne upute kako im se javiti, obično putem chata na dark webu, gdje se o otkupnini razgovara koristeći kriptovalute.
Velike tvrtke poput NCC Groupa ili CyberCX-a, najčešće ne vode same pregovore. Taj se posao prepušta specijaliziranim tvrtkama koje se gotovo isključivo bave prikupljanjem obavještajnih podataka o hakerima i pregovorima s njima. Jedna od takvih tvrtki je Coveware. U njoj radi Magnus Jelen, školovani pregovarač za talačke situacije i bivši pripadnik danske obavještajne službe. Njegov je posao, kaže, neobičan. Opisuje ga kao nešto između prodajnih i talačkih pregovora, s elementima jednoga i drugoga i dodaje da su emocionalni ulozi znatno manji nego kod klasične otmice, a u igri su vrlo veliki novčani iznosi.
Jelen će, za razliku od klasičnih situacija s taocima, gotovo uvijek pregovarati s nekim tko je to već radio, što kod većine otmičara nije slučaj. Rezultat je neobična vrsta pregovora, tim više što se Jelen često predstavlja kao zbunjeni menadžer u napadnutoj tvrtki. Jelen ne želi ulaziti u detalje stvarnih pregovora jer, kaže, i hakeri čitaju novine pa bi bilo amaterski govoriti javno o taktikama.
Ipak, kroz razgovore s različitim sugovornicima moguće je složiti osnovnu sliku onoga što se događa. Ako ništa drugo, tvrtke za kibernetičku sigurnost i napadnute organizacije žele kupiti vrijeme kako bi shvatile razmjere problema: koliko je podataka izgubljeno, mogu li se povratiti, postoje li sigurnosne kopije i slično. Zbog toga često nastoje ostaviti dojam da pregovaraju, kako bi dobili na vremenu, iako iskusni hakeri uglavnom znaju što se zapravo događa.
Sigurnosne tvrtke pritom pokušavaju i identificirati skupinu koja stoji iza napada. Budući da tvrtke poput Covewarea sudjeluju u velikom broju pregovora, prema Jelenovim riječima, radi se između 50 i 100 slučajeva mjesečno, one prikupljaju detaljne podatke o svakoj kriminalnoj skupini. To uključuje informacije o tome koliko često plaćanje otkupnine uopće dovodi do povrata podataka, kao i koji su najniži i najviši iznosi koje je neka skupina dosad prihvaćala.
Pritisak osiguravatelja
Dok se glavni pregovori odvijaju, paralelno se vode i drugi razgovori. Mnoge velike tvrtke danas imaju osiguranje od teških kibernetičkih napada, a osiguravatelj, koji može biti izložen štetama od nekoliko milijuna funti dnevno, ponekad inzistira na plaćanju otkupnine. U suprotnom može odbiti pokrivati daljnje troškove. U slučajevima poput Jaguar Land Rovera, gdje je proizvodnja potpuno stala, ti se gubici povećavaju iz dana u dan.
Istodobno se provjerava nalazi li se hakerska skupina na popisu sankcioniranih subjekata jer je plaćanje otkupnine nekome, za koga postoji osnovana sumnja da je pod sankcijama, kazneno djelo. Dio ransomware napada služi prikupljanju sredstava za Sjevernu Koreju, dok druge provode skupine iz država obuhvaćenih širokim financijskim sankcijama. Na kraju slijedi sam čin plaćanja, koji tvrtke uglavnom žele držati izvan svojih poslovnih knjiga. I za taj dio postoje specijalizirani posrednici koji pomažu upravljati transakcijom.
Naknada za stručnjake poput Covewarea, koji za svaki slučaj obično naplaćuje iznose u desecima tisuća funti, dijelom se odnosi upravo na pristup ovakvim informacijama i iskustvu.
Odbijanje plaćanja
Prema Jelenovim riječima, žrtve sve češće odbijaju platiti otkupninu. Prije nekoliko godina većina napadnutih organizacija pristajala je na plaćanje. Danas je taj udio pao na svega 23% slučajeva kojima se Coveware bavi. Za The Times je rekao:
“Nikada nismo vidjeli ovako nizak postotak. Glavni razlog je taj što tvrtke sve bolje razumiju da se na ovakve napade moraju pripremiti unaprijed. Javni slučajevi, poput onoga u Britanskoj knjižnici, dovoljno su zabrinuli rukovoditelje u drugim organizacijama da prijetnju shvate ozbiljno i osiguraju bolje zaštitne mjere.”
Sve je raširenija i svijest da plaćanje otkupnine ne rješava problem. U gotovo svim slučajevima vrati se samo dio podataka. Sigurnosne kopije pohranjene izvan mreže, koje se ne mogu daljinski izbrisati, bolja segmentacija sustava i temeljitiji nadzor znatno povećavaju otpornost tvrtke na napade, ali samo ako su uvedeni unaprijed.
Hamish Krebs iz CyberCX-a navodi i vrlo izravan razlog zašto se u slučajevima ucjene podacima, kada hakeri prijete objavom informacija o klijentima, često ne plaća otkupnina. Jednostavno, kaže, većina ljudi je toliko navikla slušati o curenju podataka da ih to više ni ne zanima. Ako vam teleoperater ili osiguranje za kućne ljubimce pošalju e-mail da su vaši podaci kompromitirani, hoćete li se doista potruditi promijeniti pružatelja usluge? Krebs kaže da postoji svojevrsni zamor, dodajući da većina organizacija ionako ne raspolaže osobito zanimljivim informacijama.
Iznimka su, ističe, tvrtke koje posluju prvenstveno s drugim tvrtkama, osobito kada im je privatnost ključni dio ponude:
Prema našem iskustvu, odvjetnički uredi, zdravstvene ustanove i slične organizacije znatno češće plaćaju otkupninu jer im je reputacijska šteta iznimno važna. Sjedio sam s financijskim direktorima koji su hladno izračunali i rekli: ‘Otkupnina iznosi 500 tisuća dolara, ali taj ugovor vrijedi milijun dolara godišnje. Naravno da ćemo platiti’.”
Jedna od “posebnosti” kibernetičkih napada jest to da je šteta koju uzrokuju neusporedivo veća od zarade hakera. Ako netko opljačka banku za 100 tisuća funti, banka izgubi taj iznos, a pljačkaši ga dobiju. Ako kibernetički napad sruši sustave velike tvrtke, šteta može iznositi stotine milijuna, dok hakeri često zarade manje od 1% tog iznosa.
FOTOGRAFIJE: The British Library, Unsplash, Pexels
