Wcale się nie zdziwię, jeśli któregoś dnia na drzwiach mojej osiedlowej piekarni zobaczę kartkę z napisem: „Nieczynne z powodu ataku ransomware”. Ktoś może powiedzieć, że przesadzam, ale taki scenariusz jest jak najbardziej realny. Niedawno niderlandzkie media informowały o niedoborze niektórych produktów spożywczych, a zwłaszcza sera, w największej sieci supermarketów Albert Heijn. Detalista zamieścił na swojej stronie internetowej specjalny komunikat: „Ze względu na usterkę techniczną dostępność sera paczkowanego jest ograniczona. Dostawca usług logistycznych dokłada wszelkich starań, aby jak najszybciej rozwiązać problem i szybko przywrócić dostępność. Przepraszamy za niedogodności”. Rzeczona usterka powstała w wyniku ataku przeprowadzonego przez gang ransomware na firmę logistyczną Bakker Logistiek. Szefowie przedsiębiorstwa rozłożyli bezradnie ręce i powiedzieli, że bez dostępu do komputerów nie są w stanie odnaleźć produktów i wysłać ciężarówek z serem do sklepów.

Powyższa historyjka wydaje się być dość zabawna, ale z pewnością do śmiechu nie jest tym, którzy muszą zapłacić okup za odszyfrowanie danych. Według wyliczeń Coveware średnia wartość zapłaconego okupu w czwartym kwartale 2020 r. wyniosła 220 tys. dol., czyli 43 proc. więcej niż we wcześniejszym kwartale. Oczywiście, jak ktoś powiedział, statystyka jest jak latarnia w dzień: niczego nie rozjaśnia, niczego nie oświetla, ale można się o nią oprzeć. Nieco inne światło na kwestie dotyczące haraczy opłacanych przez ofiary cyberataków rzuca wypowiedź Johna Carlina, zastępcy prokuratura generalnego Stanów Zjednoczonych. Przyznaje on, że podczas swojej pracy w kancelarii prawniczej Morrison & Foerster, spotykał się z klientami, którzy płacili okupy w wysokości nawet 20 mln dol. 

Tym bardziej większość ofiar staje przed dylematem – płacić czy nie płacić. Jak to zazwyczaj bywa, ścierają się dwie zupełnie odmienne koncepcje i szkoły myślenia. Specjaliści od cyberbezpieczeństwa są przeciwnikami płacenia okupów. Ich zdaniem uleganie szantażystom jedynie nakręca spiralę ataków. Poza tym coraz częściej dostęp do oprogramowania ransomware mają amatorzy. Znane są przypadki, że pomimo tego, iż napastnicy zainkasowali kasę, to i tak nie odszyfrowali plików. Z badań przeprowadzonych przez Sophos wynika, że mniej niż 1 na 10 przedsiębiorstw po opłaceniu haraczu zdołało odzyskać wszystkie dane. Do drugiej szkoły należą pragmatycy, kierujący się rachunkiem ekonomicznym, według którego bardziej opłaca się zapłacić napastnikom niż ponosić koszty związane z brakiem dostępu do danych. Wspomniany wcześniej John Carlin zwraca uwagę na fakt, że koszty będące następstwem szkód wyrządzonych jego klientom byłyby od 10 do 20 razy większe niż wysokość haraczu.

Jak zatem wyjść z tego błędnego koła? Za oceanem wysuwane są postulaty, żeby Kongres rozważył możliwość zakazu płacenia okupów przez firmy, podobnie jak ma to miejsce w przypadku finansowania terroryzmu. Jednocześnie amerykańscy urzędnicy mają dążyć do szukania najlepszych możliwych sposobów na ochronę ofiar ataków. Jednym z dotychczasowych przykładów tego typu działań jest niedawna akcja FBI. „Federalni”, za zgodą władz, dostali się do sieci firm, które zostały dotknięte atakiem na Microsoft Exchange Server. Ta decyzja miała być podyktowana obawami, że występujące podatności mogą być wykorzystane do przeprowadzenia ataków ransomware. Funkcjonariusze FBI chcieli więc, prewencyjnie, temu zapobiec. Wydaje się, że mimo dobrych intencji, majstrowanie polityków przy cyberbezpieczeństwie – o ile pójdzie w taką właśnie stronę – może się źle skończyć. Z drugiej strony pokusa tego rodzaju ingerencji będzie rosła, jeśli gangi ransomware będą dalej grały wszystkim na nosie.