fb
IT Systems 1-2/2021 IT Security 4. 3. 2021 9:10

Víte, co dělat, pokud se stanete obětí kyberútoku?

V IT systémech firem i státních institucí se stále vyskytují hluchá místa. Útočníci v online prostoru úspěšně využívají pokračující pandemie COVID-19 a s ní spojených problémů. Hackerům nahrává mnohem větší aktivita zaměstnanců a firem v online prostoru. Do „sítě“ se více začali připojovat i ti, kteří s kyberprostorem nemají velké zkušenosti a nejsou plně připraveni na jeho nástrahy. Jak by se tedy měla firma či jakýkoliv jiný subjekt na riziko útoku připravit a čeho by se měla vyvarovat? A jak by měla reagovat, pokud se již obětí kybernetického útoku, například ransomware, už stala?

Hlídejte informace, které se o vás šíří

Pokud nechceme útočníkům jejich snažení zbytečně usnadňovat, měli bychom věnovat pozornost tomu, co a komu o sobě sdílíme. Zejména proto, že je to obsahem povinné přípravy každého hackera před útokem – zjištění co největšího množství informací. Je proto velmi důležité, abychom identifikovali kanály, kterými proudí naše informace. Nezapomínejte ani na monitorování toho, jaké informace se ve veřejném prostoru o vás objevují.

Co by si měla každá firma zodpovědět před útokem

  • Co je ve vaší firmě z hlediska hackerského útoku nejcennější? Co chcete chránit?
  • Jakou cenu jste ochotní za svoje aktiva zaplatit jako výkupné. Z toho se dá odvodit i míra investice do ochrany daného aktiva před útokem.
  • Zvládnete ochranu aktiv sami, nebo potřebujete někoho přizvat?
  • Budete mít při řešení incidentu ve stavu napadení systémů partnera?
  • Byl identifikován jasný rozhodovací tým pro aktivaci, pokud dojde k ransomwarovému útoku?
  • Máte v případě hackerského útoku plán součinnosti pro jednotlivá oddělení?
  • Zahrnuje tento plán externí (nebo interní) právní poradce?
  • Vědí zaměstnanci, co mají dělat, když vaše počítačové systémy přejdou do offline režimu?
  • Víte, jak komunikovat se zaměstnanci, pokud systémy přejdou do režimu offline?
  • Dodržujete předpisy o ochraně osobních údajů?
  • Máte interní a externí komunikační plán v případě nefunkčních systémů?

Základní otázky, které by si firma měla zodpovědět, pokud je již obětí útoku

  • Kdo jsou odborníci, kteří budou incident řešit? Jsou interní/externí?
  • Byly aktivovány záložní plány obnovy?
  • Jaký rozsah má daný incident?
  • Co nám všechno chybí?
  • Co všechno bylo napadeno?
  • Kontaktovali jste příslušné státní orgány? Co vám doporučují? (Jedná se sice o legislativní povinnost, ale v případě útoku není velmi účinná, pokud tedy firma s takovou organizací dopředu neuzavřela smlouvu o řešení takové situace. Přes to všechno je samozřejmě dobré plnit legislativní podmínky. Vyhnete se tak potenciální pokutě.
  • Máte-li kybernetickou pojistku, aktivovali jste ji?
  • K jakým informacím se útočník dostal? Byly některé odcizeny? Jaký je nejhorší možný scénář?
  • Jaké provozní komplikace vám ransomware způsobil?
  • Ví se o útoku i mimo firmu? Pokud ano, komu a co bylo komunikováno?
  • Jaká je šance zprovoznit systémy bez placení výkupného?

Platit, nebo neplatit?

V této oblasti bohužel nejlepší rada neexistuje. Pokud se firma rozhodne platit, tak si musí být vědoma, že je to bez záruky dalších následků v podobě podobného scénáře v budoucnosti. Pokud se rozhodne neplatit, tak na to musí být perfektně připravena. Musí „drilovat“ scénáře obnovy při stavu zásadního narušení provozu. Rozhodování má v tomto případě i ideologický rozměr – platíme hackerům a podporujeme tak velmi pravděpodobně jejich další nelegální činnosti.

Útoku čelte profesionálně

Ať už se jedná o informace směrované k zaměstnancům, či oznámení pro regulační orgány, rozhodnutí, která učiníte v počáteční fázi útoku, mohou mít značné následky. Aby společnosti útok zvládly, je důležitá součinnost právního poradce a podnikové komunikace. Myslete i na kybernetické pojištění a forenzní IT. Podstatné je omezit potenciální riziko poškození dobré pověsti.

Společnosti by rovněž měly co nejrychleji informovat orgány činné v trestním řízení, aby potvrdily legitimitu útoku. Určily, zda mají platby důsledky v trestním řízení, a vytvořily prostředí, ve kterém může probíhat transparentní rozhodování. Navíc mohou donucovací nebo forenzní experti poskytnout další kontext / poznatky o útoku, pokud znají aktéra hrozby nebo nedávno pracovali na podobných krizových situacích.

Za všech okolností je důležitá důvěryhodnost. V informacích, které sdílíte interně i externě, buďte jasní a přesní. Nepouštějte se do žádných spekulací. Pokud tak neučiníte, může dojít k poškození vaší reputace. Uvědomte si, že interní informace a dokumenty se prostřednictvím ransomwarového útoku mohou dostat do nepovolaných rukou.

Nezapomeňte na riziko sporu

I když oznámení jsou primárně záležitostí právního týmu, je důležité, aby se vedení společnosti v rané fázi procesu při komunikaci „sladilo“. Jazyk používaný v těchto sděleních by měl být profesionální a plně pod kontrolou společnosti. To se netýká jen dnů bezprostředně po útoku. Je to otázka měsíců i let. Společnosti by také měly zvážit nastavení peer-to-peer konverzací mezi bezpečnostními týmy, místo toho, aby se spoléhaly na písemnou komunikaci.

David Dvořák David Dvořák
Autor článku je manažerem IT poradenství ve společnosti Soitron.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 6 IT Systems 5 IT Systems 4 IT Systems 3
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1