Pandemie ransomware v Česku. Víte, na co se ptát, pokud jste obětí kyberútoku?

V IT systémech firem a státních institucí se stále vyskytují hluchá místa. Útočníci v online prostoru úspěšně využívají pokračující pandemie COVID-19 a s ní spojených problémů. Hackerům nahrává mnohem větší aktivita zaměstnanců a firem v online prostoru. 

Do „sítě“ se více začali připojovat i ti, kteří s kyberprostorem nemají velké zkušenosti a nejsou plně připraveni na jeho nástrahy. V rámci aktuální pandemie jsou atraktivním cílem hackerů díky své důležitosti havně nemocnice, distributoři vakcín a další komunikační zdroje včetně škol, které musely přejít na online výuku. 

Jedním z nástrojů kyberzločinců jsou zmiňované ransomware útoky. Jejich nárůst zaznamenaly země napříč Evropou i za oceánem, kde takto hackeři odstřihli od online výuky přes 115 tisíc žáků. Znepříjemnění studia je ale zatím to nejmenší, co útočníci mohou udělat. Jak by se měla firma či jakýkoliv jiný subjekt před ransomware útokem chránit? Čeho se vyvarovat? 

Hlídejte informace, které se o vás šíří

Musíme věnovat významnou pozornost tomu, co a komu o sobě sdílíme. Zejména proto, že je to obsahem povinné přípravy každého hackera před útokem – zjištění co největšího množství informací. Je velmi důležité, abychom identifikovali kanály, kterými proudí naše informace. Je nutné určit i jejich rozsah. „V tomto kontextu je také důležité připomenout aktuální letošní úpravu „privacy politiky“ komunikátoru Whatsapp, spadající pod společnost Facebook. Ta zásadně mění používání našich dat a osobních údajů,“ podotýká IT specialista David Dvořák, manažer IT poradenství ve společnosti Soitron.

Za všech okolností je důležitá důvěryhodnost. „V informacích, které sdílíte interně i externě, buďte jasní a přesní. Nepouštějte se do žádných spekulací. Pokud tak neučiníte, může dojít k poškození vaší reputace,“ podotýká IT specialista David Dvořák, manažer IT poradenství ve společnosti Soitron. Uvědomte si, že interní informace a dokumenty se prostřednictvím ransomwarového útoku mohou dostat do nepovolaných rukou. Nezapomínejte ani na monitorování toho, jaké informace se ve veřejném prostoru o vás objevují. 

Platit nebo neplatit?

„V této oblasti bohužel nejlepší rada neexistuje. Pokud se firma rozhodne platit tak si musí být vědoma, že je to bez záruky dalších následků v podobě podobného scénáře v budoucnosti. Pokud se rozhodne neplatit, tak na to musí být perfektně připravena. Musí „drilovat“ scénáře obnovy při stavu zásadního narušením provozu. Rozhodování má v tomto případě i ideologický rozměr – platíme hackerům
a podporujeme tak velmi pravděpodobně jejich další nelegální činnosti,“ uvádí Dvořák. 

Útoku čelte profesionálně 

Ať už se jedná o informace směřované k zaměstnancům či oznámení pro regulační orgány, rozhodnutí, která učiníte v počáteční fázi útoku, mohou mít značné následky. Aby společnosti útok zvládly, je důležitá součinnost právního poradce a podnikové komunikace. Myslete i na kybernetické pojištění
a forenzní IT.  Podstatné je omezit potencionální riziko poškození dobré pověsti. 

Společnosti by rovněž měly co nejrychleji informovat orgány činné v trestním řízení, aby potvrdily legitimitu útoku. Určily, zda mají platby důsledky v trestním řízení, a vytvořily prostředí, ve kterém může probíhat transparentní rozhodování. Navíc mohou donucovací nebo forenzní experti poskytnout další kontext / poznatky o útoku, pokud znají aktéra hrozby nebo nedávno pracovali na podobných krizových situacích.

Nezapomeňte na riziko sporu

I když oznámení jsou primárně záležitostí právního týmu, je důležité, aby se vedení společnosti v rané fázi procesu při komunikaci „sladilo“. Jazyk používaný v těchto sděleních by měl být profesionální
a plně pod kontrolou společnosti. To se netýká jen dnů bezprostředně po útoku. Je to otázka měsíců
i let. Společnosti by také měly zvážit nastavení peer-to-peer konverzací mezi bezpečnostními týmy, místo toho, aby se spoléhaly na písemnou komunikaci.

Co by si měla každá firma zodpovědět před útokem:

  • Co je ve vaší firmě z hlediska hackerského útoku nejcennější? Co chcete chránit?
  • Jakou cenu jste ochotní za svoje aktiva zaplatit jako výkupné. Z toho se dá odvodit i míra investice do ochrany daného aktiva před útokem.
  • Zvládnete ochranu aktiv sami nebo potřebujete někoho přizvat?
  • Budete mít při řešení incidentu ve stavu napadení systémů partnera? 
  • Využíváte forenzní IT? 
  • Byl identifikován jasný rozhodovací tým pro aktivaci, pokud dojde k ransomwarovému útoku? 
  • Máte v případě hackerského útoku plán součinnosti pro jednotlivá oddělní? 
  • Zahrnuje tento plán externí (nebo interní) právní poradce? 
  • Vědí zaměstnanci, co mají dělat, když vaše počítačové systémy přejdou do offline režimu? 
  • Víte, jak komunikovat se zaměstnanci, pokud systémy přejdou do režimu offline? 
  • Dodržujete předpisy o ochraně osobních údajů?
  • Máte interní a externí komunikační plán v případě nefunkčních systémů? 
  • Možností je i kybernetické pojištění? Tato „zkratka“ ale může vést ke zjednodušenému a méně účinnému řešení. 

Základní otázky, které by si firma měla zodpovědět, pokud je již obětí útoku:

  • Kdo jsou odborníci, kteří budou incident řešit? Jsou interní/externí?
  • Byly aktivované záložní plány obnovy?
  • Jaký rozsah má daný incident? 
  • Co nám všechno chybí? 
  • Co všechno bylo napadené? 
  • Kontaktovali jste příslušné státní orgány? Co vám doporučují? (Jedná se sice o legislativní povinnost, ale v případě útoku není velmi účinná, pokud tedy firma s takovou organizací dopředu neuzavřela smlouvu a řešení takové situace. Přes to všechno je samozřejmě dobré plnit legislativní podmínky. Vyhnete se tak potencionální pokutě. 
  • Máte-li kybernetickou pojistku, aktivovali jste ji?
  • K jakým informacím se útočník dostal? Byly některé odcizeny? Jaký je nejhorší možný scénář?
  • Jaké provozní komplikace vám ransomware způsobil?
  • Ví se o útoku i mimo firmu? Pokud ano, komu a co bylo komunikováno?
  • Jaká je šance zprovoznit systémy bez placení výkupného?
  • Pokud máte kybernetickou pojistku, řiďte se vždy pokyny pojistitele.