La Asociación de Aseguradores Británicos (ABI), la Asociación Británica de Corredores de Seguros (BIBA) y la Asociación Internacional de Suscripción (IUA) se han unido al Centro Nacional de Seguridad Cibernética (NCSC) en una coalición con el objetivo de endurecer los enfoques para los pagos de ransomware y reducir los volúmenes de dichos pagos realizados por organizaciones del Reino Unido.
Lanzada el día de la inauguración del jamboree anual CyberUK del NCSC, la coalición está respaldada por una guía que tiene su génesis en un artículo de investigación del Royal United Services Institute (RUSI) publicado en 2023. También “aborda con firmeza” las recomendaciones hechas por el Comité Conjunto Parlamentario. sobre la Estrategia de Seguridad Nacional (JCNSS) el pasado mes de diciembre.
Establece una serie de recomendaciones para capacitar a las organizaciones y a terceros asociados para que tomen decisiones mejor informadas en caso de ser víctimas de un ataque de ransomware, ayudando a minimizar las interrupciones que surgen de un incidente y los costos asociados con él.
Algunas de las consideraciones contenidas incluyen la necesidad de realizar evaluaciones exhaustivas de los impactos comerciales, seguir protocolos de presentación de informes adecuados y acceder a fuentes de apoyo adecuadas. La JCNSS dijo anteriormente que el sector de seguros tenía un papel clave que desempeñar en términos de apoyo a las víctimas, e incluso podría actuar como coordinador de la respuesta a incidentes cibernéticos en algunos casos.
“Es realmente alentador ver que todos los rincones de la industria de seguros se unen para apoyar a las organizaciones de víctimas con orientación que les ayudará a comprender mejor sus opciones y reducir los daños y las interrupciones en sus negocios”, dijo la directora ejecutiva interina de NCSC, Felicity Oswald.
“El NCSC no fomenta, respalda ni aprueba el pago de rescates, y es un error peligroso pensar que hacerlo hará que el incidente desaparezca o liberará a las víctimas de futuros dolores de cabeza. De hecho, cada rescate que se paga indica a los delincuentes que estos ataques dan frutos y que vale la pena realizarlos.
“Esta iniciativa intersectorial es un excelente próximo paso para frustrar el modelo de negocios de rescate: estamos orgullosos de apoyar el trabajo que hará que las billeteras de los ciberdelincuentes estén más vacías y las organizaciones del Reino Unido sean más resilientes”, dijo.
“Nos complace trabajar con NCSC, BIBA y la IUA para fortalecer la resiliencia cibernética y apoyar a los clientes afectados por ataques de ransomware”, dijo el director de póliza de seguro general de ABI, Mervyn Skeet.
“Tras el lanzamiento de nuestra herramienta de seguridad cibernética para pymes el año pasado, esta guía colaborativa es otro paso positivo para combatir el delito cibernético en todo el Reino Unido, y esperamos seguir trabajando con el NCSC en este objetivo compartido”.
El subdirector de seguros generales de BIBA, Shaune Worrall, agregó: “BIBA estaba orgullosa de trabajar con ABI, IUA y NCSC en esta importante guía. Podría ayudar a las empresas a formular su respuesta a uno de los mayores riesgos para la capacidad comercial de su organización: un ataque de ransomware.
Helen Dalziel, directora de políticas públicas de la IUA, dijo: “El pago de rescates en respuesta a ataques cibernéticos está en una tendencia a la baja a nivel mundial. Las empresas se están dando cuenta de que existen opciones alternativas y esta guía ilustra aún más cómo las empresas pueden mejorar su resiliencia operativa para resistir las demandas criminales”.
Raghu Nandakumara, jefe de soluciones industriales de Illumio, aplaudió la nueva orientación y dijo que respaldaba plenamente los objetivos que la sustentan.
“Al mismo tiempo, también necesitamos ver más orientación para ayudar a las empresas a desarrollar resiliencia y contener los ataques. La mayoría de las veces, los planes de recuperación son inadecuados o no han sido probados adecuadamente, lo que los hace inviables cuando ocurre un incidente real”, afirmó Nandakumara.
“Como resultado, a las organizaciones no les queda más remedio que pagar el rescate para restaurar las operaciones y los niveles de productividad lo más rápido posible. El NCSC debería alentar a las empresas a adoptar una mentalidad de “asumir un ataque”. No se trata de admitir la derrota, sino de prepararse para responder eficazmente a un incidente cibernético y desarrollar la resiliencia”.
No pagues el rescate
Dado que el ransomware sigue siendo la mayor amenaza cibernética diaria a la que se enfrentan las organizaciones del Reino Unido (incluso teniendo en cuenta el impacto de las acciones exitosas contra bandas cibernéticas prominentes como LockBit), el NCSC continúa desalentando firmemente el pago de rescates.
Ceder a las demandas de los ciberdelincuentes no garantiza la rápida finalización de un incidente ni la eliminación de software malicioso de los sistemas comprometidos. Sin embargo, lo que sí hace es incentivar a los ciberdelincuentes para que continúen atacando a nuevas víctimas y expandan sus operaciones y, como se vio frecuentemente con LockBit, incluso cuando se les paga para eliminar datos robados, los atacantes generalmente los conservarán.
Teniendo esto en cuenta, muchos expertos en ciberseguridad se inclinan cada vez más hacia la idea de prohibir los pagos por completo. Escribiendo recientemente en Computer Weekly, Allan Liska de Recorded Future, dijo: “Nada más que hagamos –al menos que estemos dispuestos a hacer– está funcionando… ¿Es una buena idea? No. ¿Alguien estará satisfecho con la forma en que se implementa? No… Pero, en última instancia, puede que sea la opción menos mala disponible para nosotros”.