Virtual-IT.pl - wirtualizacja cloud computing storage SDx data center

Artykuły

Co robić, gdy MŚP padnie ofiarą cyberataku?

CyberatakMoment cyberataku to nie czas na zastanawianie się, jak na niego zareagować. Dowiedz się, jak mniejsze organizacje mogą przygotować własny plan reagowania na incydenty. Późnym wieczorem dostajesz telefon - Twój współpracownik nie może uzyskać dostępu do firmowej bazy danych. Sprawdzasz to i okazuje się, że Ty też nie możesz zalogować się na swoje konto. Kolejne, wielokrotne próby zalogowania nic nie dają, dodatkowo okazuje się, że nie działa mechanizm zmiany hasła. Nie pomaga również odświeżanie strony logowania. Zaczynasz uzmysławiać sobie, że niestety - z dużym prawdopodobieństwem - Twoja firma doświadczyła właśnie ataku cyberprzestępców.

Przed właścicielami Waszego przedsiębiorstwa bardzo trudne dni i co najmniej kilka ważnych decyzji do podjęcia. Po pierwszej diagnozie widać, że firma doświadczyła złośliwego cyberataku. Pracownicy nie są w stanie pracować. Klienci dzwonią, bo również strona internetowa nie działa już od kilku godzin - a brak dostępu do bazy danych oznacza, że nie wiadomo co z ich zamówieniami. Właściciele i pracownicy nie mają pojęcia, co teraz zrobić. Taki bałagan może pogrążyć każdy biznes.

Istnieją oczywiście rozwiązania takiej sytuacji, mogą być jednak pozornie zbyt drogie dla właścicieli małych firm z ograniczonym budżetem. Wolą oni zaryzykować, że cyberprzestępcy ich akurat oszczędzą i zostawią w spokoju. Problem pojawia się, gdy takie „życzeniowe myślenie” się nie sprawdza - jak wtedy reagować?

Brak planu to przepis na porażkę
Każda firma ma swój biznesplan. W dzisiejszym, cyfrowym świecie nawet najmniejsze firmy powinny w nim zamieścić rozdział z planem reagowania na incydenty związane z ich infrastrukturą cyfrową, obejmującą zarówno sprzęt, jak i oprogramowanie. Musi być to zestaw działań zaprojektowany tak, aby pomóc tym, którzy w znaczący sposób biorą udział w reagowaniu na zdarzenia związane z cyberbezpieczeństwem. Punktem wyjścia do stworzenia planu reagowania na incydenty może być myślenie w kategoriach: pierwsza godzina, pierwszy dzień i sytuacja „po zdarzeniu”.

Właściciele małych firm mogą obawiać się samodzielnego tworzenia dokumentu i procesu, który może zadecydować o losach ich firmy. Jednakże istnieją podmioty, które takowy plan mogą pomóc przygotować, jak i potem zaangażować się w prewencję za opłatą wielokrotnie niższą niż suma kosztów przywrócenia sprawności systemów IT po ewentualnym ataku.

Pierwsze godziny: Ogranicz i odizoluj
Po odkryciu, że doszło do ingerencji w firmowe zasoby, pierwszym krokiem jest opanowanie sytuacji - nawet jeśli oznacza to odcięcie wszystkich zasobów IT od sieci. W pierwszym kroku należy określić jakie systemy zostały zainfekowane i odizolować je od reszty infrastruktury. Później należy zidentyfikować, które dane zostały naruszone. Dzięki takim zabiegom unikniemy eskalacji problemu i dalszych strat.

Powyższe kroki mogą również wymagać wezwania ekspertów znających już infrastrukturę cyfrową firmy i jej aktywa biznesowe, dlatego warto wcześniej nawiązać kontakt z odpowiednimi specjalistami. Każda przetarta ścieżka podczas sytuacji kryzysowej jest na wagę złota, bo skraca czas potrzebny na reakcję. Posiadanie odpowiednich danych kontaktowych w przygotowanym planie jest więc niezbędne.

Pierwszy dzień: Dokumentacja i odzyskiwanie
Naruszenie nie kończy się po jego wykryciu i przywróceniu danych z kopii zapasowych. Przestępcy mogą mieć nadzieję, że taki właśnie będzie schemat działania ofiary zdeterminowanej do jak najszybszego przywrócenia dostępu do danych. Mają tendencję do pozostawiania tylnych furtek, tzw. backdoorów, ułatwiających im powrót i ponowne szkodliwe działania. Dlatego ustalenie dokładnego punktu wejścia atakującego, praca nad zamknięciem tej luki oraz szukanie innych potencjalnych dziur muszą mieć najwyższy priorytet.

Zespół IT powinien dokładnie przeanalizować sytuację i pracować nad usunięciem wszystkich zauważonych ścieżek ataku oraz przeprowadzić badanie całej infrastruktury pod kątem ewentualnych innych słabości. Należy zaangażować wewnętrzne zespoły (marketingowe, prawne i PR), aby poinformować otoczenie o zdarzeniu oraz ewentualnie organy ścigania i agencje rządowe, aby działać zgodnie z  wymogami regulacji prawnych.

Niezwykle ważne jest udokumentowanie wszystkich informacji o ataku i zabezpieczenie wszelkich śladów mogących prowadzić do sprawców. Zebrane informacje pozwolą stwierdzać, co zadziałało, a co nie pomogło w próbie powstrzymania ataku.

Nauka na błędach
Po opanowaniu sytuacji i ponownym uruchomieniu firmy należy przeprowadzić kompleksowy audyt. Jest to ważne, aby plan reagowania na incydenty mógł zostać zaktualizowany, dzięki czemu odpowiedzialne strony nauczą się, jak szybciej reagować. Poniesione koszty będą na 100% niższe niż konieczność usuwania szkód po kolejnym cyberataku.
Na popularności zyskuje zatrudnianie zewnętrznego Security Operations Center, które monitoruje oraz analizuje na bieżąco aktywność w sieci, serwerach, stacjach roboczych, bazach danych, aplikacjach, witrynach internetowych i innych systemach, reagując na anomalie, które mogłyby wskazywać na incydenty lub próby naruszenia bezpieczeństwa. Taka jednostka jest odpowiedzialna za zapewnienie, że potencjalne incydenty związane z bezpieczeństwem są poprawnie zidentyfikowane, analizowane i w efekcie zaraportowane, aby w razie potrzeby podjąć dalsze działania.

Ważne jest również, aby regularnie testować plan reagowania na incydenty. Infrastruktura cyfrowa i procesy mogą się zmieniać, a testy ujawnią nowe słabe punkty, chociażby informacje kontaktowe, które nie są już aktualne. Wiem, że powyższy tekst jest tylko punktem wyjścia, ale pozwala nakreślić wymagane działania i skalę problemu, zanim wydarzy się coś naprawdę niebezpiecznego.


Grzegorz PaszkaAutor: Grzegorz Paszka, członek zarządu, CTO Grupy 3S