29. januára 2021

Pandémia ransomware v Česku. Viete, na čo sa pýtať, ak ste obeťou kyberútoku?

Vo firmách a štátnych inštitúciách sa v IT systémoch stále nájdu hluché miesta. Útočníci v online priestore úspešne využívajú pokračujúcu pandémiu COVID-19 a s ňou spojené problémy. Hackerom vyhovuje oveľa väčšia účasť zamestnancov a ako aj firiem v online priestore.

Do “siete” sa začali čoraz viac pripájať aj tí, ktorí s kybernetickým priestorom nemajú veľké skúsenosti a nie sú pripravení na jeho nástrahy. V rámci aktuálnej pandémie sú v hľadáčiku hackerov nemocnice, distribútori vakcín a ďalšie komunikačné zdroje, vrátane škôl, ktoré museli prejsť na online výučbu. Kvôli dôležitosti týchto subjektov sú pre nich atraktívnym cieľom.

Jedným z nástrojov kyberzločincov sú často spomínané ransomware útoky. Ich nárast zaznamenali krajiny v Európe a aj za oceánom, kde takto hackeri odstrihli od online výučby viac ako 115 tisíc žiakov. Znepríjemnenie štúdia je ale zatiaľ to najmenšie, čo útočníci môžu urobiť. Ako by sa mala firma či akýkoľvek iný subjekt pred ransomware útokom chrániť? Čoho sa vyvarovať?

Strážte informácie, ktoré sa o vás šíria

Je dôležité venovať významnú pozornosť tomu, komu a čo sebe zdieľame. Najmä preto, že každý hacker si v rámci prípravy pred útokom zisťuje čo najväčšie množstvo informácií. Je veľmi dôležité aby sme identifikovali kanály, ktorými prúdia naše informácie. Je tiež potrebné určiť aj ich rozsah.

“V tomto kontexte je tiež dôležité pripomenúť aktuálnu tohtoročnú úpravu “privacy politiky” komunikátora WhatsApp, spadajúceho pod spoločnosť Facebook. Tá zásadne mení používanie našich dát a osobných údajov,”

podotýka IT špecialista David Dvořák, manažér IT poradenstva v spoločnosti Soitron.

Za všetkých okolností je dôležitá dôveryhodnosť. “V informáciách, ktoré zdieľate interne aj externe, buďte jasní a presní. Nepúšťajte sa do žiadnych špekulácií. Ak tak neurobíte, môže dôjsť k poškodeniu vašej reputácie ,” podotýka IT špecialista David Dvořák, manažér IT poradenstva v spoločnosti Soitron. Uvedomte si, že interné informácie a dokumenty sa prostredníctvom ransomware útoku môžu dostať do nepovolaných rúk. Nezabúdajte ani na monitorovanie toho, aké informácie sa vo verejnom priestore o danom subjekte objavujú.

Platiť alebo neplatiť?

“V tejto oblasti bohužiaľ najlepšia rada neexistuje. Ak sa firma rozhodne platiť tak si musí byť vedomá, že je to bez záruky ďalších následkov v podobe podobného scenára v budúcnosti. Ak sa rozhodne neplatiť, tak na to musí byť perfektne pripravená. Musí “drilovať” scenáre obnovy pri stave zásadného narušenia prevádzky. Rozhodovanie má v tomto prípade i ideologický rozmer – platíme hackerom a podporujeme tak veľmi pravdepodobne ich ďalšiu nelegálnu činnosť, “uvádza Dvořák.

Útoku vzdorujte profesionálne

Či už sa jedná o informácie smerované k zamestnancom, alebo ide o oznámenia pre regulačné orgány, rozhodnutia, ktoré urobíte v počiatočnej fáze útoku, môžu mať značné následky. Aby spoločnosti útok zvládli, je dôležitá súčinnosť právneho poradcu a podnikovej komunikácie. Myslite aj na kybernetické poistenie a forenzné IT. Podstatné je obmedziť potencionálne riziko poškodenia dobrej povesti.

Spoločnosti by tiež mali čo najrýchlejšie informovať orgány činné v trestnom konaní, aby potvrdili legitimitu útoku. Je potrebné určiť, či majú vykonané platby dôsledky v trestnom konaní, a tiež vytvoriť prostredie, v ktorom môže prebiehať transparentné rozhodovanie. Navyše môžu donucovací alebo forenzní experti poskytnúť ďalší kontext / poznatky o útoku, pokiaľ poznajú aktéra hrozby alebo nedávno pracovali na podobných krízových situáciách.

Nezabudnite na riziko sporu

Aj keď oznámenia sú primárnou záležitosťou právneho tímu, je dôležité, aby sa vedenie spoločnosti v rannej fáze procesu pri komunikácii “zosúladilo”. Jazyk používaný v týchto oznámeniach by mal byť profesionálny a plne pod kontrolou spoločnosti. To sa netýka len dní bezprostredne po útoku. Je to otázka mesiacov i rokov. Spoločnosti by tiež mali zvážiť nastavenie peer-to-peer konverzácií medzi bezpečnostnými tímami, namiesto toho, aby sa spoliehali na písomnú komunikáciu.

Čo by si mala každá firma zodpovedať pred útokom:

  • Čo je vo vašej firme z hľadiska hackerského útoku najcennejšie? Čo chcete chrániť?
  • Akú cenu ste ochotní za svoje aktíva zaplatiť ako výkupné. Z toho sa da odvodiť i miera investície do ochrany daného aktíva pred útokom.
  • Zvládnete ochranu aktív sami alebo potrebujete niekoho prizvať?
  • Budete mať pri riešení incidentu v stave napadnutia systémov partnera?
  • Využívate forenzné IT?
  • Bol identifikovaný jasný rozhodovací tím pre aktiváciu, ak dôjde k ransomware útoku?
  • Máte v prípade “útoku” plán súčinnosti pre jednotlivé oddelenie?
  • Zahŕňa tento plán externého (alebo interného) právneho poradcu?
  • Vedia zamestnanci, čo majú robiť, keď vaše počítačové systémy prejdú do offline režimu?
  • Viete, ako komunikovať so zamestnancami, ak systémy prejdú do režimu offline?
  • Dodržujete predpisy o ochrane osobných údajov?
  • Máte interný a externý komunikačný plán v prípade nefunkčných systémov?
  • Možnosťou je aj kybernetické poistenie? Táto “skratka” ale môže viesť k zjednodušenému a menej účinnému riešeniu.

Základné otázky, ktoré by si firma mala zodpovedať, ak už je obeťou útoku:

  • Kto sú odborníci, ktorí budú incident riešiť? Sú interní / externí?
  • Bol aktivovaný záložný plány obnovy?
  • Aký rozsah má daný incident?
  • Čo nám všetko chýba?
  • Čo všetko bolo napadnuté?
  • Kontaktovali ste príslušné štátne orgány? Čo vám odporúčajú? (Ide síce o legislatívnu povinnosť, ale v prípade útoku nie je veľmi účinná, pokiaľ teda firma s takou organizáciou dopredu neuzavrela zmluvu o riešení takejto situácie. Napriek tomu je samozrejme dobré plniť legislatívne podmienky. Vyhnete sa tak potencionálnej pokute).
  • Ak máte kybernetickú poistku, aktivovali ste ju?
  • K akým informáciám sa útočník dostal? Boli niektoré odcudzené? Aký je najhorší možný scenár?
  • Aké prevádzkové komplikácie vám ransomware spôsobil?
  • Vie sa o útoku i mimo firmu? Ak áno, komu a čo bolo komunikované?
  • Ak máte kybernetickú poistku, riaďte sa vždy pokynmi poisťovateľa

Súvisiace články