Posledné mesiace sme písali o rôznych témach – o prevencii, o monitoringu alebo o rôznych aktuálnych útokoch. Je však načase priznať si pravdu. Kyberbezpečnosť takmer nikto nerieši, pokiaľ sa nestal obeťou kybernetického útoku alebo to od neho nevyžaduje zákon, ktorý je skutočne vynucovaný. Bolo by zaujímavé sledovať, ako by sa to zmenilo, ak by za nedodržanie zákona hrozila osobná majetková zodpovednosť ľuďom, ktorí za dodržiavanie zákona v danej organizácii zodpovedajú. Skúsenosti z európskych krajín, kde to takto funguje, nám ukazujú, že by sa to zmenilo dosť. Ale stačilo už “nápadov”, pozrime sa radšej na to, čo by bolo dobré urobiť, keď sa stanete obeťou kybernetického útoku. Bude to krátke.
Využite svoj business continuity plan alebo incident response plan, prípadne iný plán, ktorý takúto situáciu popisuje. Hotovo. Toto by stačilo napísať v ideálnom svete a podľa takého plánu by sa ďalej pokračovalo a keďže by bol pravidelne precvičovaný a aktualizovaný, normálne fungovanie organizácie by sa obnovilo behom pár minút. Bolo by to krásne. Ale vráťme sa späť na zem.
Môžete buď tušiť, že sa deje niečo nekalé, alebo byť s touto skutočnosťou konfrontovaný napr. vybieleným účtom alebo zašifrovanými dátami a súborom s požiadavkami výkupného. V každom prípade vás budú hneď trápiť otázky ako “Čo sa stalo?” alebo “Ako sa to stalo?”, ale hlavne asi otázka “Čo musím urobiť, aby sme mohli opäť normálne fungovať?”.
Mohlo by sa zdať, že správna odpoveď je odpojiť všetko od internetu, preinštalovať celú infraštruktúru a vymeniť všetky heslá. Takýto inštinktívny pud “niečo s tým urobiť” je úplne pochopiteľný, ale nemusí byť vždy tou najlepšou cestou, ale práve naopak, môže ešte uškodiť – najčastejšie tým, že sa vám nepodarí vlastnými silami útočníkov z napadnutej infraštruktúry vyhodiť, miniete veľké množstvo prostriedkov na obnovu a o pár hodín, dní alebo týždňov sú u vás zase. Ďalším častým problémom je precenenie závažnosti incidentu, kedy sa pod vplyvom šoku urobia aj zbytočné a drahé operácie.
Preto odporúčame ako prvý krok v takomto prípade kontaktovať profesionálnu firmu, ktorá ponúka incident response služby, alebo v našom priestore službu riešenia kybernetických incidentov. Takúto službu ponúkame aj my vo firme AXENTA.
Ako sme písali v jednom z minulých článkov o úlohách CSIRT tímu, pri incident response riešime celé spektrum úloh, ktoré takýto incident vyžaduje. Pre Vás však bude najdôležitejšie čo najskôr útok zastaviť a vrátiť sa bezpečne do normálu. Na to je však potrebné zistiť ako sa útočníci dostali k napadnutým aktívam, aký bol rozsah ich činnosti, preveriť mechanizmy zotrvania útočníkov v sieti a pod., aby ste sa vyhli vyššie popísaným možným následkom inštinktívneho chovania a mohli skutočne bezpečne obnoviť činnosť v plnom rozsahu. Nesmierne dôležitou súčasťou tohto procesu je aj návrh nápravných opatrení, ktoré zabezpečia, aby sa už takýto incident nemohol opakovať.
Želám Vám, aby ste naše služby v tejto oblasti nikdy nepotrebovali, ale ak by ste ich potrebovali, tak viete, na koho sa môžete vždy obrátiť.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.