Čo robiť, keď sa stanete obeťou kybernetického útoku

Tento článok sme vytvorili na podnet zákazníkov. Viacerí sa nás opýtali, že ak by sa stali obeťou kybernetického útoku, ako by teda mali postupovať. Dobre uvažujú, pretože na takéto niečo treba myslieť predom. Boris Mittelmann zo spoločnosti Veeam Software nedávno poznamenal, že otázka už nestojí "či sa staneme obeťou ransomvéru", ale "kedy sa nám to stane". 

Nepovažujeme sa za expertov v kybernetickej bezpečnosti, ale pár rád, na ktoré (by) ste pravdepodobne aj sami prišli, v tomto článku radi poskytneme.

Po nepríjemnom zistení, že podnikové dáta sú zašifrované, v spoločnosti v prvom okamihu vzniká panika a potom sa vynára množstvo otázok. Odpovede na nej musia byť pripravené v predstihu! 

Napríklad je tu dilema, či najprv poškodené dáta skúsiť odkódovať pomocou už zverejnených decryptorov (napr. na str. No More Ransom, podporovanej Europolom), alebo rovno prejsť na obnovu dát zo záloh. V druhom prípade je nutné predom myslieť na diskovú kapacitu, potrebnú na obnovu kritických údajov a aplikácii. 

Bezprostredne po zistení o úspešnom útoku sa neodporúča vypínať zariadenia, čím sa môže stratiť veľa stôp, eventuálne nápomocných pri následnom vyšetrovaní útoku. Pred vypnutím je preto potrebné urobiť si snapshoty virtuálnych prístrojov, pokiaľ je to vôbec možné. 

Pri rozhodnutí útok predsa okamžite zastaviť, postupujeme odpojením všetkých systémov zo siete. Treba povedať, že odpojením od internetu útočník síce stratí online prístup k svojej obete, ale to neznamená, že útok nebude pokračovať (automatizovanými príkazmi) v offline režime. 

Základným predpokladom úspešnej obnovy produkcie po zašifrovaní údajov škodlivým kódom je existencia aspoň jednej zálohy, ktorá:

• je umiestnená mimo produkčnú sieť 
• je chránená proti modifikácii a výmazu
• nemá zazálohované už poškodené dáta

Po incidente obvykle nebýva dostatok priestoru na experimentovanie a improvizáciu. Preto je potrebné mať DR plán pripravený a podľa možnosti, pravidelne aktualizovaný. V aspoň minimálnom rozsahu by v ňom mali byť zohľadnené odpovede na tento set otázok:

• Kto je oprávnený rozhodovať o postupe zotavenia z incidentu?

Aké sú moje povinnosti?
Aké sú moje práva a zodpovednosti?

• Ktoré sú kritické dáta spoločnosti?

Kde ich sprevádzkujeme po obnovení (kapacita, bezpečné prostredie)? 
Vedia kompetentní ako dlho bude trvať ich obnova?
V akom poradí potrebujeme sprevádzkovať aplikácie?

• Vedia zamestnanci pracovať v offline režime?

Sú stotožnení s touto možnosťou?
Vedia, že môžu natrvalo prísť o niektoré (poškodené) dáta?

• Zvládnete obnovu produkcie bez externej pomoci?

Na koho sa môžem obrátiť?
S akou reakciou môžem rátať?
Ako sa presvedčím, že moje zálohy nie sú tiež poškodené?

• Ako incident bude komunikovaný navonok?

Komu a do kedy incident musím hlásiť (inštitúcie, partneri)?
Môžem poškodené dáta odstrániť alebo ich musím uchovať pre ďalšie dokazovanie?

V CDP (žiaľ) máme niekoľko skúseností s útokmi ransomvérom na našich zákazníkov. Musíme skonštatovať, že zakaždým sa jednalo o situáciu, ktorá nebola ideálne zvládnutá. Väčšinou chýbal dobrý DR plán.

Zaujal vás tento článok?! Napíšte nám čo si o ňom myslíte  >>>
Ak chcete dostávať mesačný súhrn informácií s fókusom na firemné IT, prihláste sa k odberu CDP newslettra.