Přežili jste kybernetický útok? Skvěle, ale vyhráno stále nemáte…
Existují organizace odsouzené k tomu, aby si peklo spojené s úspěšným kybernetickým útokem prožily hned několikrát. Nad tím, proč se to děje, kterých organizací se to týká a jak z toho ven, se zamýšlí následující text.
Typická oběť
Představme si menší až středně velkou společnost, jejíž business continuity politika v oblasti IT se spoléhá na obvyklé prvky ochrany a nástroje pro zálohování a obnovu. Tato organizace nevyužívá žádné nástroje typu disaster recovery (DR) pro okamžité převzetí služeb. Organizace má vlastní IT v rozsahu jedné až dvou osob a nevyužívá řízených IT služeb třetích stran. Spolupráce s IT firmami se omezuje na dodávky softwaru a hardwaru. Prakticky v žádné oblasti s výjimkou výměny hardwaru se neuplatňuje SLA.
V čem je zakopaný pes
Jedním z nejdůležitějších úkolů IT je udržet kritické systémy organizace v chodu, respektive minimalizovat případné výpadky kritických systémů na minimum. Každá minuta výpadku generuje organizaci značnou finanční ztrátu. Je proto logické, že vedení organizace vyvíjí patřičný tlak na snížení doby výpadku jak v teoretické rovině, při přípravě disaster recovery plánu, tak v praxi v okamžiku, kdy k výpadku opravdu dojde.
IT je bombardováno požadavky na okamžitou nápravu. A protože neexistuje plán B v podobě převzetí služeb odjinud, nezbývá než přistoupit k obnově – pokud jsou zálohy k dispozici (ale o tom třeba zase jindy). Jenže rychlé obnovování ze záloh, bez důkladné analýzy, má za následek to, že organizace přijde minimálně o část potřebných stop. A tak se pak snadno může stát, že pokud k výpadku došlo v důsledku útoku, organizace se nedopátrá toho, jak byl útok veden a jaká místa byla pro útok zneužita.
Z praxe víme, že po prodělaném útoku se obvykle pozornost věnovaná bezpečnosti násobně zvýší. Nicméně pokud se skutečná příčina incidentu nikdy neodhalí, pak nikdy nebude existovat jistota, že byla sjednána náprava. A pokud se opravdu stane, že je tato díra přehlédnuta, pak šance, že bude na organizaci veden další úspěšný útok úplně stejným způsobem, je téměř stoprocentní. Jakmile se organizace ocitne na „we can easily hack them“ listu, není cesty zpět.
Co funguje vždy
Pokud si nejsem na 100 % jistý, co mám dělat metodou step by step (v prevenci, ale i po útoku), pak není dobré hrát si na hrdinu a tvrdit, že to všechno zvládnu. I větší organizace spolupracují s IT firmami, které jim pomáhají s ochranou minimálně na úrovni konzultací. Jsou to lidé, kteří se tím zabývají každý den. Znají nejnovější trendy, mají prostor na zkoumání nejnovějších metod a mají naučené postupy. Oni nemusí řešit každodenní starosti, které potkávají vás. Pokud taková spolupráce existuje na dlouhodobější úrovni a vaše organizace je z těch rozumnějších (nechá si poradit, je ochotna naslouchat změnám), pak šance, že se stanete obětí úspěšného útoku, klesá. Pokud jste na to zatím úplně sami, nezoufejte. I v Česku existují firmy, které jsou ochotné přijet a pomoct situaci řešit na místě. Je ale třeba mít na paměti, že tato cesta je v součtu všech nákladů tou nejdražší ze všech možných.
Co může velmi dobře pomoct
Nikoli za astronomické částky, ale už za 50 až 100 € měsíčně je možné mít fungující cloudové disaster recovery pro dva kritické virtuální stroje o obvyklé velikosti. Nic víc k tomu není potřeba. Ani linka nemusí být nijak rychlá, protože první full zálohu lze odeslat do DR datacentra z jiného místa. A když kritické systémy fungují – běží z cloudového disaster recovery, pak existuje neomezený prostor na zkoumání příčin problému bez toho, aby na vás někdo řval každých 10 minut.
Neumožňují to zdaleka všechna zálohovací řešení, bohužel, nicméně třeba v Acronis Cyber Protect lze do záloh přibalovat tzv. forenzní data. To jsou logy, dumpy, seznam běžících procesů, výpisy paměti a další data, která mohou pomoct odhalit příčiny problému klidně až potom, co je provedena obnova.
 |
Aleš Hok Autor článku je konzultant a obchodní ředitel ve společnosti ZEBRA SYSTEMS, s. r. o. |
