Poslední měsíce jsme psali o různých tématech – o prevenci, o monitoringu nebo o různých aktuálních útocích. Je však načase přiznat si pravdu. Kyberbezpečnost téměř nikdo neřeší, pokud se nestal obětí kybernetického útoku nebo to od něj nevyžaduje zákon, který je skutečně vynucován. Bylo by zajímavé sledovat, jak by se to změnilo, kdyby za nedodržení zákona hrozila osobní majetková odpovědnost lidem, kteří za dodržování zákona v dané organizaci odpovídají. Zkušenosti z evropských zemí, kde to takto funguje, nám ukazují, že by se to změnilo dost. Ale stačilo už „nápadů“, podívejme se raději na to, co by bylo dobré udělat, když se stanete obětí kybernetického útoku. Bude to krátké.
Využijte svůj business continuity plan nebo incident response plan, případně jiný plán, který takovou situaci popisuje. Hotovo. Toto by stačilo napsat v ideálním světě a podle takového plánu by se dále pokračovalo a protože by byl pravidelně procvičován a aktualizovaný, normální fungování organizace by se obnovilo během pár minut. Bylo by to krásné. Ale vraťme se zpět na zem.
Můžete buď tušit, že se děje něco nekalého, nebo být s touto skutečností konfrontován např. vyběleným účtem nebo zašifrovanými daty a souborem s požadavkem výkupného. V každém případě vás budou hned trápit otázky jako „Co se stalo?“ nebo „Jak se to stalo?“, ale hlavně asi otázka „Co musím udělat, abychom mohli opět normálně fungovat?“.
Mohlo by se zdát, že správná odpověď je odpojit vše od internetu, přeinstalovat celou infrastrukturu a vyměnit všechny hesla. Takový instinktivní pud „něco s tím udělat“ je zcela pochopitelný, ale nemusí být vždy tou nejlepší cestou, ale právě naopak, může ještě uškodit – nejčastěji tím, že se vám nepodaří vlastními silami útočníky z napadené infrastruktury vyhodit, utratíte velké množství prostředků na obnovu a o pár hodin, dní nebo týdnů jsou u Vás zase. Dalším častým problémem je přecenění závažnosti incidentu, kdy se pod vlivem šoku udělají i zbytečné a drahé operace.
Proto doporučujeme jako první krok v takovém případě kontaktovat profesionální firmu, která nabízí incident response služby, nebo v našem prostoru službu řešení kybernetických incidentů. Takovou službu nabízíme i my ve firmě AXENTA.
Jak jsme psali v jednom z minulých článků o úkolech CSIRT týmu, při incident response řešíme celé spektrum úkolů, které takový incident vyžaduje. Pro Vás však bude nejdůležitější co nejdříve útok zastavit a vrátit se bezpečně do normálu. Na to je však třeba zjistit jak se útočníci dostali k napadeným aktivům, jaký byl rozsah jejich činnosti, prověřit mechanismy setrvání útočníků v síti apod., abyste se vyhnuli výše popsaným možným následkům instinktivního chování a mohli skutečně bezpečně obnovit činnost v plném rozsahu. Nesmírně důležitou součástí tohoto procesu je i návrh nápravných opatření, která zajistí, aby se již takový incident nemohl opakovat.
Přeji Vám, abyste naše služby v této oblasti nikdy nepotřebovali, ale pokud byste je potřebovali, tak víte, na koho se můžete vždy obrátit.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.
Obrázek: rawpixel.com/Freepik
