Hackeři nespí a útoky kryptovirů se týkají všech, od jednotlivců, přes úřady a nemocnice až po velké firmy. Zatímco větší hráči většinou mají prostředky a know-how pro zvládnutí takových problémů, ti menší jsou často ohroženi zbytečnými ztrátami pramenícími z nedostatečné přípravy, resp. připravenosti. Reakce na útok totiž vyžaduje rychlé a konkrétní kroky, opravdu není čas ani prostor na improvizaci a učení se za pochodu.
Izolujte napadené systémy
Jakmile zjistíte, že se počítač „chová divně“, ve Wordu vám „mizí“ dokumenty a místo nich se objevují soubory se stejným názvem, ale jinou koncovkou, okamžitě takový počítač vypněte a kontaktujte kolegy, svého nadřízeného a IT pracovníky.
V případě, kdy již dojde k zašifrování dat a výzvě k zaplacení výkupného, je doporučen stejný postup, případně alespoň vytažení síťových kabelů od napadeného počítače. Také nezapomeňte na pozastavení pravidelného zálohování z napadených počítačů. Opravdu nesmí dojít k situaci, že se po zašifrování souborů tato znepřístupněná data propíšou do záloh.
Zajistěte data pro další analýzu
Ideální je, pokud je to možné, vyhotovit bitové kopie zasažených disků, nejlépe v některém z formátů, vhodných pro forenzní analýzu („Expert Witness“ - E01). Existuje celá řada volně dostupných nástrojů, které s tímto formátem umí pracovat.
Doporučuji z výsledných obrazů pevných disků spočítat kontrolní součty např. ve formátu SHA256 a tyto umístit do PDF souboru, který bude následně elektronicky podepsán (uznávaným elektronickým podpisem s kvalifikovaným časovým razítkem). Není-li to možné, je třeba zajistit co nejvíce informací o útoku, včetně typu ransomware, zašifrovaných souborů, výzev k platbě výkupného atd. Skvělé je, pokud se podaří zdokumentovat co nejvíce z následujících informací: způsob detekce útoku, rozsah kompromitovaných dat, základní technickou specifikaci napadených systémů, IP adresy napadených a (pokud možno) i útočících systémů, log soubory.
Opět pomůže, pokud jsou z výsledných souborů vypočítány kontrolní součty a následně uloženy do elektronicky podepsaného PDF dokumentu.
Oznamte útok
Podle charakteru činnosti napadené organizace a typu útoku může být vaší povinností útok oznámit dozorovému úřadu. Například Úřadu pro ochranu osobních údajů, pokud má dané porušení zabezpečení osobních údajů má za následek nikoliv nízké riziko pro práv a svobody subjektů údajů. Některé organizace jsou, a s přijetím nového zákona o kybernetické bezpečnosti jich bude násobně více, povinny incident hlásit na Národní úřad pro kybernetickou a informační bezpečnost, případně Českou národní banku.
Pokud je hlášení slušně napsané a obsahuje i rozumná přijatá opatření, úřady to jistě ocení a celá věc tím může být i uzavřena. Často se stává, že je napaden např. dodavatel IT služeb a část jeho klientů problém nenahlásí. Tito se vystavují riziku, neboť úřad se o problému dozví od těch, kdo oznamovací povinnost splní. A pak se může začít ptát…
Doporučuji útok netajit ani před osobami, kterých se dotkl. Když se stane bezpečnostní incident, není to příjemné, ale rozhodně doporučuji otevřenost i za cenu menší ostudy. Pro reputaci totiž není nic horšího než snaha problém ututlat, protože problém se následně dost pravidelně provalí.
Evidujte nápravná opatření
I když usoudíte, že povaha útoku nepředstavuje rizika pro práva a svobody fyzických osob či pro dostupnost a odolnost vámi poskytované služby, můžete později dospět k jinému názoru, např. v okamžiku analýzy rozsahu datového provozu. Pokud si necháte zobrazit statistiky internetové komunikace a vyplyne z nich nestandartní zvýšení objemu internetové komunikace, je pravděpodobné, že hackeři před zašifrováním data stáhli.
Nejen tyto stopy nemusíte objevit hned. Je tak dobré mít materiály, kterými doložíte, proč jste problém nenahlásili. Úřady budou pravděpodobně zajímat i konkrétní nápravná opatření.
Posuďte, zda chcete zaplatit výkupné
Obecně se nedoporučuje výkupné platit. Vyděračům se ustupovat nemá, nicméně každá situace je jedinečná a vyžaduje individuální posouzení. Myslete na to, že ani platba výkupného neznamená, že se k datům skutečně dostanete a že útočník data po zaplacení skutečně nevratně vymaže. Zaplacení výkupného také představuje silný motiv, aby se na vás útočníci zaměřili i příště, protože jste již jednou zaplatili.
Zlepšete zabezpečení
Pokud vás vyděrači překvapili jednou, pokusí se o to pravděpodobně znovu. Je smutnou realitou, že ve většině firem se peníze na posílení kybernetické bezpečnosti po incidentu většinou rychle najdou, ačkoliv předtím nebyly.
Poučte se z vlastních chyb a soustřeďte se zejména na zranitelnosti, které útočníci zneužili k zašifrování dat. Nemusí to být ani moc složité. Otevřel zaměstnanec dokument v příloze e-mailu, který následně pomocí makra stáhl a spustil škodlivý kód? Často stačí i rozumný antivir/firewall, který umí detekovat nestandartní chování aplikací, případně úprava práv, lepší nastavení poštovního serveru atd.
Začněte informační bezpečnost alespoň trochu řídit
Není třeba hned zavádět komplexní systém řízení bezpečnosti informací (ISMS), minimálně byste ale měli vědět, co je třeba chránit a před čím, jak tu ochranu provádíte, kdo má za co odpovědnost a jak se chovat v případě útoku. Technické minimum je komunikační plán pro řešení incidentu, přičemž konkrétní osoby (či okruhy osob) by měly být schopné provést rychlé konkrétní kroky. Pokud vám totiž virus zašifruje data a tato se propíšou i do záloh, protože zálohovací systém nikdo včas nevypl, situace se velmi zkomplikuje. Tento konkrétní problém se vyskytuje překvapivě často, inkrementální (rozdílové) zálohy totiž ještě nejsou na mnoha místech standardem. Když si alespoň trochu vypomůžete ISO 27001, chyba to nebude.
Jinak rozhodně doporučuji pročíst stránky NÚKIBu, zejména sekce „Návody“ a „Podpůrné materiály“.
Proškolte lidi
Opakování je matka „Déjà vu“, kybernetický útok je určitě důvodem pro proškolení zaměstnanců. Chybám se nevyhneme, je třeba se z nich poučit. Opět doporučuji školení zaměřit na oblast, kterou útočníci zneužili, plus obvyklá doporučení a základní „bezpečnostní hygienu“.
Pracujte se zašifrovanými soubory a disky
Někteří IT specialisté se ani nepokoušejí o analýzu disků se zašifrovanými daty. To je chyba, použijí-li se postupy např. pro záchranu dat z poškozených souborových systémů či pro obnovu smazaných dat, často se podaří zachránit velmi cenná data. To samé platí i v případech, kdy se vir propsal do záloh a analyzují se disky, kam se zálohy ukládají.
Také doporučuji detailně zkontrolovat, zda jsou soubory zašifrované celé. Zvláště u velkých souborů nemusí být zašifrování kompletní, viděl jsem celou řadu instalací MySQL a PostgreSQL databází, kde byla data zašifrována jen částečně. Kombinací výše uvedených postupů lze často zachránit poměrně velké množství dat, osobně jsem takto obnovil účetnictví za několik let i lékařské záznamy. I když se nezadaří (SSD disk si místo po smazaných souborech „předpřipravil“ pro další použití a vir zašifroval vše), přesto je vhodné si zašifrované soubory uschovat. Pro řadu vyděračských virů se dříve či později objeví volně dostupná utilita pro dešifrování.
Vyberte si konzultanta
Pokud nechcete či nemůžete kybernetickou bezpečnost řešit sami, najděte si externího odborníka. Vyhýbejte se ale spolupráci s lidmi, kteří místní IT dehonestují, kritizují nástroje konkurentů, aniž by sami něco napsali, a podle kterých je v síti „všechno špatně“. Jejich metody často hraničí s predátorskými manipulačními technikami a cílem vysoce pravděpodobně není váš prospěch, ale prodat vám to „jediné správné řešení“.
Chraňte si firemní kulturu, duševní zdraví i peněženku. Profesionál hledá shodu a řešení vám na míru.
Kybernetická bezpečnost je důležitá pro všechny organizace!
Příprava na kybernetický incident a jeho zvládnutí nejsou snadné disciplíny. Často se „zapotí“ i specialisté na kyberbezpečnost s dlouhými lety praxe a solidním rozpočtem. Těm ale tento text určen není. Osobně věřím, že bude užitečný hlavně v menších organizacích a jednotlivcům, které (zatím) kybernetickou bezpečnost a zvládání incidentu systematicky neřeší.
Zároveň všem čtenářům moc přeji, aby body desatera, které přímo souvisí s probíhajícím útokem či řešením jeho následků, nikdy nepotřebovali použít.