Ktoś musi rozmawiać z kryminalistami, którzy za zakładników wzięli dane przedsiębiorstwa.
Ubezpiecz się i zatrudnij fachowca
Wiele osób spoza branży IT zdaje się uważać, że komputery likwidują miejsca pracy, ale obecna plaga ransomware pokazuje właśnie, że powstają też nowe i całkiem interesujące rodzaje zajęć. Zastanówmy się na przykład jakiego rodzaju wykształcenie predestynuje Cię do rozmowy z ludźmi, którzy trzymają dane Twojej firmy dla okupu? Taką właśnie pracę wykonuje Nick Shah z STORM Guidance, który twierdzi, że działa głównie jako pośrednik między ofiarami a wyłudzaczami.
Zresztą samo zjawisko płacenia okupu jest obecnie bardzo niejednoznacznie oceniane. Na przykład rząd brytyjski doradza aby nigdy nie spełniać żądań osób posługujących się oprogramowaniem ransomware. Tymczasem National Cyber Security Centre wezwało brytyjskie firmy do rozważnego wyboru polisy ubezpieczenia cybernetycznego – nie zajmując przy tym stanowiska czy pochwala także takie ubezpieczenie, które obejmuje wypłaty ransomware.
Udawaj, że się na tym nie znasz
Nick Shah miał do czynienia z wieloma poważnymi przestępcami i ma instynktowną wręcz ostrożność właściwą 30-letniemu, policyjnemu weteranowi. W swojej poprzedniej pracy zajmował się bowiem ponad tysiącem spraw dotyczących porwań i wymuszeń, w tym w Afryce. Brał udział w śledztwach dotyczących przestępców i grup terrorystycznych, które miały zamiar wywołać strach a w wielu przypadkach śmierć - co jest jakby nieco bardziej zastraszające niż pasywno-agresywne e-maile, które dostajemy od działów kadr.
Pierwsza rada Shaha brzmi następująco:
Negocjator nigdy nie powinien ujawniać, że jest wyszkolonym negocjatorem. Idealnie byłoby, gdybyśmy podawali się za innego pracownika. Ważne jest, aby wskazać napastnikom, że ty (negocjator) nie jesteś specjalnym członkiem personelu, który może podejmować decyzje. To zmniejszy ich zdolność do wywierania na Ciebie presji, podczas gdy Ty podajesz się za pracownika szczebla administracyjnego i, ubolewając nad tym naturalnie, musisz zwracać się o podjęcie decyzji „wyżej”. Jeśli incydent wymaga dłuższych negocjacji, możemy w pewnym momencie - aby utrzymać zainteresowanie napastnika - zasugerować, że eskalowaliśmy problem do swoich szefów. W rzeczywistości może to być po prostu ten sam negocjator, używający innego nazwiska i stylu rozmowy.
Stres i odpowiedzialność
Ekspert twierdzi, ze gangi rozpadają się na tyle często, że on i jego zespół nie rozpoznają tych samych przestępców w kolejnych atakach, więc „relacje” z nimi muszą być budowane za każdym razem. Jest to częściowo konieczne ze względu na stres, w jakim znajdują się ofiary.
Widziałem wielu dyrektorów generalnych i członków zarządu, którzy źle znosili emocjonalną presję związaną z radzeniem sobie z incydentem ransomware. Oprócz pewnego poczucia winy za spowodowanie tej sytuacji lub przynajmniej niepowodzenie w powstrzymaniu przestępców przed dostaniem się do systemów, dręczą ich również zmartwienia o to, jaki wpływ może to mieć na firmę i jej pracowników.
Aby uzyskać pewne wyobrażenie o tym, jak bardzo jest to stresujące, STORM Guidance odkrył, że czasami potrzebny jest cały zespół doradców aby przeprowadzić pracowników przez kryzys. Nawet jeśli bowiem ponoszą oni częściową winę za zaistniałą sytuację to są również częścią odbudowywania tego wszystkiego z powrotem. Jak mówi Shah nie ma czasu ani korzyści ze wskazywania palcem winnego - to jest misja ratunkowa.
Żeby się tylko nie wygadać
Shah postrzega swoją rolę jako przewodnika, dzięki któremu firma może rozmawiać z napastnikami, ale już nie jako pośrednika, co oznacza, że najpierw musi ustalić, że zespół Storm nie będzie się angażował w ustalanie, kto zawinił. Ludzie ze Storm będą więc pracować z pracownikami firmy-ofiary aby posprzątać, podczas gdy Shah rozpoczyna proces negocjacji. Z jego doświadczenia wynika, że większość ludzi bardzo niechętnie rozmawia z poważnymi przestępcami. Ciekawe, dlaczego?
Często okazuje się, że umiejętności negocjacyjne gangu ransomware są dość słabe. Tak więc częścią roli negocjatora jest upewnienie się, że nie dowiedzą się oni niczego więcej podczas negocjacji, niż już wiedzą, zarówno o firmie, którą zaatakowali jak i o danych, które zaszyfrowali lub skradli.
