Jak reagovat na ransomwarový útok: Rady a tipy
Jak si o výkupné říkají moderní kyberútočníci? O tom, co je ransomware, jsme si říkali v minulém díle našeho miniseriálu o tomto velmi specifickém a nebezpečném kyberútoku. Říkali jsme si, že stejně jako u každé kybernetické hrozby je důležitá prevence. Co ale dělat, když se stanete obětí ransomwarového útoku? Jak správně reagovat a jak minimalizovat škody? Pojďme si říct víc.
Nikdy neplaťte výkupné – proč? A jak postupovat při ransomware útoku?
Při ransomwarovém útoku útočník zašifruje vaše data nebo dokonce celé síťové prostředí, následně vás vyzývá k zaplacení výkupného za jejich obnovení (popřípadě vyhrožuje zveřejněním). Otázka je – co teď
- Izolujte postižené systémy. Okamžitě izolujte postižené zařízení od sítě, odpojte ho od internetu, popřípadě i od zdroje elektrické energie, a od dalších zařízení. Tím zajistíte, aby se ransomware nemohl šířit na další systémy a soubory. Dále odpojte zálohovací server od sítě.
- Zjistěte rozsah napadení ransomware a uvědomte příslušné orgány. Pokud jste si jisti, že jste se stali obětí ransomwarového útoku, zjistěte rozsah napadení (a napadené systémy izolujte). Kontaktuje manažera kybernetické bezpečnosti, CIO a IT oddělení, vedení vaší společnosti, NÚKIB a PČR. Požádejte o logy ze sondy, firewallu či od poskytovatele internetu. Kroky z těchto dvou bodů by měly proběhnout neprodleně po zjištění útoku.
- Neplaťte výkupné. Kyberútočník na vás bude vyvíjet tlak – bude vám hrozit tím, že už data nezpřístupní, že je poškodí nebo dokonce vyzradí, pokud se jedná o citlivé informace (obchodní tajemství aj.). Světoví odborníci na kyberbezpečnost, nejen český NÚKIB, se shodují na tom, že by firmy nikdy a za žádných okolností neměly platit výkupné. Důvodů je hned několik. První nasnadě je ten, že nemáte žádnou jistotu, že útočník své slovo dodrží. Navíc pokud data odblokuje, nemusí odstranit samotný ransomware – vše se tak může po zaplacení opakovat. Existují ale i méně zřejmé důvody. Za prvé – tím, že útočníkovi vyhovíte, ho utvrdíte v tom, že se jeho konání finančně vyplatí a že jste snadný cíl. Za druhé – tím, že zaplatíte výkupné, se můžete z pohledu českého práva dopustit porušení pravidel péče řádného hospodáře.
V rámci příprav na případný útok a „hašení požáru“ doporučujeme předem vytvořit seznam klíčových osob organizace a institucí, které je v případě útoku nutné informovat. Vytvořte komunikační plán a postupy. Výše jsme vyjmenovali, kdo všechno by se měl o útoku dozvědět – je dobré mít předem dané „noty“, podle kterých se bude hrát. Jen tak nevznikne po útoku nepříjemný a nebezpečný chaos.
Obnova infrastruktury není zadarmo – mějte stranou dostatek prostředků
Doporučujeme mít také stranou prostředky pro obnovu infrastruktury. Obnova dat/sítě není jednoduchou operací. Je při ní nutné podniknout celou řadu kroků – navrhnout a vytvořit novou architekturu sítě, definovat segmentaci sítě, zajistit alternativní internetové připojení, vytvořit VLAN, resetovat všechna stávající hesla a v neposlední řadě využít všechny stávající online i off-line zálohy. Zajistěte rovněž dostatečně velkou místnost, kde se budou moci sejít analytici, dodavatelé a další zúčastnění a řešit zahájení obnovy. Není to procházka růžovou zahradou, ale kdo je připraven, není překvapen.
Po útoku proveďte důkladnou analýzu bezpečnostních opatření a zranitelností, které umožnily ransomwarovému útoku proniknout. Aktualizujte a posilte svoji bezpečnostní infrastrukturu, včetně softwaru, antivirových programů a firewalů. Proveďte nápravu a zejména se zaměřte na proškolení všech zaměstnanců a osob, které mají přístup do vašich systémů.
Při napadení je důležité zachovat klid a nepodlehnout panice. Řádná reakce a spolupráce s odborníky vám pomůže celou situaci zvládnout a minimalizovat škody. Ransomware útoky jsou závažným nebezpečím pro firmy všech velikostí. V E LINKX s vámi budeme i nadále rádi sdílet své odborné znalosti a trendy z oblasti kyberbezpečnosti. Sledujte náš blog nebo využijte službu IT HealthCheck.