Organisationer av alla storlekar faller alltmer offer för ransomware-attacker och är otillräckligt skyddade mot detta ökade cyberhot. Ny data från rapporten Veeam 2023 Ransomware Trends Report visar att en av sju organisationer kommer se nästan all (runt 80 procent) sin data påverkad av en ransomware-attack, vilket visar på påtalande brister i organisationernas skydd mot ransomware. Veeam Software, ledare inom dataskydd och återhämtning från ransomware, kan i rapporten se att cyberkriminella nästan alltid (i över 93 procent av fallen) riktar in sig på offrens backuplagring och lyckas med att försvaga offrens förmåga till återhämtning i 75 procent av fallen, vilket påvisar vikten av att lagra oföränderliga och fysiskt åtskilda säkerhetskopior av organisationernas data.

I Veeam 2023 Ransomware Trends Report delar Veeam med sig av insikter från 1 200 organisationer som drabbats av ransomware via nästan 3 000 cyberattacker, vilket gör den till en av de största rapporterna i sitt slag. I rapporten undersöks viktiga aspekter av dessa incidenter, deras inverkan på IT-miljöer och de åtgärder som vidtagits eller behövs för att implementera dataskyddsstrategier som säkerställer organisationernas motståndskraft. Undersökningens respondenter omfattar fyra olika roller: säkerhetsexperter, CISO:er eller IT-chefer med cybersäkerhetsansvar, ansvariga för organisationens IT-drift samt backupadministratörer.

– Rapporten visar att det idag inte handlar om huruvida din organisation kommer att bli måltavla för en cyberattack, utan hur ofta, säger Danny Allan, CTO på Veeam. Även om cybersäkerhet och förebyggande förblir viktigt är det också viktigt att varje organisation fokuserar på hur snabbt de kan återhämta sig, genom att göra sin organisation mer motståndskraftig. Vi måste fokusera på en effektiv beredskap för kidnappningsprogram genom att fokusera på grunderna, inklusive starka säkerhetsåtgärder, och testa både originaldata och säkerhetskopior, säkerställa backuplösningarnas överlevnad och även säkerställa integrationen mellan backup- och cybersäkerhetsteamen för att garantera en enhetlig beredskap.

Betald lösensumma ingen garanti för återhämtning

För andra året i rad betalade majoriteten (80 procent) av de undersökta organisationerna lösensumman för att avsluta en attack och återställa data, vilket är en ökning med 4 procentenheter jämfört med året innan. Detta trots att 41 procent av organisationerna har en så kallad Do-Not-Pay-policy för kidnappningsprogram. Men samtidigt som 59 procent av organisationerna betalade lösensumman och kunde återställa data, betalade 21 procent lösensumman men fick fortfarande inte tillbaka sin data från cyberbrottslingarna. Rapporten visar också att endast 16 procent av organisationerna valde att inte betala lösen eftersom de kunde återhämta sina data från säkerhetskopior. Detta är dessvärre en minskning från 19 procent jämfört med förra årets undersökning.

Hotar säkerhetskopiornas överlevnad

Efter en ransomware-attack har man två val: att betala lösen eller återställa data från en backup. När det gäller återställning avslöjar rapporten att cyberkriminella försöker attackera säkerhetskopiorna i nästan samtliga (93 procent) fall, vilket resulterar i att 75 procent av de drabbade organisationerna förlorar åtminstone några av sina säkerhetskopior under attacken, och att mer än en tredjedel (39 procent) av säkerhetskopiorna går helt förlorade.

Genom att attackera backuplösningen tar de cyberkriminella bort möjligheten till återställning och tvingar därmed organisationen att betala lösensumman. Medan bästa praxis – som att säkra inloggningsuppgifter, automatisera genomskanning av säkerhetskopior och automatisk verifiering av att säkerhetskopior är återställbara – är det bästa sättet att skydda sig mot attacker, är nyckeltaktiken att se till att den säkerhetskopierade datan inte kan raderas eller skadas. För att göra det måste organisationer fokusera på oföränderlighet eller så kallad immutabilitet. Den goda nyheten är, baserat på lärdomar från dem som varit offer, att 82 procent av organisationerna i undersökningen använder oföränderliga moln, 64 procent använder oföränderliga diskar och endast 2 procent av organisationerna saknar oföränderlighet i minst en nivå av sin backuplösning.

Återinfektera inte under återhämtning

När respondenterna tillfrågades hur de säkerställer att data är "ren" under återställning, uppgav 44 procent att de slutför någon form av isolerat steg för att skanna igenom data från säkerhetskopior innan de återinförs i produktionsmiljön. Tyvärr betyder det att majoriteten (56 procent) av verksamheterna löper risk att återinfektera produktionsmiljön genom att inte ha ett sätt att säkerställa ren data under återställning. Det är därför viktigt att noggrant skanna igenom data under återställningsprocessen.

Andra slutsatser från rapporten

Cyberförsäkringar blir för dyra: 21 procent av organisationerna uppger nu att just ransomware är undantaget från deras försäkringar, och de med cyberförsäkring såg förändringar i sina senaste förnyelser: 74 procent såg ökade premier, 43 procent såg ökade självrisker och 10 procent såg att förmånerna för vad försäkringen täcker minskade.

Handböcker för incidentrespons är beroende av backup: 87 procent av organisationerna har ett riskhanteringsprogram som driver deras säkerhetsplan, men bara 35 procent anser att deras program fungerar bra, medan 52 procent försöker förbättra sin situation och 13 procent har ännu inget ett etablerat program. Rapporten avslöjar att de vanligaste delarna i en handbok och förberedelserna mot en cyberattack är att ha rena säkerhetskopior, och en återkommande verifiering av att säkerhetskopiorna är återställningsbara.

Organisatorisk samordning fortsätter att lida: Även om många organisationer anser att kidnappningsprogram är en katastrof, och därför inkluderar cyberattacker i sin planering för affärskontinuitet eller katastrofåterställning (BC/DR), säger 60 procent av organisationerna att de fortfarande behöver betydande förbättringar eller behöver göra fullständiga översyner mellan sina backup- och cybersäkerhetsteam för att vara förberedda för ett sådant scenario.

Kommentar från Veeams nordiska chef

I en kommentar till rapporten säger Victor Dohlmann, Senior Regional Director Nordics, Veeam.att ransomware-hoten fortsätter att öka och att de tynger företag runt om i Sverige och världen.

– Lösningen är dataskydd och tillgången till säkra, oföränderliga säkerhetskopior för att snabbt återhämta sig är det bästa försvaret för den ständigt närvarande risken för en ransomware-attack. Men det är inte en uppgift som bara går att bocka av, skyddet måste kontinuerligt uppdateras och ses över för att stå emot nya sofistikerade hot som ständigt utvecklas. Idag ser vi en ökad medvetenhet om hoten bland svenska företag, men många saknar kunskap och verktyg för att fullt ut säkra, skydda och snabbt återställa sin data, trots strängare lagstiftning. Med tanke på att inte ens experter på området kan förutsäga framtida hot med tillförsikt, kan vi inte förvänta oss att svenska företag ska leva i en värld där de tvingas förutsäga framtiden, när de som gör det för sitt uppehälle inte kan.

– Hur kan företagen se på framtiden med tillförsikt? En aspekt är ökad utbildning och vägledning för att samhället ska kunna samla sig mot ransomware och dess skadliga inverkan på vårt digitala samhälle. Den andra är att söka de lösningar som erbjuder dem det bästa försvaret för deras IT- och affärsbehov. Eftersom vi inte kan förutsäga framtiden ger den bästa lösningen idag också möjligheten att gå över till morgondagens bästa lösning. Konceptet utan leverantörsinlåsning har aldrig varit viktigare, hävdar Victor Dohlman avslutningsvis.