L'incident du Colonial Pipeline Cyber a été une prise de conscience qui donne à réfléchir aux effets critiques qu'une attaque de rançongiciel peut jouer non seulement sur les affaires, mais sur la société. Le PDG Joseph Blount avait une décision très difficile à prendre: payer ou ne pas payer.

Face à cette décision sur la façon de répondre à une attaque de rançongiciel, l'accent doit être mis sur vos réponses aux facteurs de décisions importantes. J'ai généralement été d'avis de ne pas payer ni de négocier, car c'est ce qui incite les cybercriminels à continuer dans cette activité de rançongiciel. Maintenant que j'ai vu l'impact d'une attaque sérieuse sur une infrastructure majeure, j’ai fait marche arrière et j'ai réalisé que nous devons prendre en compte de nombreuses variables qui en font une décision de cas par cas et ne pas simplement se précipiter à «ne pas payer».

En prenant cette décision, nous examinons plusieurs facteurs :

1. Les actifs/les services stratégiques de l'organisation sont-ils essentiels pour la société ou des données de grande importance qui peuvent causer un préjudice grave à une nation? Dans certains cas, comme le Colonial Pipeline, les profits doivent venir en dernier lorsque vous avez la responsabilité sociale de fournir du chauffage pour les maisons, un environnement sécuritaire pour les travailleurs et d'éviter les risques de catastrophe environnementale. Le choix de fermer les pipelines serait associé à l'incapacité du CP à facturer principalement les sorties de carburant, mais également à assurer la sécurité des travailleurs et des clients des pipelines en empêchant les attaques du réseau de pipelines TO.

2. L'organisation a-t-elle un mandat de réponse aux incidents de cybersécurité? Il existe plusieurs options lors du choix d'un partenaire de cybersécurité pour les services de réponse aux incidents et les rétentions. Certains sont livrés avec des outils EDR, le développement de plans IR et les SLA. Si vous avez un mandat, il est essentiel de comprendre tous les rôles et responsabilités de l'organisation, un mandat de tierce partie et tous les mécanismes de soutien supplémentaires.

3. L'organisation a-t-elle la capacité de restaurer des services sans avoir besoin de la clé de chiffrement? Lors de l'examen des risques pour votre organisation, la récupération de données doit être une priorité. Pas seulement pour les impacts des événements de Rançongiciel, mais pour tout incident majeur sur les systèmes. Si les sauvegardes ne sont pas effectuées fréquemment et protégées, les options sont limitées. Vous devez également prendre en compte le pouvoir humain requis pour la reprise et si des ressources supplémentaires doivent être fournies par des organisations partenaires. Ces coûts peuvent s'additionner rapidement si plusieurs ressources sont nécessaires.

4. L'organisation a-t-elle un régime d'assurance cybernétique et si oui, qu'est-ce qui est couvert et quelles sont les limites / mises en garde? Il est important de noter qu'un régime d'assurance cybernétique n'est pas une solution miracle pour les cyber-incidents. La cyber-assurance est en place pour aider une organisation à récupérer financièrement des coûts liés aux cyber-événements, tels que les services de restauration et la perte de revenus. Il est important de comprendre la couverture et les limites concernant les personnes pouvant être engagées pour aider à la réponse -incident et au rétablissement, ainsi que l'approbation et éventuellement la couverture du paiement de la rançon.

5. Le risque vaut-il la récompense? Avouons-le, lorsqu'il s'agit de tout type de criminel, la confiance qu'ils se conformeront à un paiement en échange de clés de cryptage pour restaurer les systèmes est un risque important.

En fonction du montant de la rançon demandé par rapport au coût potentiel de recouvrement, les fournisseurs de cyber-assurance peuvent suggérer de payer la rançon plutôt que d'essayer de récupérer à partir d'une sauvegarde ou d'une reconstruction, car l'assureur se tournera généralement vers l'option la moins coûteuse. La décision revient finalement à l'organisation. Il n'y a pas de réponse ferme au paiement, à la négociation ou au non-paiement, c'est simplement une décision une fois la partie engagée qui nécessite la contribution de divers domaines d'activité et d'expertise.

Il y a d'autres problèmes soulevés dans l'entrevue avec le PDG.

«Bien que le débit de carburant du pipeline soit revenu à la normale, l'impact du piratage s'est à peine terminé avec le paiement de la rançon. Il faudra des mois de travaux de restauration pour récupérer certains systèmes d'entreprise, et coûtera finalement à Colonial des dizaines de millions de dollars, a déclaré M. Blount, notant qu'il est toujours incapable de facturer les clients suite à une panne de ce système». - Collin Eaton / Bloomberg News

Le temps de restauration doit devenir un objectif prioritaire pour notre industrie. Il y a eu beaucoup trop peu d'attention apportée à l'élaboration d'une stratégie pour y parvenir. Ce sera le sujet de mon prochain blog.

Similar Blog Posts

Read the IT Buzz
Comment créer un Plan de Réponse Aux Incidents
Par: Marc Perreault
juillet 08, 2021
Comment créer un Plan de Réponse Aux Incidents

Dans la première partie de ce blog, j'ai décrit les raisons pour lesquelles les organisations ont besoin d'un plan de réponse aux incidents (PRI). ...

Comprendre les TI hybrides
Par: Michael Bunnage
mai 31, 2021
Comprendre les TI hybrides

Vous vous êtes déjà demandé pourquoi on faisait tout un plat de ces TI hybrides? Il semble qu’il y ait toujours quelque chose de nouveau et de ...

Le multicloud hybride n'est rien de moins qu'inévitable
Par: Chad Best
novembre 24, 2021
Le multicloud hybride n'est rien de moins qu'inévitable

Pour citer l'agent Smith dans La Matrice, « Vous entendez ça, M. Anderson? C'est le son de l'inévitable! ». C'est ce qui me vient à l'esprit lorsque ...