MathWorks, producent znanego oprogramowania MATLAB i Simulink, od kilku dni przywraca do działania usługi po incydencie związanym z atakiem ransomware. Awarie usług miały miejsce 18 maja i do tej pory część systemów pozostaje niedostępna, co widać na stronie statusu incydentu. Systemy są stopniowo uruchamiane i zapewne większość klientów na ten moment może w pełni korzystać z zakupionego oprogramowania. Czas przywracania może wydawać się długi, bo trwa już dwa tygodnie, jednak przy takiej skali awarii, złożoności środowiska i wszelkich aspektów technicznych – które są w pełni zrozumiałe dla osób zajmujących się w praktyce utrzymaniem systemów IT – raczej nie jest zaskakujący.
Działanie ransomware polega na zablokowaniu dostępu do danych, zwykle poprzez ich zaszyfrowanie. Atakujący najczęściej za opłatą w kryptowalutach „oferują” usługi odzyskania zawartości. W żadnym wypadku nie ma pewności, czy dane faktycznie zostaną przywrócone i dlatego wsparcie przestępców nie ma praktycznie żadnego uzasadnienia. Należy w sposób właściwy wykonywać kopie zapasowe istotnych środowisk (nawet wybranych katalogów czy baz danych) i przechowywać je na dedykowanym serwerze storage – najlepiej w oddzielnej, zdalnej lokalizacji. Istotna jest też okresowa weryfikacja, czy systemy po przywróceniu kopii nadają się do użytku.
Niestety od dłuższego czasu obserwowana jest kolejna taktyka przestępców, czyli oprócz rzekomego odzyskania danych zapłata od ofiary ma być gwarancją nieujawnienia tych danych, np. na różnych forach dostępnych w sieci Tor. Z tego powodu same backupy nie będą już wystarczające w celu eliminacji skutków ataku ransomware. Kluczowe jest podjęcie działań prewencyjnych, takich jak wdrażanie aktualizacji oprogramowania, stosowanie zasady minimalnego dostępu czy maksymalne ograniczenie portów wystawionych do sieci Internet (w miarę możliwości także stosowanie list dozwolonych adresów źródłowych).
Odrębną kwestię stanowią ewentualne straty wizerunkowe. W tym konkretnym przypadku raczej nie będą szczególnie odczuwalne, ale ważna jest świadomość, że obecnie pojawienie się nazwy firmy w medialnym opisie incydentu bezpieczeństwa – nawet w „pozytywnym” kontekście – niestety może wiązać się ze znacznym spadkiem wiarygodności i odpływem klientów. Firm świadczących usługi informatyczne jest wiele i dla przeciętnego klienta zmiana dostawcy tej usługi nie będzie problematycznym przedsięwzięciem.
