Kybernetických útoků přibývá! Víte, jak správně postupovat?

Žijeme v době, v níž jsou kybernetické útoky nejen hrozbou, ale stávají se neodmyslitelnou součástí našeho digitálního světa. Firmy a instituce všech velikostí i segmentů jsou vystavovány neustálému riziku stále sofistikovanějších kybernetických hrozeb.

Česko si v souvislosti s počtem a závažností kyberútoků i odolností vůči kyberzločinu nevede v evropském i celosvětovém srovnání vůbec dobře. Kromě firem patří k nejčastějším obětem kyberútoků u nás také státní instituce (ministerstva), zdravotnická zařízení, včetně velkých nemocnic, nebo univerzity. A tak je jen otázkou času, kdy se s některou formou kybernetického incidentu setká i vaše společnost.

Efektivní řešení kybernetické bezpečnost je důležité na každé úrovni a odpovídající opatření pro zajištění ochrany citlivých dat i pro zachování provozu klíčových služeb jsou nezbytná. Zlepšit situaci by měla i nová evropská směrnice o kybernetické bezpečnosti NIS2 i chystaný ZoKB.

Jaké dopady mohou mít kybernetické útoky na vaši firmu? Jak se zachovat a co naopak rozhodně nedělat v případě, že se vaše organizace stala obětí závažného kybernetického útoku? To vám v následujících řádcích přiblíží Vladimíra Tesková, spoluzakladatelka a COO české technologické firmy TeskaLabs.

Jaké mohou mít kybernetické útoky dopady na vaši firmu nebo organizaci?

Kybernetické útoky mohou mít pro firmy různé následky a dopady. K největším rizikům patří ztráta citlivých a důvěrných dat (odcizení, zničení, pozměnění dat, krádež identity), finanční ztráty (zaplacení výkupného, náklady na obnovu a opravu systémů, ztráta příjmů v důsledku výpadku systémů, pokuty za porušení regulací), poškození pověsti (ztráta důvěry nebo odchod zákazníků, partnerů a investorů), právní důsledky (pokuty a soudní spory v případě úniku osobních a jiných citlivých dat), narušení obchodní činnosti (výpadky provozu, výroby, zpoždění dodávek, ztráta produktivity), ztráta konkurenční výhody či trvalé nebo dlouhodobé škody na IT infrastruktuře.

Jak byste měli postupovat v případě kybernetického útoku?

Pokud už k nějaké formě kyberútoku dojde, je vhodné dodržovat následující doporučení, která mohou pomoci minimalizovat ztráty a vyrovnat se s případnými škodami co nejlépe.

Zachovejte chladnou hlavu a reagujte okamžitě

Vím, že se to snadno říká, ale je to opravdu nutné. Jakmile je útok detekován, zvolte proaktivní přístup a okamžitě aktivujte připravený incidentní plán pro kybernetickou bezpečnost. Tento by měl obsahovat konkrétní kroky k izolaci postižených systémů,

minimalizaci škod a obnově služeb. Pokud takový plán nemáte, okamžitě kontaktujte odborníky na kybernetickou bezpečnost. Určete také odpovědnou osobu, která bude mít na starosti koordinaci veškerých kroků.

Izolujte postižené systémy

Odpojte napadené systémy od sítě, aby se minimalizovala možnost šíření útoku. Tím můžete zabránit dalšímu poškození dat a omezení ztráty citlivých informací.

Kontaktujte odborníky na kybernetickou bezpečnost

Jedním z prvních kroků by mělo být angažování odborníků na kybernetickou bezpečnost, kteří mohou vyhodnotit rozsah škody a pomoci při zajištění sítě proti dalším útokům. Současně mohou pracovat na zjištění, jak byla vaše síť napadena, a mohou poskytnout důkazy pro budoucí vyšetřování.

Oznamte incident a komunikujte

Příslušné zákony a regulace určují, zda je třeba ohlásit kybernetický incident dohledovým orgánům nebo regulačním institucím. O útoku je třeba informovat jak interní týmy, tak klíčové externí partnery. Transparentní a pravidelná komunikace může zabránit šíření dezinformací, zachovat důvěru ve vaši firmu a snížit potenciální následné škody.

Zajistěte důkazy a spolupracujte při vyšetřování

Zajistěte pečlivě veškeré podrobnosti a důkazy související s útokem, které by mohly pomoci při vyšetřování. Tyto informace mohou být nesmírně užitečné pro vyšetřování a prevenci budoucích incidentů.

Organizace zasažená kybernetickým útokem by měla těsně spolupracovat s odborníky na kybernetickou bezpečnost a orgány činnými v trestním řízení, aby mohli útok důkladně vyšetřit a identifikovat pachatele..

Obnovte svou IT strukturu a proveďte co nejdříve revizi opatření

Po incidentu je nezbytné systémy bezpečně obnovit a přijmout opatření proti budoucím útokům. To zahrnuje analýzu incidentu, identifikaci slabých míst, která útočník využil, a implementaci doporučení pro zvýšení bezpečnosti.

Poučte se z incidentu

Proveďte důkladnou analýzu incidentu a použijte získané poznatky k prevenci budoucích útoků. Poučte se z chyb a implementujte opatření, která minimalizují rizika kybernetických hrozeb.

A co byste rozhodně dělat neměli?

Zanedbávat prevenci

Preventivní opatření jsou nejlepší obranou proti kybernetickým útokům. Firmy by neměly podceňovat důležitost vypracování plánu pro kybernetickou bezpečnost a pravidelných školení zaměstnanců, která jim umožní rozpoznat potenciální hrozby.

Zamlčovat incident

Transparentnost je v této situaci klíčová. Firmy by měly okamžitě informovat všechny dotčené strany, včetně zákazníků, zaměstnanců a regulátorů, o jakémkoliv útoku a o krocích, které se podnikají k řešení situace.

Jednat bez odborníků

Řešení kybernetického útoku vyžaduje specifické dovednosti a zkušenosti. Bez asistence expertů na kybernetickou bezpečnost by firma mohla nechtěně zhoršit situaci nebo prodloužit dobu obnovy systémů.

Mazat stopy

Nezasahujte do napadených systémů, aniž byste měli zpětnou vazbu od odborníků na kybernetickou bezpečnost. Mazání stop může zničit důkazy a znemožnit úspěšné vyšetřování.

Šířit spekulace

Vyhněte se šíření nepodložených informací a spekulací o pachatelích nebo důvodech útoku. Držte se ověřených faktů a postupujte v souladu s doporučeními odborníků.

Ignorovat další možné zranitelnosti

Při vyšetřování útoku nezapomeňte zkontrolovat i ostatní aspekty bezpečnosti vašich systémů. Mohou se totiž objevit další zranitelné body, které by mohly být využity v budoucích útocích.

Platit výkupné

Nedoporučujeme ani platit výkupné hackerům. Kromě podpory nelegální aktivity s předpokladem stupňujících se požadavků se vystavujete i dalším rizikům. Ani po případném zaplacení kyberzločincům nemáte totiž žádnou jistotu, že vše půjde podle plánu. Tím nejprozaičtějším důvodem je to, že útočník sice umí data zašifrovat, ale s jejich dešifrováním může mít problém. Vrácená data navíc mohou být pozměněna, mohou obsahovat skrytý malware a zločinci se skrze ně můžou stále pohybovat ve vašich IT systémech.

Je dobré si uvědomit, že získání dat zpět je jen jedna část řešení problému. Je také třeba zjistit, jak k útoku došlo, a podniknout kroky k tomu, aby se to znovu nestalo.

Jaké jsou základní kameny zajištění firemní IT infrastruktury?

Zajištění firemní IT infrastruktury je kritickou součástí jakékoli strategie kybernetické bezpečnosti. Ke klíčovým krokům, na něž byste se měli zaměřit, patří především pravidelná aktualizace a patchování software, používání silných a unikátních hesel, správa přístupových práv (přístup na principu nejnižších potřebných práv), víceúrovňová autentizace, využití firewallů a antivirových programů, šifrování a zálohování dat, vzdělávání zaměstnanců, implementace plánu reakce na incidenty nebo provádění pravidelných bezpečnostních auditů a penetračních testů. Samozřejmostí je mít k dispozici kvalitně zpracovaný a pravidelně aktualizovaný reakční incidentní plán.

Pamatujte, že žádná jednotlivá strategie není úplně dokonalá, ale jejich kombinací můžete výrazně zvýšit celkovou bezpečnost své organizace.

Log management jako zásadní nástroj kybernetické bezpečnosti

Log management hraje klíčovou roli v kybernetické bezpečnosti a řízení IT infrastruktury. Systémy generují logové soubory, které obsahují podrobné informace o událostech, které se v nich odehrávají. Právě tyto záznamy mohou poskytnout cenné informace pro analýzu a zjištění problémů. Moderní log management zajišťuje např. detekci incidentů, sledování změn, dodržování legislativy (NIS2, ZoKB, GDPR aj.) nebo optimalizaci systémových výkonů. V případě bezpečnostního incidentu pak slouží jako podklad pro forenzní analýzu.

LogMan.io – unikátní řešení od TeskaLabs

Aby byla správa logů efektivní, je důležité mít dobře definovanou strategii, která zahrnuje informace o tom, jaké logy sbírat, jak je ukládat, analyzovat a jak dlouho uchovávat. K tomu slouží nástroje pro správu logů, které mohou zvládnout velké množství dat a poskytnout užitečné nástroje pro analýzu a vizualizaci dat.

Jedním z nejlepších na trhu je aktuálně LogMan.io (včetně rozšíření na LogMan.io Plus a plnohodnotný SIEM) od české technologické a vývojářské firmy TeskaLabs.

LogMan.io je moderní nástroj, který poskytuje ucelený přehled o IT infrastruktuře a kybernetické bezpečnosti. Umožňuje rychle a efektivně reagovat na různé provozní incidenty a kybernetické hrozby, poskytuje nezměnitelně uložená data pro spolehlivý záznam incidentu a pomáhá splnit požadavky legislativy, jako je NIS2, ZoKB, GDPR nebo ČSN ISO 27001:2013. Bezkonkurenční je také schopnost zpracovat až 500 000 EPS (událostí za sekundu).

Mezi hlavní benefity LogMan.io patří úplný přehled nad IT infrastrukturou a děním ve firmě, snadné prohledávání a viditelnost veškerých logů, přehledné a moderní uživatelské prostředí, včasné odhalení potencionálních hrozeb či možných problémů a okamžitá reakce na ně. Nabízí i velké množství předpřipravených vizualizací, možnost rozšíření sady dashboardů o nové vizualizace dle individuálních potřeb zákazníka a jeho IT infrastruktury i možnost tvorby vlastních detekčních a korelačních pravidel bez nutnosti programování.

Další informace na logman.io, www.teskalabs.com