Jak reagovat na kybervyděračský útok

15. 5. 2020

Sdílet

 Autor: Adobe Stock
Došlo k nejhoršímu a stali jste se obětí kybernetických vyděračů. Jak postupovat? Má se vyděračům zaplatit? Ochrana důležitých podnikových dat je značně finančně náročná, má-li účinně chránit proti neustále rostoucímu okruhu bezpečnostních hrozeb.

K nejškodlivějším typům útoků patří vyděračský software, který může mít na postiženou firmu dlouhodobé dopady. 

 

Ačkoli masivní vlna vyděračského softwaru poněkud opadla, rozhodně není namístě polevit v obezřetnosti. K útokům vyděračským softwarem stále dochází, a i když nemusí být vaše firma přímo cílem, bez patřičných bezpečnostních opatření se jím může stát v rámci širší kampaně zaměřené na všechny zranitelné systémy.

 

Pojďme si shrnout hlavní druhy vyděračského softwaru, kroky, které po nákaze na úrovni podnikového IT učinit, a také čeho se vyvarovat.

 

Co je to vyděračský software (ransomware)?

 

Výraznější nástup vyděračského softwaru nastal v roce 2005 a od té doby patří na celém světě mezi hlavní stálice mezi kyberbezpečnostními hrozbami. Od prvního dne bylo jeho smyslem získávat peníze od nepřipravených obětí a podle výpočtů společnosti Cybersecurity Ventures z nedávné doby mohou dosavadní celkové škody způsobené vyděračským softwarem dosahovat až 11,5 miliardy dolarů.

 

Existují dva hlavní typy vyděračského softwaru, a to šifrovací a zamykací. Jakmile uživatel klikne na podvržený odkaz nebo spustí zamaskovanou škodlivou aplikaci, šifrovací software zakóduje všechny soubory, složky a disky na napadeném zařízení a slibuje jejich obnovu po zaplacení výkupného útočníkovi. Oproti tomu uzamykací vyděračský software jednoduše zablokuje uživateli přístup k zařízení.

 

Kybervyděrači naneštěstí nejsou příliš vybíraví, co se cílů týče. Útok na firmu sice může způsobit velké škody, ale běžní uživatelé, kteří obvykle nemají přísná bezpečnostní opatření, pravděpodobněji zaplatí výkupné, aby se dostali ke svým souborům. Na rozdíl od cílených krádeží dat, které lze připodobnit k precizní práci odstřelovače, útok vyděračským softwarem připomíná spíše střelbu brokovnicí do hejna kachen. Nasazení vyděračského softwaru je totiž tak levné, že i když výkupné zaplatí jen nepatrné procento obětí, mají kyberzločinci zisk jistý.

 

Útok samotný může způsobit značné komplikace a ztráty, ale nesprávná reakce může nenávratně poškodit reputaci firmy.

 

Jak tedy postupovat v případě útoku?

 

Vysledujte, odkud útok přišel
Vyděračský software nejčastěji do systémů proniká přes podvržené odkazy nebo infikované e-mailové přílohy. Budete-li mít štěstí, bude zasažený pouze počítač, na němž byl škodlivý software spuštěn. Pokud však není celá síť aktualizovaná (vzpomínáte na WannaCry?), infekce se rozšíří do celého systému.

Nejprve musíte zjistit, který stroj byl první a zda na něm uživatel například otevřel podezřelý e-mail nebo si všiml jakékoli neobvyklé aktivity.
Čím rychleji naleznete zdroj infekce, tím rychleji můžete konat. Vyděračský software má obvykle nastavený časový limit, po kterém zablokované soubory smaže.

 

Odpojte zdroj infekce

Po úspěšném napadení jednoho počítače se vyděračský software dále šíří přes síťové připojení. To znamená, že čím dříve odpojíte napadený stroj od firemní sítě, tím je menší pravděpodobnost nákazy dalších.
Až budete informovat zaměstnance o nutnosti odpojit zařízení od sítě, nezapomeňte ani na ty, kdo pracují v terénu nebo z domova. Obětí útoku se může stát každý, kdo sice není fyzicky přítomný na pracovišti, ale je připojený k firemní síti.

V ideálním světě má váš bezpečnostní tým připravený plán postupu pro takovéto situace, takže je stačí zavolat a nechat, ať si s kalamitou poradí, jak nejlépe umějí. Pokud nouzový plán neexistuje, je potřeba svolat poradu a rozhodnout o dalších krocích. Každý by měl zcela přesně vědět, co se od něj očekává.

 

Upozorněte bezpečnostní tým nebo IT helpdesk

Není neobvyklé, že větší podniky mají specializované bezpečnostní týmy či oddělení, nebo dokonce ředitele pro informační bezpečnost. Tyto složky budou v případě útoku podnikat příslušné kroky podle bezpečnostního protokolu.
Menší firmy s omezeným rozpočtem si však obvykle nemohou vlastní bezpečnostní experty dovolit. V takovém případě musí být o všech bezpečnostních událostech podrobně informován IT ředitel nebo manažer, aby se ujal řešení krizové situace. Není od věci zkusit zmapovat časový průběh útoku. To by mělo jednak pomoci při případných dalších útocích v budoucnu, jednak to vypovídá o dosavadních bezpečnostních systémech.

Kybernetické útoky často zanechávají stopy v metadatech, takže bude ve většině případů potřebná jejich pečlivá kontrola.

 

Oznamte událost úřadům

Pokud podnik nebo organizace zpracovává osobní údaje občanů EU, musí podle GDPR do 72 hodin informovat o narušení bezpečnosti dat příslušný orgán, v ČR je to Úřad pro ochranu osobních údajů. Nesplněním zákonných povinností se firma vystavuje možnému finančnímu postihu do výše 4 % celkových globálních výnosů nebo 20 milionů eur. To si opravdu nejspíš nemůžete dovolit.

V případě narušení dat obsahujících osobní údaje uvědomte pověřence pro ochranu osobních údajů.

 

Informujte všechny zaměstnance a zákazníky

Naprostá transparentnost je v takové situaci klíčová. U kybernetických útoků bývají nejslabším článkem zaměstnanci a navzdory veškerému vašemu úsilí mohou udělat chybu, která firemní data ohrozí.
Namísto ukazování prstem informujte všechny zaměstnance, že došlo k narušení bezpečnosti, vysvětlete, co to znamená a co hodláte podniknout. Informujte je také o případných očekávaných odstávkách systémů, které budou mít vliv na jejich práci.

Je také důležité otevřeně informovat zákazníky, jejichž data mohla být kybervyděračským útokem postižená. Samozřejmě nebudete vydávat prohlášení v řádu minut po odhalení útoku, protože ještě nejspíš nebudete znát všechna fakta.

Ale jakmile shromáždíte o situaci podrobnější informace, je načase zákazníky zpravit. Je důležité, aby se špatné zprávy dozvěděli od vás, nikoli z tisku.

 

Aktualizujte všechny bezpečnostní systémy

Záplatujte, aktualizujte, investujte a stále dokola. Po neutralizaci útoku budete muset uskutečnit celkový bezpečnostní audit a aktualizovat veškeré systémy.
To si vyžádá čas a prostředky, ale jsou-li vám milá data a reputace firmy, neváhejte.

 

Co byste rozhodně dělat neměli

 

Panikařit
Jednou z bezpečnostních zásad je mít připravený plán reakce na neočekávané události. Pokud jej nemáte, alespoň v případě kybervyděračského útoku nepanikařte. Zkratkovitá rozhodnutí situaci nezlepší. Potřebujete-li pomoc, požádejte o ni.
Budete-li viditelně zmatkovat, kyber­zločinci toho mohou využít k dalším útokům.

 

Zaplatit výkupné
Před několika lety došlo k prudkému nárůstu počtu útoků vyděračským softwarem, protože kyberzločinci zjistili, že s poměrně nízkými vstupními náklady dokážou vydělat poměrně hodně peněz.
Na celé situaci je nejvíce znepokojující, co ukázal průzkum – třetina firem připouští, že je pro ně ekonomicky výhodnější pokaždé zaplatit výkupné než investovat do řádného systému zabezpečení.
Vznikl tím začarovaný kruh, kdy podniky opakovaně platí výkupné a kyber­zločinci pokračují ve své vysoce výdělečné činnosti.
Bezpečnostní experti obecně nedoporučují výkupné platit, a to z řady důvodů. Za prvé, to, že zaplatíte výkupné, zdaleka neznamená, že dostanete šifrovací klíč k odemčení dat. Za druhé, zaplacení výkupného může vyděrače povzbudit ke zvýšení požadavků při dalších útocích.

bitcoin_skoleni

Jenom vy můžete posoudit, zda za to vaše data stojí.