Att aldrig betala lösesumma är en grundregel som gällt i många år. Att betala uppmuntrar kriminella att fortsätta med sin utpressning.

Ändå ryktas att 40 procent av de som drabbas av gisslanprogram faktiskt betalar skriver kolumnisten Roger A Grimes i vår amerikanska systertidning CSO.

Men John Mullen på säkerhetsföretaget Mullen Coughlin tror att 40 procent är en alldeles för låg siffra.

– Det har aldrig varit 40 eller 50 procent. Jag vet inte var den siffran kommer ifrån. Det har alltid varit fler. De flesta företag betalar lösen när de står inför beslutet att betala eller stänga ner.

Orsaken är att de helt enkelt inte har något annat val enligt John Mullen.

– Antingen betala eller ligga nere i dagar, veckor eller ännu längre.

Dessutom har attackerna blivit allt skadligare över tid vilket gör att allt fler betalar enligt John Mullen.

– Idag kommer angriparna åt system, rekognoscerar och identifierar kritiska punkter för att maximera effekten av sina attacker.

Så vad ska du ha med dig om du skulle drabbas av en attack? Roger A Grimes har listat vad du ska fundera över innan du avgör om du ska betala eller inte.

1. Har ditt företag en policy för ransomwareattacker?

Hur ser i så fall policyn ut när det gäller att betala lösen? Om det finns en solid policy mot att göra det så voilà, där har du ditt svar. Samtidigt kanske du vet att ledningen knappast kommer att tolerera att betala 23 gånger mer pengar och resurser än om de betalade – policy eller inte – och kommer att kräva ett undantag. Ja, då är det en faktor att ta med i beräkningen. Det är en sak att säga att man inte ska betala och en annan att leva med att verksamheten ligger nere.

2. Hur stor skada handlar det om?

Är det ett par kritiska system som är nere eller har hela verksamhetens hjärta stoppats? Kan du förhindra att skadan blir värre? Kan du stoppa angriparna från att komma in igen?

Behöver du ändra alla lösenord och skanna nätverket efter skadlig programvara och skadliga nätverksanslutningar? Hur säker är du på att du vet hur stor skadan är och räckvidden?

3. Hur goda möjligheter har du att återställa allt?

Även om du har en riktigt bra backup så – handen på hjärtat – har du någonsin testat att göra en fullständig återställning av alla kritiska system? Hur kan du vara säker på att det inte finns bakdörrar i återställningen så att skurkarna kan smita in igen? Finns dina senaste backuper online så att de går att nå för kriminella?

Alla företag bör kryptera sin backup men det finns ransomware-brottslingar som ändrar den legitima krypteringsnyckeln som företaget använder för att kryptera deras data under säkerhetskopieringsprocessen.

Offren utför sina normala datorbackuprutiner och märker inte att krypteringsnycklarna har ändrats. All säkerhetskopiering av data i dagar till månader krypteras med fel krypteringsnyckel. Det gäller att ha koll på allt om du satsar på att ha en bra återställningsplan.

4. Har du en plan för kontinuitet?

Hanterar din affärskontinuitetsplan en ransomwareattavk om du inte betalar? Klarar den att det blir mer nertid och fler alternativa dataprocesser? Hur mycket nertid klarar din kontinuitetsplan? Om den beräknade nertiden ligger över vad planen kan hantera – betalar du lösen direkt i så fall?

5. Har du stöd från högsta ledningen?

Oavsett om du betalar eller inte – har du med dig ledningen och styrelsen? Många it-säkerhetschefer har fått gå i samband med att verksamheten drabbats av gisslanprogram. När ledningen får reda på att systemen kan ligga nere i veckor så kan förtroendet snabbt försvinna.

6. Har du den personal som krävs?

Oavsett om du betalar eller inte så kommer du behöva alla dina resurser för återställningen. Om du inte betalar behövs ännu mer. Visst finns företag som kan hjälpa till med personal och expertis – men har du råd och tid?

7. Lönar det sig att betala lösen?

När du betalar brukar angriparna ge dig de nycklar som krävs för att låsa upp systemen. Annars skulle aldrig någon betala.

Men det finns fall där det inte hjälpt att betala – där man visserligen fått dekrypteringsnyckeln men återställningen inte fungerat eller krävt så mycket mer att själva betalningen varit i stort sett meningslös.

Om du har möjlighet kan det vara bra att prata med en expert på ransomware för att få reda på hur återställningarna gått för andra som betalat till samma angripare.

8. Har du en försäkring som täcker betalning av lösen?

Om du har en it-säkerhetsförsäkring som täcker betalningen av lösesumma vem bestämmer då hur du ska göra? Det kan exempelvis finnas försäkringar som inte täcker sådant som orsakats av att någon lurat sig in i systemen via någon anställd. Eller så kanske de bara betalar en liten del av betalningen.

Gå inte ut med hur mycket du försäkringen täcker – det kan användas som den lägstanivå som angriparna sätter för lösesumman. Så se till att din försäkringspolicy inte ligger på nätet.

Om man ska betala den lösesumma som krävs är i grunden ofta ett affärsbeslut men många företag är inte alls förberedda. Och att betala känns då oftast som den enklaste och snabbaste vägen – men se till att välja den väg som är bäst för just din verksamhet.

Läs också:
Nya hotet mot din dator – så skyddar du dig mot ransomware
Så mycket kostar ett dataintrång – men det går att minimera skadan