Dilema po hacku Canvas: Proč firmy platí miliony za vrácení dat studentů, ačkoliv vlády varují
InovacePo týdnu výpadků, krádeži dat stovek milionů studentů a zpoždění termínů odevzdání úkolů oznámila americká technologická firma Instructure, provozující vzdělávací platformu Canvas, že „dosáhla dohody s neoprávněným aktérem“ stojícím za ransomware útokem.
Po týdnu výpadků, krádeži dat stovek milionů studentů a zpoždění termínů odevzdání úkolů oznámila americká technologická firma Instructure, provozující vzdělávací platformu Canvas, že „dosáhla dohody s neoprávněným aktérem“ stojícím za ransomware útokem. Experti toto pečlivě formulované prohlášení interpretují jako signál, že bylo zaplaceno výkupné, ačkoliv společnost to nepotvrdila.
Otázka, zda by firmy měly platit výkupné hackerům – v některých případech miliony dolarů – je dilematem, kterému ročně čelí tisíce společností. Ačkoliv vlády po celém světě platby nedoporučují, mnoho firem se nakonec rozhodne zaplatit, často ve snaze ochránit soukromí uživatelů a zabránit dalšímu šíření citlivých informací. Útočná skupina ShinyHunters se přihlásila k odpovědnosti za útok na Instructure a hrozila únikem údajných 3,6 TB dat, zahrnujících identifikační čísla studentů, e-mailové adresy, jména a zprávy z 9 000 škol a 275 milionů studentů a zaměstnanců po celém světě, pokud společnost nezaplatí.
Instructure později potvrdila, že hackeři zneužili zranitelnost v jejím softwaru „Free for Teacher“, což jim umožnilo pozměnit přihlašovací stránky a upozornit uživatele na narušení. Společnost uvedla, že data jí byla „vrácena“ v rámci dohody s hackery a že jí bylo předloženo „digitální potvrzení o zničení dat“ prostřednictvím tzv. shred logů, technické zprávy generované programem, který zpracovává data k nezvratnému zničení. Darren Hopkins, vedoucí kybernetického oddělení forenzní účetní firmy McGrathNicol, označil prohlášení Canvasu za „dobře formulované, které nic nutně nepřiznává, ale zároveň demonstruje existenci dohody“.
Odborníci odhadují, že na základě hlášených požadavků na výkupné ve výši 10 milionů USD je možné, že Instructure – nebo její pojišťovna – zaplatila částku blížící se této sumě, i když mohla být vyjednána nižší. Většina vlád, včetně těch ve Spojeném království, USA a Austrálii, platby výkupného nedoporučuje, ale přímé zákazy jsou vzácné. Důvodem je obava, že platby mohou financovat další kriminální aktivity a neexistuje záruka, že zaplacení výkupného zabrání úniku dat nebo ukončí hrozby. Nicméně, jak poznamenává expert Luke Irwin, je v zájmu hackerských skupin, jako je ShinyHunters, jednat v dobré víře, aby povzbudily budoucí oběti k platbě.
Průzkumy ukazují, že firmy se stále častěji rozhodují platit. V Austrálii zaplatilo výkupné 75 podniků s obratem alespoň 3 miliony dolarů ročně k lednu 2026. Průměrná zaplacená částka v Austrálii činila 711 000 dolarů. Firmy se však zlepšují v přípravě na kybernetické útoky, což znamená, že jsou méně nuceny platit za odemčení systémů. Místo toho se stále více zaměřují na snahu zastavit další škody platbou za zničení ukradených dat. Otázka, kterou Hopkins často slyší v zasedacích místnostech, je, zda platba skutečně zastaví zveřejnění dat. „Obchodní model hackerů vyžaduje, aby ukázali, že jsou čestní, protože jinak by jim nikdo nikdy nezaplatil. Je to velký faktor důvěry,“ vysvětluje Hopkins, ačkoliv dodává, že „nelze se spoléhat na to, že nebudou tím, čím jsou, tedy zločinci.“