چرا شرکت‌های بیمه هدف خوبی برای باج‌افزارها هستند؟

چرا شرکت‌های بیمه هدف خوبی برای باج‌افزارها هستند؟
تاریخ انتشار : ۱۰ خرداد ۱۴۰۲

در گزارشی که اخیراً منتشر شد آمده است که شرکت‌های دارای بیمه سایبری بیشتر از شرکت‌هایی که فاقد بیمه هستند و گاهی بیشتر از یک بار مورد حمله باج‌افزار قرار می‌گیرند.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

به گزارش گرداب، هرچند شاید مجرمان سایبری مستقیماً عامل بیمه را جهت پیدا کردن اهداف حملات خود در نظر نگیرند اما یکی از دلایلی که ممکن است آن‌ها قربانی باج‌افزار شوند این باشد که بیمه‌کنندگان مبلغ بالایی از شرکت‌ها دریافت می‌کنند، پس شرکتی که قادر به پرداخت هزینه برای دریافت بیمه باشد احتمالا توان پرداخت باج‌های هنگفت را هم دارد.

بر اساس نظرسنجی انجام شده، احتمال این که شرکت‌های دارای بیمه سایبری هدف حمله باج‌افزار قرار بگیرند یا چندین بار قربانی حملات سایبری شوند و باج بپردازند، بیشتر است. در سال ۲۰۱۹ کمتر از ۲۰% شرکت‌ها هدف حملات مکرر باج‌افزار قرار گرفتند اما در دوران شیوع کووید-۱۹ این رقم به حدود ۳۰% افزایش یافت.

حتی بعد از این دوره طی نظرسنجی‌ای که انجام شد و ونسون بورن برای Barracuda گزارش کرد مشخص شد که ۳۸% از سازمان‌های شرکت‌کننده در نظرسنجی ۲۰۲۲ حداقل دو بار هدف حملات موفق باج‌افزار قرار گرفته‌اند. در این حملات، مجرمان سایبری موفق شده‌اند که سیستم‌ها را قفل کنند، داده‌ها را رمزگذاری و اطلاعات را جهت درخواست باج استخراج کنند.

شرکت‌های دارای بیمه سایبری بیشتر هدف حمله قرار می‌گیرند

فلمینگ شی (Fleming Shi)، مدیر ارشد فناوری در Barracuda Networks می‌گوید که بیمه سایبری نقش مهمی در تعیین آمار و ارقام دارد. طبق نظرسنجی، ۷۷% از سازمان‌های دارای بیمه سایبری حداقل یک بار هدف حمله قرار گرفته‌اند اما این رقم برای سازمان‌های بدون بیمه سایبری ۶۵% است. علاوه بر این، ۳۹% از شرکت‌های دارای بیمه سایبری باج را پرداخت کرده‌اند. بدتر از همه این که ۷۰% بیشتر احتمال دارد که شرکت‌های بیمه شده چندین بار هدف حمله قرار بگیرند.

در خصوص سازمان‌هایی که مجدداً قربانی حملات باج‌افزار می‌شوند احتمال این که باج را پرداخت کنند زیاد است و آن‌ها کمتر از سیستم‌های پشتیبان برای کمک به بازیابی و برگشت به حالت عادی (ریکاوری) استفاده می‌کنند.

هرچند در گزارش منتشر شده به ارتباط مستقیم بین بیمه سایبری و حملات باج‌افزار اشاره نشده است اما فلمینگ شی گمان می‌کند که شاید مهاجمان از طریق مهندسی اجتماعی متوجه بیمه بودن یک شرکت شده باشند یا به دنبال اهدافی باشند که داده‌های حیاتی دارند. او می‌گوید: «فهمیدن این موضوع به آن‌ها امکان می‌دهد تا حد زیادی از پرداخت شدن باج اطمینان حاصل کنند». اما این به آن معنا نیست که داشتن بیمه سایبری خطرناک باشد. شی می‌گوید که شرکت‌های بیمه قبل از ارائه پوشش لازم روی کنترل‌های امنیت سایبری تأکید می‌ورزند. اگر از بیمه در جهت بهبود وضعیت امنیتی استفاده شود می‌تواند مفید واقع گردد.

بیمه سایبری می‌تواند به کاهش تعداد شرکت‌هایی که باج پرداخت می‌کنند کمک کند

طبق گزارشی که Coveware در اوایل سال ۲۰۲۳ منتشر کرد درصد قربانیانی که باج می‌پردازند کاهش یافته است، از ۸۵% در ابتدای سال ۲۰۱۹ تا ۴۵% در سه ماهه اول سال ۲۰۲۳. یکی از دلایل آن می‌تواند این باشد که حتی با پرداخت باج هم نمی‌توان همه داده‌ها را پس گرفت. بر اساس گزارش باج‌افزار Sophos در سال ۲۰۲۲، سازمان‌هایی که باج پرداخت می‌کنند به طور میانگین فقط ۶۱% از داده‌های خود را پس می‌گیرند و فقط ۴% قادرند داده‌های خود را به طور کامل دریافت کنند.

سازمان‌ها به دلیل الزامات قانونی و نیازمندی شرکت‌های بیمه سعی می‌کنند برای تقویت امنیت سرمایه‌گذاری کنند. جیسون رِبولز (Jason Rebholz)، مدیر ارشد امنیت اطلاعات در بیمه Corvus می‌گوید: «وقتی بعضی از کنترل‌های خاص را اجباری کردیم، تغییرات محسوسی دیدیم. از سال ۲۰۲۲ سازمان‌ها را ملزم به داشتن پشتیبان‌های امن کردیم و شاهد کاهش ۳۵ درصدی در پرداخت باج‌ها بودیم».

به نظر ربولز با توجه به تنوع و گستردگی ابزار‌های امنیتی، سازمان‌ها اغلب سردرگم هستند که روی کدام یک سرمایه‌گذاری کنند. اما شرکت‌های بیمه در این زمینه اطلاعات کافی دارند چون علاوه بر پیگیری دقیق تحولات صنعتی، جزئیات مربوط به مطالبات بیمه سایبری را می‌دانند. او می‌گوید که هیچکس به اندازه شرکت بیمه سایبری به امنیت سایبری شما اهمیت نمی‌دهد. نقطه پایانی ایمن، احراز هویت چند عاملی و پشتیبان‌گیری بسیار مهم هستند. او می‌افزاید: «افراد دارای کنترل‌های امنیتی قوی، نگرانی‌های کمتری دارند. مثلا اگر یک دروازه (گیت وی)‌ ایمیل امن نداشته باشید، دو و نیم برابر بیشتر احتمال دارد که ‌ایمیل تجاری در معرض خطر قرار بگیرد».

او فکر نمی‌کند که مهاجمان به طور خاص شرکت‌های دارای بیمه را هدف قرار بدهند. هکر‌ها معمولاً بر مبنای ارزش بازاری یا عوامل دیگر اهداف خود را تعیین می‌کنند. کریس هندریکس (Chris Hendricks)، رئیس پاسخگویی به حوادث در Coalition می‌گوید که باج‌افزار فقط یکی از چندین نوع تهدیداتی است که سیاست‌های بیمه پوشش می‌دهند. او ارتباطی بین داشتن بیمه سایبری و هدف باج‌افزار بودن نمی‌بیند و فکر نمی‌کند که شرکت‌ها هنگام خرید بیمه با اطمینان و رضایتمندی کامل عمل می‌کنند.

چگونه بیمه‌کنندگان به تقویت امنیت سایبری سازمان‌ها کمک می‌کنند؟

هندریکس توضیح می‌دهد که Coalition طرحی با نام بیمه فعال را دنبال می‌کند و می‌گوید: «ما تلاش می‌کنیم تا مشتریان را تشویق کنیم که خیلی از خود راضی و بیخیال نباشند». مثلاً یک شرکت بیمه‌کننده ملک قبل از فروش بیمه آتش سوزی باید بداند که ساختمان دارای آبپاش و درب ضد حریق است. نظارت فعال Coalition این گونه است که می‌تواند از بیرون ببیند که آیا شرکت درب ضد حریق دارد یا خیر. هندریکس می‌افزاید: «ما می‌توانیم به سازمان‌ها بگوییم که آیا متوجه شده‌اید درب‌های ضد حریق شما بسته‌اند؟ این خطرناک است. بیایید نحوه باز کردن آن را به شما نشان دهیم».

به گفته هندریکس، این موضوع به ویژه برای شرکت‌های کوچک‌تر که ممکن است ابزار نظارت بر سطح حمله و اسکن آسیب‌پذیری را نداشته باشند مفید است. به علاوه، هر بار که سیاستی تمدید می‌شود، رفتار‌های مخاطره‌آمیز مجدداً ارزیابی می‌شوند که موجب کاهش فراوانی و شدت حوادث می‌گردد.

شرکت میزان اثرگذاری کنترل‌های امنیتی را زیر نظر دارد. مثلاً احراز هویت چند عاملی، خطرات ناشی از کلاهبرداری از طریق باج‌افزار و انتقال وجه را کاهش می‌دهد. او توصیه می‌کند که پروتکل دسکتاپ از راه دور را غیر فعال کنید چون راه‌های بهتری برای ایمن کردن دسترسی از راه دور وجود دارد. هندریکس استفاده از VPN با احراز هویت چند عاملی را پیشنهاد می‌کند.

ابزار پیشنهادی دیگر، محافظ نقطه پایانی است. قبلاً منظور آنتی ویروس بود اما حالا تشخیص و پاسخ نقطه پایانی است. او می‌گوید: «کسانی که EDR با کیفیت دارند با خطرات کمتری مواجه می‌شوند، چه برسد به این که شخصی مانند ارائه‌دهنده خدمات امنیتی آن را تحت نظر داشته و برای وقوع حوادث و مقابله با آن آماده باشد».

و البته پشتیبان‌گیری؛ او می‌گوید که این راه‌حل هرگز از مدت نمی‌افتد و واقعاً تأثیر حملات باج‌افزار را کاهش می‌دهد. یک پشتیبان‌گیری خوب چیزی بیشتر از داشتن یک نسخه از سرور فایل در آمازون S3 است. یک نسخه پشتیبان باید قابلیت بازیابی عملیات تجاری را داشته باشد و شرکت‌ها بتوانند آن‌ها را آزمایش کنند تا مطمئن شوند که کار می‌کنند. زمانی که شرکت‌ها برای بیمه باج‌افزار درخواست می‌دهند، این مورد از آن‌ها سؤال می‌شود.

چشم‌انداز بیمه سایبری در سال‌های اخیر چه تغییری کرده است؟

به گفته آلا ولنت (Alla Valente)، تحلیل‌گرForrester ، شاید نتایج نظرسنجی Barracuda تا حدی معتبر باشند چون مهاجمان احتمالا می‌خواهند هوشمندتر کار کرده و کمتر زحمت بکشند. ولنت می‌گوید: «اگر من هکر بودم حتما حملات باج‌افزار را روی شرکت‌هایی پیاده می‌کردم که توان پرداخت را داشتند». شرکتی که بیمه سایبری ندارد شاید نتواند پول باج را بدهد. او می‌افزاید: «اما هکر‌ها همچنین صنایعی را هدف قرار می‌دهند که چاره‌ای جز پرداخت باج را ندارند».

تا حدی اعتماد به نفس سازمان‌ها تغییر کرده است. او می‌گوید: «چهار سال پیش با اطمینان می‌توانستم بگویم که شرکت‌های دارای بیمه سایبری از آن به عنوان نوعی مدیریت ریسک استفاده می‌کنند. سازمان‌ها احتمالا می‌گفتند حالا که بیمه داریم نیازی نیست کار خاصی انجام دهیم. اما بعد از کووید نه تنها شاهد افزایش حملات باج‌افزار بودیم، بلکه افزایش قابل توجهی در انتقادات علیه بیمه نامه‌های مستقل سایبری و بخشی از سیاست‌های وقفه در کسب و کار دیدیم. در این شرایط بود که شرکت‌های بیمه به تدریج نگران شدند».

سودآوری شرکت‌های بیمه کم شد و خرید بیمه سایبری ارزان نبود. در نتیجه سیاست‌های جدید استثنا‌ها و محدودیت‌های بیشتری دارند. او می‌افزاید: «شرکت‌های بیمه شروع به قید مدیریت ریسک در تعهدات خود کردند. اگر منابع اختصاصی، کنترل‌ها و فناوری‌های مناسب ندارید در معرض خطر بزرگی هستید و قرار نیست ما شما را بیمه کنیم یا تخفیف دهیم یا هزینه بیشتری از شما دریافت کنیم. اگر شرکت‌ها ابزار‌هایی داشته باشند اما مرتبا تمدید یا استفاده نشوند، ادعا‌ها رد می‌شوند چون کنترل یا فناوری خاصی در زمان بروز حادثه در حال اجرا نبوده است».

دامنه در حال تحول حملات سایبری

در حالی که شرکت‌های بیمه مطالبات بیشتری از مشتریان خود دارند و شرکت‌ها خطوط دفاعی خود را تقویت می‌کنند، مجرمان سایبری همچنان پا پس نکشیده‌اند. طبق گزارش Coveware، مجرمان در واکنش به کاهش آمار و درصد پرداخت باج، روش‌های خود را تغییر داده‌اند و حال شرکت‌های بزرگ‌تر را با تقاضای باج هنگفت هدف قرار می‌دهند. میانگین مبلغ پرداختی برای باج از کمتر از پنجاه هزار دلار در سال ۲۰۱۹ به بیش از چهارصد هزار دلار در پایان سال ۲۰۲۲ رسیده است. در سه ماهه اول سال ۲۰۲۳، تقاضای اولیه در ۴۵% از موارد حمله بیش از یک میلیون دلار بوده که بالاترین مبلغ به ثبت رسیده تاکنون است.

نکته دیگر، تغییر تعداد باج خواهی‌های اضافی است. بر اساس گزارش Coveware قبلا اخاذی‌های مجدد را گروه‌های باج‌افزار رده پایین که به شرکت‌های کوچک حمله می‌کردند انجام می‌دادند. اما در سال ۲۰۲۲ بعضی از گروه‌های شناخته شده که شرکت‌های بزرگ را هدف قرار می‌دهند هم از استراتژی اخاذی مجدد استفاده کردند. روش دیگری که رایج است، سرقت کپی‌هایی از داده‌ها قبل از رمزگذاری آن‌هاست. این تاکتیک نفوذی در سه ماهه اول سال ۲۰۲۳ در بیش از ۸۰% از حملات باج‌افزار پیاده شد.

طبق گزارش Coveware، شرکت‌ها متوجه شده‌اند که پرداخت باج در قبال افشا نکردن داده‌های دزدیده شده چندان مؤثر نیست اما با کلید‌های رمزگشایی می‌توانند بلافاصله از درست بودن کلید اطمینان حاصل کرده و در ازای مبلغ پرداختی به بخشی از داده‌ها دسترسی پیدا کنند.
مهاجمان همیشه به دنبال ابزار‌های جدید مانند هوش مصنوعی هستند تا اثربخشی حملات خود را افزایش دهند. ولنت می‌گوید: «فناوری‌های جدید زیادی مانند چت جی‌پی‌تی در حال توسعه‌اند اما از آن جایی که تاکنون به اندازه کافی از آن‌ها استفاده نشده است، نمی‌توان دامنه خطرات آن را شناسایی و راه‌های مقابله با آن را مشخص کرد».

او می‌گوید که اگر روی یک مورد تمرکز کنیم، مورد دیگر شروع به گسترش و تکامل می‌کند. مهم این است که سازمان‌ها همه تلاش خود را انجام دهند چون خطر همیشه در کمین است.

این مطلب به قلم ماریا کورولوف (Maria Korolov) در وب‌سایت csoonline آنلاین منتشر شده است.