Playbook, głupcze! Tegoroczny raport „Veeam Ransomware Trends and Proactive Strategies 2025” to żółta kartka dla wielu organizacji na całym świecie. Dlaczego? Mimo wysokiego poziomu przygotowania procedur na wypadek ataku, wciąż większość firm nie ma pojęcia, jak teorię przełożyć na praktykę. A dzieje się to w firmach, które w większości przypadków padły już ofiarą przynajmniej jednego cyberataku w ostatnim roku.
„Veeam Ransomware Trends and Proactive Strategies 2025” to mocna pozycja w bibliotece dorocznych raportów liczących się na rynku dostawców technologii. Tym bardziej dane i wnioski płynące z tego badania mogą budzić niepokój. Wyniki sprawiają wrażenie, że życie (biznes) codzienne wielu organizacji płynie gdzieś obok znanej nam rzeczywistości. W tej alternatywnej rzeczywistości prawdopodobnie cyberprzestępczość nie istnieje, a opracowana na papierze strategia ochrony kopii zapasowych kluczowych dla biznesu danych jest wystarczającym straszakiem dla „tych złych”.
We mgle incydentów
Z badania wynika, że niemal wszystkie firmy na świecie (98%) posiadają plan działania na wypadek cyberataku (tzw. playbook). Jednak wciąż mniej niż połowa zawarła w nim elementy, które w sytuacji kryzysowej zadecydują o być lub nie być organizacji. Tylko 44% badanych przedsiębiorstw uwzględnia w playbooku konieczność regularnego testowania kopii zapasowych, a 32% wskazuje procedury izolacji systemów zagrożonych atakiem ransomware. Dodatkowo jedynie co trzeci respondent wie, kto podejmuje decyzje, gdy wystąpi incydent. Powtórzmy – w razie ataku w dwóch na trzy firmy zacznie się nerwowe szukanie osoby decyzyjnej, która będzie w stanie podjąć jakąś sensowną decyzję, zarządzić realizację zaplanowanych procedur itp…
Te dane płyną od firm, z których siedem na dziesięć (69%) padło ofiarą przynajmniej jednego ataku ransomware w ciągu ostatnich 12 miesięcy.
Jednak, jak zauważa Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam, takie sytuacje nie wynikają wprost z lekceważenia cyfrowej rzeczywistości, ponieważ rosnąca presja regulacyjna (choćby NIS2), zacieśnianie współpracy między zespołami IT i bezpieczeństwa oraz ogólna wyższa świadomość zagrożeń sprawiają, że firmy stają się coraz lepiej przygotowane na ryzyka cybernetyczne. Jednak przestępcy szybko adaptują swoje techniki: zamiast szyfrowania danych coraz częściej wykradają poufne informacje, a czas między włamaniem i atakiem są w stanie skrócić do kilku godzin.
Do tego scenariusza należałoby, zdaniem eksperta, dodać wspomniany wcześniej playbook, a właściwie jego brak. Eksperci z Veeam wskazują, że jest on podstawowym elementem przygotowania na incydent ransomware. Playbook jasno ukazuje, kto podejmuje decyzje, jakie działania należy podjąć bezpośrednio po wykryciu zagrożenia, w jakiej kolejności przywracać kluczowe systemy oraz jak prowadzić komunikację – zarówno wewnętrzną, jak i zewnętrzną. Dobrze zaprojektowany playbook zawiera nie tylko scenariusze reakcji, ale także konkretne wytyczne techniczne, które pozwalają ograniczyć rozprzestrzenianie się ataku w organizacji.
W warunkach cyberataku krytyczne znaczenie ma natychmiastowy dostęp do procedur i jasno zdefiniowanych ścieżek postępowania.
Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią, Veeam:
Warto pamiętać, że skuteczny playbook to narzędzie reakcji, a nie prewencji. Dlatego przygotowanie na zagrożenia cybernetyczne nie może sprowadzać się wyłącznie do stworzenia dokumentu wskazującego „co robić, gdy atak już się wydarzył”. Kluczowa jest kompleksowa strategia odporności organizacji i jej danych, na którą składają się nie tylko procedury działania w czasie incydentu cybernetycznego i bezpośrednio po nim, ale również dobre praktyki wdrażane wcześniej – na etapie zabezpieczania zasobów, planowania procesów i edukowania zespołów.
Zwiększanie odporności
Jednym z najważniejszych filarów cyberodporności jest strategia tworzenia i odzyskiwania kopii zapasowych. Chodzi nie tylko o regularne wykonywanie backupu, ale również o jego izolację od środowiska produkcyjnego i zabezpieczenie przed nieautoryzowanymi zmianami. Konieczne jest także regularne testowanie procedur przywracania backupu, aby mieć pewność, że w sytuacji kryzysowej kopie zapasowe są dostępne, aktualne i w pełni funkcjonalne.
„Dobrym punktem odniesienia jest zasada 3-2-1-1-0, zgodnie z którą firma powinna przechowywać trzy kopie danych na dwóch różnych nośnikach, z czego co najmniej jedna musi być niezmienna i znajdować się poza główną siedzibą firmy. Zero na końcu oznacza brak błędów wykrytych podczas testów odzyskiwania danych. Równolegle firmy powinny inwestować w rozwiązania proaktywne, które pozwalają ograniczać prawdopodobieństwo wystąpienia ataku. Wśród nich warto wskazać m.in. architekturę zero trust oraz zarządzanie tożsamością i dostępem. Równie istotne są polityki i procesy zapewniające aktualność oprogramowania, a także narzędzia umożliwiające wykrywanie anomalii i podejrzanych zachowań w środowisku systemowym” – wyjaśnia Tomasz Krajewski.
