Co dělat v případě ransomware napadení

Do online práce je zapojeno stále více zaměstnanců, kteří s kyberprostorem nemají moc velké zkušenosti. Jak by se měla firma či jakýkoliv jiný subjekt před ransomware útokem chránit a čeho se vyvarovat?

V IT systémech firem a státních institucí se stále vyskytují hluchá místa. Útočníci v online prostoru úspěšně využívají pokračující pandemie COVID-19 a s ní spojených problémů. Hackerům nahrává mnohem větší aktivita zaměstnanců a firem v online prostoru.

Atraktivním cílem ransomware útoků se díky důležitosti stále více stávají hlavně nemocnice, distributoři vakcín a další komunikační zdroje včetně škol, které musely přejít na distanční online výuku.

Proto je nutné věnovat zvýšenou pozornost tomu, co a komu o sobě sdílíme. Zejména proto, že je to obsahem povinné přípravy každého hackera před útokem - zjištění co největšího množství informací.

Je velmi důležité, abychom identifikovali kanály, kterými proudí naše informace. Je nutné určit i jejich rozsah.

"Za všech okolností je důležitá důvěryhodnost. V informacích, které sdílíte interně i externě, buďte jasní a přesní. Nepouštějte se do žádných spekulací. Pokud tak neučiníte, může dojít k poškození vaší reputace. Uvědomte si, že interní informace a dokumenty se prostřednictvím ransomwarového útoku mohou dostat do nepovolaných rukou. Nezapomínejte ani na monitorování toho, jaké informace se ve veřejném prostoru o vás objevují," říká IT specialista David Dvořák, manažer IT poradenství ve společnosti Soitron.

Výkupné - platit či neplatit

V této oblasti bohužel nejlepší rada neexistuje. Pokud se firma rozhodne platit, tak si musí být vědoma, že je to bez záruky dalších následků v podobě podobného scénáře v budoucnosti. Pokud se rozhodne neplatit, tak na to musí být perfektně připravena. Musí drilovat scénáře obnovy při stavu zásadního narušením provozu.

Rozhodování má v tomto případě i morální rozměr - platíme hackerům a podporujeme tak velmi pravděpodobně jejich další nelegální činnost.

Útoku čelte profesionálně

Ať už se jedná o informace směřované k zaměstnancům či oznámení pro regulační orgány, rozhodnutí, která učiníte v počáteční fázi útoku, mohou mít značné následky. Aby společnosti útok zvládly, je důležitá součinnost právního poradce a podnikové komunikace. Myslete i na kybernetické pojištění a forenzní IT. Podstatné je omezit potencionální riziko poškození dobré pověsti.

Společnosti by rovněž měly co nejrychleji informovat orgány činné v trestním řízení, aby potvrdily legitimitu útoku. Určily, zda mají platby důsledky v trestním řízení, a vytvořily prostředí, ve kterém může probíhat transparentní rozhodování.

Navíc mohou donucovací nebo forenzní experti poskytnout další kontext - poznatky o útoku, pokud znají aktéra hrozby nebo nedávno pracovali na podobných krizových situacích.

Nezapomeňte na riziko sporu

I když oznámení jsou primárně záležitostí právního týmu, je důležité, aby se vedení společnosti v rané fázi procesu při komunikaci sladilo. Jazyk používaný v těchto sděleních by měl být profesionální a plně pod kontrolou společnosti. To se netýká jen dnů bezprostředně po útoku. Je to otázka měsíců i let.

Společnosti by také měly zvážit nastavení peer-to-peer konverzací mezi bezpečnostními týmy, místo toho, aby se spoléhaly na písemnou komunikaci.

Co by si měla každá firma zodpovědět před útokem:

Jakou cenu jste ochotní za svoje aktiva zaplatit jako výkupné - z toho se dá odvodit i míra investice do ochrany daného aktiva před útokem
Máte v případě hackerského útoku plán součinnosti pro jednotlivá oddělní, zahrnuje plán externí (nebo interní) právní poradce
Možností je i kybernetické pojištění - to ale může vést ke zjednodušenému a méně účinnému řešení
Byl identifikován jasný rozhodovací tým pro aktivaci, pokud dojde k ransomwarovému útoku
Vědí zaměstnanci, co mají dělat, když vaše počítačové systémy přejdou do offline režimu
Víte, jak komunikovat se zaměstnanci, pokud systémy přejdou do režimu offline
Co je ve vaší firmě z hlediska hackerského útoku nejcennější, co chcete chránit
Máte interní a externí komunikační plán v případě nefunkčních systémů
Budete mít při řešení incidentu ve stavu napadení systémů partnera
Zvládnete ochranu aktiv sami nebo potřebujete někoho přizvat
Dodržujete předpisy o ochraně osobních údajů
Využíváte forenzní IT

Základní otázky, které by si firma měla zodpovědět, pokud je již obětí útoku:

K jakým informacím se útočník dostal, byly některé odcizeny, jaký je nejhorší možný scénář
Ví se o útoku i mimo firmu, pokud ano, komu a co bylo komunikováno
Pokud máte kybernetickou pojistku, řiďte se vždy pokyny pojistitele
Kdo jsou odborníci, kteří budou incident řešit, jsou interní/externí
Kontaktovali jste příslušné státní orgány, co vám doporučují
Jaká je šance zprovoznit systémy bez placení výkupného
Jaké provozní komplikace vám ransomware způsobil
Máte-li kybernetickou pojistku, aktivovali jste ji
Byly aktivované záložní plány obnov
Jaký rozsah má daný incident
Co všechno bylo napadeno
Co nám všechno chybí