Hlídejte informace, které se o vás šíří

Pokud nechceme útočníkům jejich snažení zbytečně usnadňovat, měli bychom věnovat pozornost tomu, co a komu o sobě sdílíme. Zejména proto, že je to obsahem povinné přípravy každého hackera před útokem – zjištění co největšího množství informací. Je proto velmi důležité, abychom identifikovali kanály, kterými proudí naše informace. Nezapomínejte ani na monitorování toho, jaké informace se ve veřejném prostoru o vás objevují.

Co by si měla každá firma zodpovědět před útokem

• Co je ve vaší firmě z hlediska hackerského útoku nejcennější? Co chcete chránit?
• Jakou cenu jste ochotní za svoje aktiva zaplatit jako výkupné. Z toho se dá odvodit i míra investice do ochrany daného aktiva před útokem.
• Zvládnete ochranu aktiv sami, nebo potřebujete někoho přizvat?
• Budete mít při řešení incidentu ve stavu napadení systémů partnera?
• Byl identifikován jasný rozhodovací tým pro aktivaci, pokud dojde k ransomwarovému útoku?
• Máte v případě hackerského útoku plán součinnosti pro jednotlivá oddělení?
• Zahrnuje tento plán externí (nebo interní) právní poradce?
• Vědí zaměstnanci, co mají dělat, když vaše počítačové systémy přejdou do offline režimu?
• Víte, jak komunikovat se zaměstnanci, pokud systémy přejdou do režimu offline?
• Dodržujete předpisy o ochraně osobních údajů?
• Máte interní a externí komunikační plán v případě nefunkčních systémů?

Základní otázky, které by si firma měla zodpovědět, pokud je již obětí útoku

• Kdo jsou odborníci, kteří budou incident řešit? Jsou interní/externí?
• Byly aktivovány záložní plány obnovy?
• Jaký rozsah má daný incident?
• Co nám všechno chybí?
• Co všechno bylo napadeno?
• Kontaktovali jste příslušné státní orgány? Co vám doporučují? (Jedná se sice o legislativní povinnost, ale v případě útoku není velmi účinná, pokud tedy firma s takovou organizací dopředu neuzavřela smlouvu o řešení takové situace. Přes to všechno je samozřejmě dobré plnit legislativní podmínky. Vyhnete se tak potenciální pokutě.
• Máte-li kybernetickou pojistku, aktivovali jste ji?
• K jakým informacím se útočník dostal? Byly některé odcizeny? Jaký je nejhorší možný scénář?
• Jaké provozní komplikace vám ransomware způsobil?
• Ví se o útoku i mimo firmu? Pokud ano, komu a co bylo komunikováno?
• Jaká je šance zprovoznit systémy bez placení výkupného?

Platit, nebo neplatit?

V této oblasti bohužel nejlepší rada neexistuje. Pokud se firma rozhodne platit, tak si musí být vědoma, že je to bez záruky dalších následků v podobě podobného scénáře v budoucnosti. Pokud se rozhodne neplatit, tak na to musí být perfektně připravena. Musí „drilovat“ scénáře obnovy při stavu zásadního narušení provozu. Rozhodování má v tomto případě i ideologický rozměr – platíme hackerům a podporujeme tak velmi pravděpodobně jejich další nelegální činnosti.

Útoku čelte profesionálně

Ať už se jedná o informace směrované k zaměstnancům, či oznámení pro regulační orgány, rozhodnutí, která učiníte v počáteční fázi útoku, mohou mít značné následky. Aby společnosti útok zvládly, je důležitá součinnost právního poradce a podnikové komunikace. Myslete i na kybernetické pojištění a forenzní IT. Podstatné je omezit potenciální riziko poškození dobré pověsti.

Společnosti by rovněž měly co nejrychleji informovat orgány činné v trestním řízení, aby potvrdily legitimitu útoku. Určily, zda mají platby důsledky v trestním řízení, a vytvořily prostředí, ve kterém může probíhat transparentní rozhodování. Navíc mohou donucovací nebo forenzní experti poskytnout další kontext / poznatky o útoku, pokud znají aktéra hrozby nebo nedávno pracovali na podobných krizových situacích.

Za všech okolností je důležitá důvěryhodnost. V informacích, které sdílíte interně i externě, buďte jasní a přesní. Nepouštějte se do žádných spekulací. Pokud tak neučiníte, může dojít k poškození vaší reputace. Uvědomte si, že interní informace a dokumenty se prostřednictvím ransomwarového útoku mohou dostat do nepovolaných rukou.

Nezapomeňte na riziko sporu

I když oznámení jsou primárně záležitostí právního týmu, je důležité, aby se vedení společnosti v rané fázi procesu při komunikaci „sladilo“. Jazyk používaný v těchto sděleních by měl být profesionální a plně pod kontrolou společnosti. To se netýká jen dnů bezprostředně po útoku. Je to otázka měsíců i let. Společnosti by také měly zvážit nastavení peer-to-peer konverzací mezi bezpečnostními týmy, místo toho, aby se spoléhaly na písemnou komunikaci.

David Dvořák Autor článku je manažerem IT poradenství ve společnosti Soitron.