Ransomware atakos: ar gali įmonė, siekdama atgauti pavogtus duomenis, už tai būti nubausta?
2023 - 01 - 19
Straipsnio autorius: Privatu: Karolina Briliūtė, Dominykas Jončas
Tobulėjant technologijoms neišvengiamai atsiranda ir naujo pobūdžio nusikaltimai. Štai, pastaraisiais metais vis dažniau girdime apie ransomware atakas. Paprastai tariant – tai duomenų pagrobimas ir išpirkos už juos reikalavimas.
Naujo tipo nusikaltimai
Ransomware gali sukelti rimtus nuostolius. Pavyzdžiui, 2019 m. Baltimorė (JAV) patyrė ataką, kurios metu buvo užblokuota miesto kompiuterių sistema ir reikalaujama sumokėti 76 tūkst. dolerių išpirką, kad miestas atgautų prisijungimus prie sistemų. Tai padaryti atsisakiusi miesto valdžia patyrė maždaug 18 mln. dolerių išlaidų atstatant prarastus duomenis.
2021 m. tokią ataką patyrė maisto perdirbimo kompanija „JBS USA Holdings“ ir turėjo sumokėti 11 mln. dolerių išpirką, kad atgautų priėjimą prie savo duomenų.
2021 m. kompanija „Colonial Pipeline“ taip pat buvo priversta sumokėti 4.4 mln. dolerių išpirką.
Lietuvoje Nacionalinis kibernetinio saugumo centras (NKSC) 2021 m. ataskaitoje nurodė 2020–2021 m. gavęs pranešimų apie taikymąsi į automobilių pardavimo salonų infrastruktūrą ir ten įvykusias ransomware atakas. Visos kibernetinės atakos susijusios su išpirkos reikalavimu.
NKSC vertinimu, tokių kibernetinių atakų daugėja ir ateityje tikrai nemažės. Viena iš priežasčių ta, kad dalis organizacijų sutinka mokėti išpirką kriptovaliuta, o tai nusikaltėliams sudaro galimybes gauti greitą ir sunkiai atsekamą finansinę naudą.
Svarbiausia – prevencija
Svarbiausia ir pagrindinė apsauga nuo tokio pobūdžio veikų yra prevencija (bendro kibernetinio saugumo stiprinimas, legalios ir patikimos techninės įrangos ir programų naudojimas, antivirusinių programų naudojimas, atsarginės duomenų kopijos ir kt.).
Su daug duomenų dirbančios įmonės turėtų apsvarstyti ir galimybę pasinaudoti sparčiai populiarėjančiu kibernetinių rizikų draudimu, suteikiančiu apsaugą įmonės duomenims. Tokiu būdu galėtų būti bent iš dalies sumažinti dėl ransomware atakos patirtini nuostoliai.
Tokios atakos kelia pavojų ir žmonių gyvybei. Tad geriau turėti ir civilinės atsakomybės draudimą. Tai įrodo skaudus 2020 m. Vokietijos pavyzdys, kuomet moteris numirė dėl to, kad nusikaltėliai, reikalaudami išpirkos, apribojo priėjimą prie medicininių duomenų ir jai laiku negalėjo būti atlikta operacija.
Beje, prieš draudžiantis, reikėtų išanalizuoti civilinės atsakomybės draudimo sąlygas. Štai, Merilando (JAV) apylinkės teisme nagrinėta byla, kurioje draudimo kompanija atsisakė mokėti draudimo išmoką, nes kompiuterių sistemos nebuvo fiziškai sugadintos. Tiesa, teismas su bendrove nesutiko ir pasakė, kad draudimas turi apimti žalą programinei įrangai, kuri dėl atakos nustojo veikti.
Vadovo atsakomybė
Taip pat verta pasitvirtinti vidinius teisės aktus, susijusius su kibernetinių atakų valdymu, kad būtų aišku, kas ką turi daryti prasidėjus atakai. Viešai skelbiamose rekomendacijose netgi siūloma vidiniuose teisės aktuose pasitvirtinti išpirkos mokėjimo galimybę bei procedūrą kaip vieną iš variantų patyrus ransomware ataką. Ir siūloma kuo išsamiau apsibrėžti kada, kokiomis sąlygomis galėtų būti priimamas sprendimas sumokėti ar nemokėti išpirkos.
Be visa ko, tai leistų gintis įmonės vadovui, jeigu kiltų ginčas tarp jo ir akcininkų dėl sprendimo sumokėti išpirką. Vadovo veiksmų teisėtumas tokiu atveju galėtų būti grindžiamas ne tik bendrųjų fiduciarinių pareigų (elgtis sąžiningai ir protingai, būti lojaliam bendrovei ir laikytis konfidencialumo, vengti interesų konflikto ir nenaudoti bendrovės turto savo asmeninei naudai) vykdymu, bet ir tuo, kad buvo veikiama taip, kaip įtvirtinta įmones vidiniuose teisės aktuose.
Ar verta mokėti išpirką?
Šis klausimas paprastai reikalauja labai operatyvaus atsakymo, ir jis bet kuriuo atveju kainuoja brangiai. Bendroji vyraujanti rekomendacija yra išpirkos nemokėti. Tačiau situacijos būna labai skirtingos.
Pirmiausia, išpirkos sumokėjimas yra aiškus signalas nusikaltėliams, kad įmonė pinigų turi ir juos atiduoda, o programišių nusikalstami veiksmai veikia ir atsiperka.
Antra, išpirkos sumokėjimas negarantuoja duomenų atgavimo. Gavę išpirką nusikaltėliai gali „dingti“, arba grąžinti tik dalį duomenų, o už likusius reikalauti tolesnių mokėjimų.
Trečia, išpirkos sumokėjimas skatina nusikaltėlius neapleisti tokio veiklos modelio ir toliau šantažuoti įmones.
Išvada paprasta: išpirkos sumokėjimas dažniausiai atneša daugiau žalos, negu naudos. Deja, yra pavyzdžių, kai principinga pozicija sukelia skausmingų padarinių.
Be jau minėtų pavyzdžių, gana dažni atvejai, kuomet nuo ransomware atakų nukenčia ne tik tiesioginiai „taikiniai“, bet ir tretieji asmenys.
Lietuvoje bene ryškiausias ir garsiausiai nuskambėjęs to pavyzdys – „Grožio chirurgijos“ pacientų asmens duomenų vagystė bei reikalavimas sumokėti apie 300-350 tūkst. Eur (konvertavus iš bitkoinų) išpirką. Šiuo atveju įmonė pasielgė pagal rekomendacijas – pasirinko nemokėti ir kreipėsi į teisėsaugą. Nepaisant to, dalis privačių asmenų duomenų buvo paviešinti. Įmonei suduotas gana skausmingas smūgis. Po visų nemalonumų, „Grožio chirurgija“ baigė veiklą Kaune, o Vilniuje ją nutarė tęsti kitu prekės ženklu.
Išpirką mokėti atsisakė ir Suomijos psichinės sveikatos klinikų tinklas „Vastaamo“, iš kurio nusikaltėliai reikalavo 40 bitkoinų (tuo metu – maždaug 450 tūkst. Eur). Įmonės pacientų duomenys buvo paviešinti, o bendrovė 2021 m. pradžioje paskelbė apie bankrotą.
Sprendžiant išpirkos dilemą, svarbu labai gerai pasverti visas galimas pasekmes. Įvertinti, kas bendrovei naudingiau, atsižvelgiant į finansinius ir reputacijos nuostolius, asmens duomenų apsaugos klausimus, galimus nukentėjusių asmenų ieškinius ir kitas rizikas. Jeigu įmonėje veikia kolegialūs valdymo organai, sprendimą siūlytina išsamiai svarstyti ir priiminėti kolegialiai, o ne vienasmeniškai.
Tai aktualu situacijose, kuomet ransomware atakos metu yra pagrobiami jautrūs įmonės klientų ar vartotojų duomenys. Jų praradimas gali lemti ne tik sankcijas dėl netinkamo duomenų tvarkymo, tačiau ir nukentėjusių asmenų reikalavimus atlyginti padarytą žalą.
Bet kokiu atveju, patyrus ransomware ataką rekomenduojama veikti nedelsiant. Pirma, kreiptis į teisėsaugos institucijas. Antra, įmonės viduje sudaryti komandą situacijai spręsti. Trečia, pasitelkti teisinius patarėjus, kurie padėtų įvertinti galinčias kilti teisines pasekmes, galimų rizikų ir žalų pobūdį bei mastą, pasiruošti įvairiems scenarijams ir juos valdyti.
Ar mokėti išpirką draudžiama?
Lietuvoje išpirkos mokėjimas savaime nėra neteisėtas veiksmas. Teisės aktai nenumato už tai jokios atsakomybės įmonei. Panaši situacija yra ir kitose šalyse.
JAV Federalinis tyrimų biuras (FTB) pateikia tik rekomendaciją išpirkos nemokėti. Tačiau sako, kad draudimo to daryti nereikia. Nes tai įstumtų įmones į dar blogesnę padėtį. Jos esą tokiu atveju liktų vienos tvarkytis su užpuolikais ir vengtų kreiptis pagalbos į teisėsaugą.
Visgi, spręsdamos dilemą „mokėti ar nemokėti“, dalis JAV valstijų išleido teisės aktus, kurie draudžia išpirkas mokėti valdžios institucijoms. Pirmoji 2022 m. balandžio 5 d. tai padarė Šiaurės Karolina. Tokį patį teisės aktą netrukus priėmė ir Pensilvanija. Tikėtina, kad šiuo pavyzdžiu seks ir kitos, rodydamos tvirtą poziciją nesiderėti su nusikaltėliais.
Verslo atveju išpirkos mokėjimo neteisėtumą galima įtvirtinti įmonės vidaus teisės aktuose. Nors tai nelemtų jos teisinės atsakomybės bendrąja prasme, tokiu būdu verslas galėtų nusistatyti vidinę tvarką ir išankstinę poziciją ransomware atakų atveju.
Ar įmonė gali būti nubausta už išpirkos sumokėjimą?
Tiesiogiai – ne. Tačiau išpirkos reikalavimas yra neteisėtas veiksmas. Todėl su tuo susidūrusi įmonė turėtų nedelsdama kreiptis į teisėsaugos institucijas. Iš pirmo žvilgsnio toks veiksmas gali atrodyti beprasmis, kadangi ransomware atakų organizatoriai yra sunkiai susekami. Tačiau pats kreipimosi pagalbos faktas rodo nukentėjusios bendrovės ketinimą problemą spręsti teisėtomis priemonėmis. Toks veiksmas taip pat gali būti naudingas sprendžiant dėl vadovo atsakomybės.
Be to, būtina įvertinti ir kitas rizikas. Pavyzdžiui, išpirkos reikalaujantys nusikaltėliai gali būti susiję su teroristinėmis organizacijomis ar asmenimis, kuriems taikomos sankcijos. Tokiu atveju išpirkos mokėjimas gali sukelti įtarimų priežiūros institucijoms ir užtraukti atsakomybę mokėtojui pagal Pinigų plovimo ir teroristų finansavimo prevencijos įstatymą.