Kroky, které organizace podnikne v několika následujících minutách a hodinách rozhodují, jak velký nebo malý bude dopad kyberútoku. Navíc kyberútok nemá negativní vliv jen na fyzické IT systémy, ale způsobuje také stres a dostává zaměstnance pod tlak. Průzkum Haifské univerzity zjistil, že kybernetické útoky mají silný psychologický dopad na všechny zaměstnance a zvyšují úroveň úzkosti, stresu a paniky, což může vést k dalším chybám a škodám.

Jak tedy mohou organizace odstranit tyto lidské, panické a emocionální reakce na kybernetické incidenty a vytvořit koordinovanější a efektivnější reakci?

Školení jsou základem

Dobrým příkladem je přísné školení, které připravuje piloty na řešení nečekaných událostí. Mají k dispozici rozsáhlé návody a postupy, které pokrývají prakticky každou situaci, od výpadku paliva až po selhání motoru nebo strukturální škody. Tyto postupy jsou cvičeny a testovány znovu a znovu, a to jak v simulátorech, tak i v letových podmínkách, takže v reálné situaci se potom jedná o automatický, okamžitý reflex. Pokud dojde k incidentu, první věc, kterou pilot a co-pilot udělají, je vypnutí varovného poplachu, aby mohli jasně přemýšlet a podniknout odpovídající kroky.

Organizace musí mít podobně důsledné plánování, které pomůže rychle a přesně reagovat na narušení bezpečnosti a útoky. Je potřeba připravit plán reakce na incidenty (Incident Response/IR plán) a shromáždit IR tým, který bude zahrnovat všechny interní zainteresované strany, jako jsou IT specialisté a bezpečnostní odborníci, HR a PR týmy, a v některých případech i odborné externí zdroje. Ale jen samotná příprava nestačí. Je potřeba procvičovat plán realistickými cvičeními.

Pět klíčových fází reakce na incident

Rychlejší a efektivnější reakci pomůže dodržování pěti následujících klíčových fází, ať již v rámci cvičení nebo v důsledku skutečného incidentu.

Rozpoznejte incidenty

Kritickým prvním krokem je, aby zaměstnanci brali útoky vážně a reagovali rychle, ale bez paniky. Přemýšlejte o ideální reakci na požární poplach v kancelářské budově: Každý by měl okamžitě přerušit svou práci a zamířit k východu, aniž by sbíral věci nebo vyklízel svůj stůl. Kyberincidenty vyžadují stejnou okamžitou pozornost. Jakmile je incident detekován, všichni zaměstnanci musí být upozorněni, přirozeně a efektivně, a musí dostat jasné pokyny pro další postup, ať už je to prostě jen zanechání práce nebo vypnutí počítačů a zařízení.

Shromážděte potřebné zdroje

To znamená mobilizovat bezpečnostní nástroje a technologie a vyškolený personál, který tvoří bezpečnostní infrastrukturu vaší organizace, a zaměřit se na zmírnění incidentu. Samozřejmě v této fázi nebude nutné zapojit všechny zaměstnance, ale vše je o rychlém propojení správných zkušeností a znalostí. Váš IR plán by měl stanovit, kteří pracovníci musí být zapojeni, a zda je nutné využít i nějaké externí bezpečnostní zdroje.

Kombinování nástrojů a talentu sice není levná záležitost, ale veškeré investice a čas potřebný k vybudování efektivní obrany jsou ničím v porovnání s reálnými náklady, škodami a následky, které mohou kyberútoky napáchat. Ransomwarové útoky NotPetya v létě 2017 stály podle odhadů globální logistickou firmu FedEx 300 milionů dolarů kvůli ztrátě příjmů a nápravě škod. A farmaceutický gigant Merck & Co uvedl, že útoky ransomwaru NotPetya jej stály kolem 135 milionů dolarů. Je tedy zřejmé, že je mnohem lepší investovat do prevence, než po úspěšném útoku platit mnohem vyšší náklady.

Vytvořte IR plán

Jedná se o aktivní fázi, ve které byste měli krok za krokem zpracovat svůj IR plán, abyste definovali povahu útoků, možnosti narušení ochrany, jak útoky izolovat a minimalizovat a odstranit případné škody. Pokud organizace nemají k dispozici IR plán, je nejlepší v této fázi zavolat externí odborníky. Ale do budoucna je potřeba mít takový dokument zpracovaný. Pokud nevíte, jak na něj, Check Point na svých stránkách uvádí příklady, co by plán měl obsahovat, které body začlenit a čemu se naopak při přípravě IR plánu vyhnout.

Komunikujte

Příliš často se organizace zastaví ve třetí fázi. Ale komunikace o útoku je zásadní - nejen směrem dovnitř společnosti, ale také v případě potřeby externě, například k partnerům, zákazníkům a investorům. Navíc se to stává i regulačním požadavkem. Například GDPR (obecné nařízení o ochraně osobních údajů) vyžaduje, aby kybernetické útoky byly externě komunikovány do 72 hodin od zjištění narušení bezpečnosti dat. Všechny zúčastněné strany, interní i externí, musí pochopit, co se stalo a co to pro ně znamená - v jazyce, který odpovídá jejich technické úrovni.

Toto je speciální fáze, která by měla zůstat v rukou vašeho komunikačního týmu. Nedávné odhalení úniku dat Uberu z roku 2016 a následná snaha o zamaskování je přesně takovou ukázkou, jak komunikace vypadat nemá.

Učte se

Jedná se o zásadní prvek IR, který je příliš často zanedbáván. Organizace by se měly z každého kyberútoku ponaučit. Po útoku by měly přijít aktivní kroky k nápravě zranitelnosti, ke změně a vylepšení procesu proti případnému opětovnému zneužití, k rekvalifikaci všech zaměstnanců, kteří by se mohli dopustit chyby, k zavedení nebo aktualizaci stávajícího IR plánu. Neschopnost učit se a vylepšit kyberochranu po útoku zanechá organizaci zranitelnou znovu vůči podobnému útoku.

Efektivní reakce na incidenty je o tréninku a cvičení. Vypracování IR plánu a jeho pravidelná aktualizace vyžaduji práci i investice - ale během kyberútoku se tato investice vyplatí. Ať už se rozhodnete řešit IR interně nebo využijete externí zdroje, je důležité udělat plán nyní a prověřit ho proti všem možným scénářům útoků. To pomůže eliminovat paniku během útoku, omezit škody a minimalizovat výpadky a vrátit společnost co nejrychleji zpět do normálního provozu.

Peter Kovalčík Autor článku je SE Manager společnosti Check Point.