ฟอร์ติเน็ตแนะวิธีที่หน่วยงานด้านสาธารณสุขสามารถป้องกันตนเองให้พ้นภัยเรียกค่าไถ่ Ransomware

วันที่ 16 ก.ย. 2563 เวลา 17:07 น.
ฟอร์ติเน็ตแนะวิธีที่หน่วยงานด้านสาธารณสุขสามารถป้องกันตนเองให้พ้นภัยเรียกค่าไถ่ Ransomware
ฟอร์ติเน็ตแนะวิธีที่หน่วยงานด้านสาธารณสุขสามารถป้องกันตนเองให้พ้นภัยเรียกค่าไถ่ Ransomware เลี่ยงสถานการณ์ร้ายที่ไม่สามารถเข้าถึงข้อมูลหรือประวัติผู้ป่วยสูญหาย ที่ส่งให้ชีวิตตกอยู่ในความเสี่ยง

Fortinet® (NASDAQ: FTNT) ฟอร์ติเน็ตผู้นำระดับโลกด้านโซลูชั่นการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจรออกโรงประกาศแนะนำวิธีการที่หน่วยงานที่ให้บริการด้านสาธารณสุขและโรงพยาบาลสามารถป้องกันตนเองให้พ้นภัยเรียกค่าไถ่แรนซัมแวร์ (Ransomware) ที่แพร่ระบาดได้ โดยสำรองระบบและข้อมูลที่สำคัญ ตรวจสอบและป้องกันภัยโดยใช้อุปกรณ์ด้านความปลอดภัยเครือข่ายอันครบวงจรที่อยู่บนแพลทฟอร์มซีเคียวริตี้แฟบริค (Security Fabric) ของฟอร์ติเน็ต

ในปัจจุบัน ข้อมูลถือเป็นหัวใจสำคัญขององค์กรธุรกิจไม่ว่าจะเป็นขนาดเล็ก ขนาดกลางไปจนถึงองค์กรขนาดใหญ่ พบว่า 90% ของข้อมูลทั่วโลกถูกสร้างขึ้นมาอย่างมากมายในช่วงสองปีที่ผ่านมา และมีการละเมิดข้อมูลเพิ่มขึ้นถึง 54% เช่นกัน อาชญากรไซเบอร์เองเห็นมูลค่าของข้อมูลจึงหันมาใช้ไวรัสเรียกค่าไถ่ที่เรียกว่าแรนซัมแวร์ (Ransomware) เป็นช่องทางในการสร้างรายได้มากขึ้นเช่นกัน ผู้ไม่หวังดีเข้าแทรกซึมเข้าสู่ระบบไอทีและเข้าถึงข้อมูลผ่านการแฮ็กการเข้ารหัส การล็อกและการกรองไฟล์ต่างๆ  องค์กรที่ถูกแฮ็กจะถูกบังคับให้จ่ายเงินเพื่อแลกกับการที่สามารถเข้าถึงข้อมูลที่มีความสำคัญต่อธุรกิจของตนอีกครั้ง 

ภัยแรนซัมแวร์ขยายตัวเพิ่มขึ้น

พบว่ามีการโจมตีด้วยภัยแรนซัมแวร์เพิ่มมากขึ้นกว่า 2 เท่าในปีที่แล้ว โดยแฮ็กเกอร์ได้ปรับเปลี่ยนวิธีการโจมตีเพื่อมุ่งการจ่ายเงินที่มีจำนวนสูงมากขึ้น  ในขณะที่มีเพียง 1 ใน 3 องค์กรจากทั่วโลกเท่านั้นที่มั่นใจว่าตนเองสามารถติดตามและแก้ไขการโจมตีเหล่านั้นได้  ทั้งนี้ คาดว่าจะมีผลกระทบทั่วโลกที่เกิดจากภัยแรนซัมแวร์สูงถึง 20 พันล้านเหรียญสหรัฐภายในปีค.ศ. 2021  โดยทั่วไปแล้ว แรนซัมแวร์เรียกร้องค่าไถ่ที่มูลค่ารวมกันถึง 6 หลักด้วยกัน และเนื่องจากการชำระเงินค่าไถ่มักจะทำโดยใช้ตระกูลเงินบิตคอยน์ จึงทำให้อาชญากรไซเบอร์สามารถฟอกเงินได้โดยไม่ร่องรอยให้ติดตาม

ความเสียหายทางอ้อมคือการที่ธุรกิจถูกทำให้หยุดชะงักลง ซึ่งพบว่า 42% ขององค์กรในภาคธุรกิจเอกชน ได้รับผลกระทบจากไวรัสเรียกค่าไถ่แรนซัมแวร์ในช่วง 12 เดือนที่ผ่านมา โดยในจำนวนนั้นมีองค์กร 73% ประสบปัญหาระบบหยุดทำงานสองวันหรือมากกว่านั้น

ผลกระทบทางธุรกิจที่เกิดจากแรนซัมแวร์

ในปัจจุบัน ความเสียหายที่เกิดจากการที่ระบบหยุดทำงานและการไม่สามารถเข้าถึงข้อมูลเนื่องจากการโจมตีของแรนซัมแวร์มีมูลค่าสูงถึงหลายพันล้านเหรียญสหรัฐ ซึ่งอาจเพิ่มขึ้นเป็นหลายหมื่นล้านเหรียญได้เนื่องจากแฮ็กเกอร์ส่งไวรัสแรนซัมแวร์ผ่านอุปกรณ์ไอโอที Internet-of-Things (IoT) ที่มีจำนวนมากขึ้น

• ใช้การข่มขู่ Doxxing

แทนที่ขู่ว่าจะลบข้อมูลที่ถูกล็อกนั้น อาชญากรไซเบอร์บางรายเริ่มขู่ว่าจะปล่อยข้อมูลขององค์กรที่เป็นข้อมูลส่วนตัวและข้อมูลลูกค้าที่ละเอียดอ่อนมากๆ เช่น องค์กรให้บริการทางการเงิน โรงพยาบาล สำนักงานกฎหมายและอื่นๆ หรือที่เรียกว่า “ด็อกซิ่ง” (Doxxing) ซึ่งอาจส่งผลกระทบต่อชื่อเสียงขององค์กร เช่น หน่วยงาน Health Insurance Portability and Accountability Act (HIPAA) ได้ออกการแจ้งเตือนให้กับลูกค้าและมีกิจกรรมที่มีความเสียหายนับล้านเหรียญดอลลาร์

• การเก็บบิตคอยน์เรียก "ค่าไถ่"

ผลกระทบของแรนซัมแวร์มีมากกว่าองค์กรที่ถูกแฮ็ก เช่น หากธุรกิจธนาคารถูกเรียกค่าไถ่ จะส่งผลให้ธุรกิจประสบปัญหาข้อมูลสูญหายหรือไม่สามารถเข้าถึงข้อมูล แม้จะช้าเพียงหลักวินาทีหรือนาที ธุรกิจต่างๆ จึงไม่สามารถรอให้อาชญากรไซเบอร์เข้าถึงข้อมูลที่ถูกแฮ็กได้นานหลายวัน จึงเกิดการเริ่มสะสมบิตคอยน์ไว้บ้าง

• เหตุการณ์โจมตีที่เกิดขึ้นจริง

ในช่วงปี 2019 ที่ผ่านมา อุตสาหกรรมในทุกภาคและองค์กรในทุกขนาดได้รับผลกระทบจากแรนซัมแวร์ พบการโจมตีที่หน่วยงานของรัฐ 113 แห่งรวมถึงสำนักงานเทศบาลและองค์กรรัฐวิสาหกิจ ผู้ให้บริการด้านสาธารณสุข 764 แห่ง และมหาวิทยาลัย วิทยาลัยและสถาบันการศึกษาในเขต 89 แห่ง โรงเรียนอีก 1,233 แห่ง

• หน่วยงานด้านสาธารณสุข

หน่วยงานด้านสาธารณสุขอันรวมถึงโรงพยาบาลในทุกขนาดเป็นเหยื่อที่แรนซัมแวร์มุ่งเป้าหมายมา เนื่องจากเป็นหน่วยงานมีระบบไอทีและข้อมูลในการดูแลสุขภาพจำนวนมากของผู้ป่วย หากถ้าระบบหยุดทำงานหรือบุคลากรไม่สามารถเข้าถึงข้อมูลได้อาจทำให้ชีวิตตกอยู่ในความเสี่ยง อาชญากรอาจใช้วิธี Doxxing ในการเรียกค่าไถ่คือขู่ว่าจะปล่อยข้อมูลสำคัญออกมาแทนที่จะลบข้อมูลส่วนตัวเหล่านั้น และหากผู่ไม่หวังดีเข้าควบคุมอุปกรณ์ไอโอทีที่ใช้ในการดูแลผู้ป่วย อาจส่งผลกระทบและกลายเป็นอันตรายถึงชีวิตได้เช่นกัน

ในไตรมาสที่ 4 ของปี 2019 พบการโจมตีของแรนซัมแวร์เพิ่มขึ้น 350% โดยพบการโจมตีทีอุปกรณ์ไอทีที่ส่งผลให้บริการในสถานให้บริการทันตกรรมและการพยาบาลหลายร้อยแห่งหยุดชะงักลง ในขณะที่มีรายงานจากโรงพยาบาล ระบบสุขภาพและหน่วยงานอื่นๆ หลายแห่งว่าธุรกิจหยุดชะงักลง

นอกจากนี้ ในช่วงไม่กี่ปีที่ผ่านมา ยังมีตัวอย่างการคุกคามมากมาย รวมถึงวิธีที่แฮ็กเกอร์แอบเข้าถึงฐานข้อมูลของ MongoDB อันเป็นแหล่งบันทึกข้อมูลด้านสุขภาพของผู้ป่วย 200,000 รายที่เข้ารับการรักษาที่ศูนย์สุขภาพใหญ่แห่งหนึ่ง ซึ่งแฮกเกอร์ได้ลบข้อมูลไปจนหมดและเรียกค่าไถ่เป็นเงิน 180,000 เหรียญสหรัฐในบิตคอยน์

นอกจากนี้ ศูนย์การแพทย์ใหญ่อีกแห่งในฮอลลีวูด รัฐแคลิฟอร์เนียได้ประกาศภาวะฉุกเฉิน หลังจากที่ระบบติดไวรัสแรนซัมแวร์ตระกูล Locky โดยที่แพทย์และผู้ดูแลคนอื่นๆ ถูกล็อกบัญชี ไม่สามารถบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ได้ เจ้าหน้าที่ได้ใช้ปากกาและกระดาษในการบันทึกข้อมูลผู้ป่วยและใช้วิธีแฟกซ์แทนอีเมลในการสื่อสารกัน แฮกเกอร์เรียกร้องเงิน 40 บิตคอยน์ (หรือประมาณ 17,000 เหรียญสหรัฐ) เพื่อแลกกับกุญแจในการถอดรหัสไฟล์ที่ถูกล็อกซึ่งทางโรงพยาบาลยอมจ่ายให้ แต่ทั้งนี้ อาชญากรไซเบอร์ไม่ได้ให้สิทธิ์เหยื่อเข้าถึงข้อมูลของพวกเขาเสมอไป ซึ่งพบในกรณีของโรงพยาบาลในแคนซัส ที่โรงพยาบาลได้ยอมจ่ายเงินค่าไถ่เบื้องต้น แต่แฮ็คทิวิสต์ไม่ได้ปลดล็อกไฟล์ทั้งหมดและเรียกร้องเงินเพิ่มขึ้น แต่ทางโรงพยาบาลเลือกที่จะปฏิเสธการเรียกค่าไถ่เพิ่มเติม

แรนซัมแวร์เกิดขึ้นได้อย่างไร

แรนซัมแวร์สามารถแฝงวิธีการดิจิทัลใดๆ ก็ได้ ตั้งแต่อีเมล ไฟล์แนบบนเว็บไซต์ แอปพลิเคชันทางธุรกิจ โซเชียลมีเดียและยูเอสบีไดร้ฟ รวมถึงกลไกการจัดส่งแบบดิจิทัลอื่นๆ โดยอีเมลเป็นช่องทางการแฝงเข้ามาเป็นอันดับหนึ่ง

  • แนบลิงก์มาในอีเมล 31%
  • ไฟล์แนบในอีเมล 28%
  • ไฟล์แนบบนเว็บไซต์ 24%
  • ไม่ทราบแหล่งที่มา 9%
  • โซเชียลมีเดีย 4%
  • แอปพลิเคชั่นทางธุรกิจ 1%

ในกรณีที่แฝงมากับอีเมลนั้น อีเมลล่อลวงที่เรียกว่า “ฟิชชิ่ง” นั้นจะถูกส่งมาในรูปแบบการแจ้งเตือนหรือคำขอปลอมขอให้เหยื่ออัปเดตซอฟต์แวร์ เมื่อเหยื่อหลงกลเผลอคลิกที่ลิงค์หรือไฟล์แนบ จะดาวน์โหลดส่วนประกอบที่เป็นอันตรายเพิ่มเติมเข้ามาในระบบ โดยภัยคุกคามจะเข้ารหัสไฟล์ด้วยการเข้ารหัสคีย์ส่วนตัว RSA 2048 บิตทำให้แทบจะเป็นไปไม่ได้เลยที่ผู้ใช้จะถอดรหัสไฟล์ได้ ในกรณีอื่นๆ แรนซัมแวร์ถูกฝังเป็นไฟล์บนเว็บไซต์ซึ่งเมื่อดาวน์โหลดและติดตั้งจะเปิดใช้งานการโจมตีทันที

ประเภทต่างๆ ของแรนซัมแวร์

แรนซัมแวร์แบบดั้งเดิมจะติดตามข้อมูลของเหยื่อและเข้าล็อกไฟล์จนกว่าเหยื่อจะจ่ายค่าไถ่ แต่ด้วยการเติบโตอย่างรวดเร็วของอุปกรณ์ไอโอที ทำให้เกิดแรนซั่มแวร์สายพันธุ์ใหม่ๆ  ภัยจะพัฒนาให้สามารถมุ่งเป้าไปที่ระบบควบคุม (เช่น ยานพาหนะ สายการผลิต ระบบไฟฟ้าสาธารณูปโภค) และทำการปิดระบบจนกว่าจะได้เงินค่าไถ่

แรนซัมแวร์ที่แพร่หลายมากที่สุดที่มีอยู่ในปัจจุบัน ได้แก่:

• Off-the-Shelf Ransomware: คือแรนซัมแวร์บางตัวที่มีลักษณะเป็นซอฟต์แวร์ที่อาชญากรไซเบอร์สามารถซื้อได้จากตลาดดาร์กเน็ตและติดตั้งบนเซิร์ฟเวอร์ที่ชั่วร้ายของตนเองได้ หลังจากนั้น จะทำการแฮ็กและเข้ารหัสข้อมูลและระบบโดยตรงจากซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์ของอาชญากรไซเบอร์ เช่น Stampado และ Cerber

• Ransomware-as-a-Service (RaaS): การให้บริการการโจมตีแบบแรนซัมแวร์ RaaS ที่เป็นที่รู้จักมากที่สุด คือ CryptoLocker  หลังจากเซิร์ฟเวอร์ของ CryptoLocker ถูกทำให้ดาวน์ไป (taken down) จะพบ RaaS ประเภท CTBLocker บ่อยที่สุดแทน ทั้งนี้ อีกสายพันธุ์ที่เติบโตอย่างรวดเร็วคือ Tox ซึ่งเป็นชุดที่อาชญากรไซเบอร์สามารถใช้ดาวน์โหลดได้ไปติดตั้งหรือแจกจ่ายได้ โดยจะแบ่ง 20% ของค่าไถ่ทั้งหมดให้ Tox เป็นในรูปแบบบิตคอยน์

• แรนซัมแวร์แบบใช้เครือข่าย: เป็นลักษณะที่ผู้ให้บริการ RaaS จะใช้แฮกเกอร์ในเครือข่ายที่มีประวัติในการแพร่กระจายมัลแวร์ของตนออกไป

• แรนซัมแวร์ที่โจมตีที่อุปกรณ์ไอโอที: แรนซัมแวร์ประเภทนี้จะแทรกภัยคุกคามไปยังอุปกรณ์ไอโอทีที่ควบคุมระบบที่สำคัญต่อธุรกิจ และจะเข้าปิดระบบเหล่านั้นจนกว่าจะมีการจ่ายค่าไถ่เพื่อปลดล็อก

ฟอร์ติการ์ตแล็ปส์อันเป็นศูนย์วิเคราะห์ภัยของฟอร์ติเน็ตพบตระกูลและสายพันธ์ของแรนซัมแวร์เกิดขึ้นในปีค.ศ. 2016 มากขึ้นถึงสิบเท่า  ซึ่งมีวิวัฒนาการเป็นรูปแบบใหม่ๆ มากมายทุกวันตลอดปีอย่างต่อเนื่อง ทำให้โซลูชันป้องกันไวรัสที่ใช้ซิคเนเจอร์แบบดั้งเดิมไม่เพียงพอ  เมื่อไวรัสใดถูกพบระบุสายพันธุ์แล้ว อาชญากรไซเบอร์จะพัฒนาไปอยู่ในรูปแบบใหม่ เช่น ตระกูล Ryuk และ Sodinokibi ransomware จึงทำให้มูลค่าค่าไถ่ที่ผู้โจมตีต้องการเพิ่มขึ้นในไตรมาสที่ 1 ของปี 2020 ขึ้นอย่างมากมาย

กระบวนการป้องกันแบบต้นทางจนปลายทางจากฟอร์ติเน็ต

• อุปกรณ์ FortiMail ช่วยป้องกันฟิชชิ่ง

ฟอร์ติเมล (FortiMail) มีคุณสมบัติป้องกันการสแปมเมลและแอนตี้มัลแวร์ที่มีประสิทธิภาพ ซึ่งเสริมด้วยเทคนิคการป้องกันขั้นสูง เช่น การป้องกันการแพร่ระบาด (Outbreak protection) การปลดภัยออกจากคอนเท้นต์และการสร้างคอนเท้นต์ที่ปลอดภัยใหม่ (Content disarm and reconstruction) การวิเคราะห์แซนด์บ็อกซ์ (Sandbox analysis)  และการตรวจจับการแอบอ้างบุคคลอื่น (Impersonation detection)

• บริการ FortiGuard Web Filtering หยุดไม่ให้ผู้ใช้คลิกที่ URL ที่เป็นอันตราย

บริการ FortiGuard Web Filtering Service ช่วยเพิ่มศักยภาพความสามารถในการกรองเว็บหลักของไฟร์วอลล์ FortiGate NGFW โดยการจัดเรียงหน้าเว็บหลายพันล้านหน้าออกเป็นหมวดหมู่ต่างๆ ที่ผู้ใช้สามารถอนุญาตหรือบล็อกได้ จึงทำให้เป็นการใช้งานที่ปลอดภัย

• FortiEDR ช่วยตรวจจับและตอบสนองต่อมัลแวร์ก่อนที่จะเกิดการคุกคาม

โซลูชันการรักษาความปลอดภัยปลายทางแบบเรียลไทม์ของ FortiEDR จะช่วยลดความเสี่ยงจากการโจมตีในแบบเชิงรุกและปกป้องอุปกรณ์ปลายทางโดยใช้เทคโนโลยีการตรวจจับมัลแวร์และการตรวจจับตามพฤติกรรม ทั้งนี้ เพลย์บุ๊ก (Playbooks) จะตอบสนอง โต้ตอบ และแก้ไขตามขั้นตอนที่วางไว้โดยอัตโนมัติ

• FortiSandbox ระบุภัยคุกคามที่ยังไม่รู้จักและป้องกันการโจมตีขั้นสูง

คุณสมบัติการวิเคราะห์ของ FortiSandbox จะใช้ประโยชน์จากการรันเพื่อทดสอบไฟล์ และโมเดลแมชชีนเลิร์นนิงมาปรับปรุงการวิเคราะห์ภัยคุกคามทั้งที่เป็นแบบสเตติคและไดนามิก สามารถทำงานร่วมกับทั้งผลิตภัณฑ์ของฟอร์ติเน็ตและที่ไม่ใช่ผลิตภัณฑ์ของฟอร์ติเน็ต เพื่อให้สามารถตอบสนองต่อภัยคุกคามที่มีรูปแบบซับซ้อน เช่น แรนซัมแวร์ และไวรัสใหม่ได้อย่างรวดเร็ว

• FortiToken ช่วยป้องกันการโจรกรรมข้อมูล

ด้วยวิธีการพิสูจน์ตัวตนแบบสองปัจจัย (Two-factor authentication) รหัสผ่านจะถูกใช้ร่วมกับโทเค็นที่ปลอดภัยเพื่อให้มีความปลอดภัยที่ดียิ่งขึ้น ทั้งนี้ พนักงานที่ได้รับอนุญาต จะสามารถใช้และเข้าถึงทรัพยากรของบริษัทได้อย่างปลอดภัย

• FortiGate Intent-Based Segmentation หยุดการเคลื่อนไหวและคุกคามภายในเครือข่าย

โดยการแบ่งกลุ่มเครือข่ายตามวัตถุประสงค์ สามารถให้การป้องกันแบบ End-to-end ทั่วทั้งเครือข่าย สามารถแบ่งกลุ่มสินทรัพย์ในเครือข่ายและโครงสร้างพื้นฐานด้วยการกำหนดเองโดยผู้ดูแลระบบและด้วยการตอบสนองแบบอัตโนมัติ ไม่ว่าจะเป็นแบบใช้งานในองค์กรหรือบนระบบมัลติคลาวด์หลายประเภท  ทั้งนี้ ความสามารถในการวิเคราะห์และการทำงานที่เป็นแบบอัตโนมัติจะช่วยให้สามารถตรวจจับภัยคุกคามได้อย่างรวดเร็วและมีมาตรฐานสูง

ประเด็นสำคัญ:

ชาญวิทย์ อิทธิวัฒนะ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ตได้ให้คำแนะนำว่า “แรนซัมแวรมีวิวัฒนาการและกลายพันธุ์เป็นภัยคุกคามที่มีจำนวนเพิ่มขึ้นเรื่อยๆ เป็นอันตรายต่อองค์กรแทบทุกขนาด องค์กรต่างๆ จะต้องปฏิบัติตาม ดังนี้

1. หยุดการคุกคามที่รู้จักแล้ว: ใช้โซลูชันการรักษาความปลอดภัยไซเบอร์ที่สามารถหยุดการคุกคามของแรนซัมแวร์ที่รู้จักกันแล้วทั้งหมด ซึ่งต้องการการรักษาความปลอดภัยแบบมัลติเลเยอร์ที่มีข่าวกรองภัยคุกคามระดับโลก เพื่อให้การป้องกันที่เครือข่าย อุปกรณ์ปลายทาง แอปพลิเคชัน และศูนย์ดาต้าเซ็นเตอร์

2. ตรวจจับภัยคุกคามใหม่:  เนื่องจากแรนซัมแวร์มีการพัฒนาเปลี่ยนแปลงอย่างต่อเนื่องและผู้ไม่หวังดีเผยแพร่แรนซัมแวร์ใหม่อยู่ตลอดเวลา จึงจำเป็ยอย่างมากที่จะต้องสร้างแซนด์บ็อกซ์ที่เหมาะสมและเทคนิคการตรวจจับขั้นสูงอื่นๆ เพื่อระบุหาแรนซัมแวร์ในสายพันธุ์เดียวกัน

3. แบ่งปันสิ่งที่มองไม่เห็นให้มากขึ้น:  แบ่งปันข้อมูลอัจฉริยะแบบเรียลไทม์ไปให้ทั่วระหว่างชั้นการรักษาความปลอดภัยที่แตกต่างกัน (และหมายรวมถึงในทุกผลิตภัณฑ์ของผู้จำหน่ายทุกค่าย) และยังขยายไปยังกลุ่มที่ทำหน้าที่รักษาความปลอดภัยทางไซเบอร์ที่กว้างขึ้นภายนอกองค์กรของท่าน เช่น Computer Emergency Response Teams (CERTs), Information Sharing and Analysis Centers (ISACs) และกลุ่มพันธมิตรในอุตสาหกรรม เช่น Cyber ??Threat Alliance ซึ่งการแบ่งปันอย่างรวดเร็วนี้เป็นวิธีที่ดีที่สุดในการตอบสนองต่อการโจมตีที่รวดเร็วและสามารถทำลายเครือข่ายการคุกคามก่อนที่มันจะกลายพันธุ์หรือแพร่กระจายไปยังระบบหรือองค์กรอื่นๆ

4. เตรียมพร้อมสำหรับสิ่งที่ไม่คาดคิด:  การแบ่งส่วนการรักษาความปลอดภัยเครือข่าย (Segmentation of network security) ช่วยป้องกันพฤติกรรมที่เหมือนแรนซัมแวร์ เช่น SamSam และ ZCryptor ทั้งนี้ การสำรองและกู้คืนข้อมูลมีความสำคัญเช่นกัน  องค์กรที่มีการสำรองข้อมูลล่าสุดสามารถปฏิเสธการเรียกค่าไถ่และกู้คืนระบบได้อย่างรวดเร็วและง่ายดาย

5. สำรองระบบและข้อมูลที่สำคัญ:  แม้ว่าอาจเป็นกระบวนการที่ใช้เวลานานในการกู้คืนระบบที่เข้ารหัสรวมถึงการหยุดชะงักของการดำเนินธุรกิจและการเพิ่มผลผลิต แต่การกู้คืนข้อมูลสำรองเป็นทางเลือกที่ดีกว่าการถูกจับเป็นตัวประกัน โดยไม่มีการรับประกันว่าถึงแม้ว่าท่านจ่ายค่าไถ่แล้ว จะมีการปลดล็อกข้อมูลและระบบอย่างแน่นอน ในกรณีนี้ ท่านต้องใช้เทคโนโลยี กระบวนการ และพันธมิตรทางธุรกิจที่เหมาะสม เพื่อให้แน่ใจว่าการสำรองข้อมูลของท่านเป็นไปตามข้อกำหนดทางธุรกิจและการกู้คืนจะทำได้อย่างรวดเร็ว”